Problembehandlung beim Aktivieren von mehreren Websites

Dieser Artikel enthält Informationen zur Problembehandlung für Probleme im Zusammenhang mit dem Enable-DAMultisite Cmdlet. Um zu bestätigen, dass der empfangene Fehler mit der Aktivierung von mehreren Websites verbunden ist, überprüfen Sie das Windows-Ereignisprotokoll für die Ereignis-ID 10051.

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Benutzerkonnektivitätsprobleme

Benutzer treten möglicherweise Konnektivitätsprobleme auf, wenn Sie mehrere Standorte aktivieren, wenn die Konfiguration nicht korrekt ist.

Ursache

In einer Bereitstellung mit mehreren Standorten können Windows 10 und Windows 8 Clientcomputer zwischen verschiedenen Einstiegspunkten wechseln. Windows 7-Clientcomputer müssen einem bestimmten Einstiegspunkt in der Bereitstellung mit mehreren Standorten zugeordnet sein. Wenn Clientcomputer sich nicht in der richtigen Sicherheitsgruppe befinden, erhalten sie möglicherweise die falschen Gruppenrichtlinieneinstellungen.

Lösung

DirectAccess erfordert mindestens eine Sicherheitsgruppe für alle Windows 10 und Windows 8 Clientcomputer. Es wird empfohlen, eine Sicherheitsgruppe für alle Windows 10 und Windows 8 Computer pro Domäne zu verwenden. DirectAccess erfordert auch eine Sicherheitsgruppe für Windows 7-Clientcomputer für jeden Einstiegspunkt. Jeder Clientcomputer sollte nur in eine Sicherheitsgruppe aufgenommen werden. Daher sollten Sie sicherstellen, dass die Sicherheitsgruppen für Windows 10- und Windows 8-Clients nur Computer enthalten, auf denen Windows 10 oder Windows 8 ausgeführt wird, und dass jeder Windows 7-Clientcomputer zu einer einzelnen dedizierten Sicherheitsgruppe für den relevanten Einstiegspunkt gehört und dass keine Windows 10- oder Windows 8-Clients zu den Windows 7-Sicherheitsgruppen gehören.

Konfigurieren Sie die Windows 8-Sicherheitsgruppen auf der Seite Gruppen auswählen des Assistent zum Einrichten des DirectAccess-Clients. Konfigurieren Sie die Windows 7-Sicherheitsgruppen auf der Seite Clientsupport des Assistenten zum Aktivieren der Bereitstellung für mehrere Standorte oder auf der Seite Clientsupport des Assistenten zum Hinzufügen eines Einstiegspunkts.

Kerberos-Proxyauthentifizierung

Empfangener Fehler

Die Kerberos-Proxyauthentifizierung wird in einer Bereitstellung mit mehreren Standorten nicht unterstützt. Sie müssen die Verwendung von Computerzertifikaten für IPsec-Benutzerauthentifizierung aktivieren.

Ursache

Die Computerzertifikatauthentifizierung muss vor dem Aktivieren der Funktionen für mehrere Standorte aktiviert werden.

Lösung

So konfigurieren Sie die Computerzertifikatauthentifizierung:

1. Wählen Sie in der Remotezugriffsverwaltungskonsole im Detailbereich unter Schritt 2 Remotezugriffsserver "Bearbeiten" aus.
2. Aktivieren Sie im Setup-Assistenten für den Remotezugriffsserver auf der Seite "Authentifizierung" das Kontrollkästchen "Computerzertifikate verwenden", und wählen Sie die Stammzertifizierungsstelle oder zwischenzertifizierungsstelle aus, die Zertifikate in Ihrer Bereitstellung ausgibt.

Um die Computerzertifikatauthentifizierung mit Windows PowerShell zu aktivieren, verwenden Sie das Set-DAServer Cmdlet, und geben Sie den IPsecRootCertificate Parameter an.

IP-HTTPS-Zertifikate

Empfangener Fehler

Der DirectAccess-Server verwendet ein selbstsigniertes IP-HTTPS-Zertifikat. Konfigurieren Sie IP-HTTPS für die Verwendung eines signierten Zertifikats von einer bekannten Zertifizierungsstelle.

Ursache

Das IP-HTTPS-Zertifikat ist selbstsigniert. Sie können keine selbstsignierten Zertifikate in einer Bereitstellung für mehrere Standorte verwenden.

Lösung

So wählen Sie ein IP-HTTPS-Zertifikat aus:

1. Wählen Sie in der Remotezugriffsverwaltungskonsole im Detailbereich unter Schritt 2 Remotezugriffsserver "Bearbeiten" aus.
2. Vergewissern Sie sich im Setup-Assistenten für den Remotezugriffsserver auf der Seite "Netzwerkadapter" unter "Wählen Sie das Zertifikat aus, das zum Authentifizieren von IP-HTTPS-Verbindungen verwendet wird" das Kontrollkästchen "Automatisch signiertes Zertifikat verwenden" deaktiviert ist, und wählen Sie "Navigieren" aus, um ein Zertifikat auszuwählen, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Netzwerkadressenserver

Problem 1:

Empfangener Fehler

DirectAccess ist für die Verwendung eines selbstsignierten Zertifikats für den Netzwerkadressenserver konfiguriert. Konfigurieren Sie den Netzwerkadressenserver für die Verwendung eines signierten Zertifikats von einer Zertifizierungsstelle.

Ursache

Der Netzwerkadressenserver wird auf dem RAS-Server bereitgestellt und verwendet ein selbstsigniertes Zertifikat. Sie können keine selbstsignierten Zertifikate in einer Bereitstellung für mehrere Standorte verwenden.

Lösung

So wählen Sie ein Netzwerkadressenserver-Zertifikat aus:

1. Wählen Sie in der Remotezugriffsverwaltungskonsole im Detailbereich unter Schritt 3 Infrastrukturserver "Bearbeiten" aus.
2. Stellen Sie im Setup-Assistenten für Infrastrukturserver auf der Seite "Netzwerkspeicherortserver " unter "Netzwerkspeicherortserver" auf dem Remotezugriffsserver sicher, dass das Kontrollkästchen "Selbstsigniertes Zertifikat verwenden" deaktiviert ist, und wählen Sie " Navigieren" aus, um ein zertifikat auszuwählen, das von einer Unternehmenszertifizierungsstelle ausgestellt wurde.

Problem 2:

Empfangener Fehler

Um einen Cluster mit Netzwerklastenausgleich oder eine Bereitstellung mit mehreren Standorten bereitzustellen, rufen Sie ein Zertifikat für den Netzwerkadressenserver mit einem Antragstellernamen ab, der sich vom internen Namen des RAS-Servers unterscheidet.

Ursache

Der Antragstellername des für die Netzwerkadressenserver-Website verwendeten Zertifikats stimmt mit dem internen Namen des RAS-Servers überein. Dadurch werden Probleme bei der Namensauflösung verursacht.

Lösung

Fordern Sie ein Zertifikat mit einem Antragstellernamen an, der sich vom internen Namen des RAS-Servers unterscheidet.

So konfigurieren Sie den Netzwerkadressenserver:

1. Wählen Sie in der Remotezugriffsverwaltungskonsole im Detailbereich unter Schritt 3 Infrastrukturserver "Bearbeiten" aus.
2. Wählen Sie im Setup-Assistenten für Infrastrukturserver auf der Seite "Netzwerkspeicherortserver " unter "Netzwerkstandortserver" auf dem Remotezugriffsserver auf dem Remotezugriffsserver die Option "Durchsuchen" aus, um das zertifikat auszuwählen, das Sie zuvor erhalten haben. Das Zertifikat muss einen Antragstellernamen enthalten, der sich vom internen Namen des RAS-Servers unterscheidet.

Windows 7-Clientcomputer

Empfangene Warnung

Beim Aktivieren einer Bereitstellung für mehrere Standorte dürfen die für DirectAccess-Clients konfigurierten Sicherheitsgruppen keine Computer mit Windows 7 enthalten. Wählen Sie eine Sicherheitsgruppe aus, die die Clients für die einzelnen Einstiegspunkte enthält, damit Clientcomputer mit Windows 7 in einer Bereitstellung mit mehreren Standorten unterstützt werden.

Ursache

In der vorhandenen DirectAccess-Bereitstellung wurde die Unterstützung von Windows 7-Clients aktiviert.

Lösung

DirectAccess erfordert mindestens eine Sicherheitsgruppe für alle Windows 8-Clientcomputer und eine Sicherheitsgruppe für Windows 7-Clientcomputer für jeden Einstiegspunkt. Jeder Clientcomputer sollte nur in eine Sicherheitsgruppe aufgenommen werden. Daher sollten Sie sicherstellen, dass die Sicherheitsgruppe für Windows 8-Clients nur Computer enthält, auf denen Windows 8 ausgeführt werden, und dass jeder Windows 7-Clientcomputer zu einer einzelnen dedizierten Sicherheitsgruppe für den relevanten Einstiegspunkt gehört und keine Windows 8-Clients zu den Windows 7-Sicherheitsgruppen gehören.

Active Directory-Standort

Empfangener Fehler

Der Server <server_name> ist keinem Active Directory-Standort zugeordnet.

Ursache

Von DirectAccess konnte der Active Directory-Standort nicht ermittelt werden. In der Konsole für Active Directory-Standorte und -Dienste können Sie die verschiedenen Subnetze für Ihr Netzwerk konfigurieren und die einzelnen Subnetze dem relevanten Active Directory-Standort zuweisen. Dieser Fehler kann auftreten, wenn die IP-Adresse des Remotezugriffsservers nicht zu einem der Subnetze gehört oder dass das Subnetz, zu dem die IP-Adresse gehört, nicht mit einem Active Directory-Standort definiert ist.

Lösung

Überprüfen Sie, ob dies das Problem ist, indem Sie den Befehl nltest /dsgetsite auf dem RAS-Server ausführen. Wenn dies das Problem ist, wird der Befehl zurückgegeben ERROR_NO_SITENAME. Stellen Sie zum Beheben des Problems sicher, dass auf dem Domänencontroller ein Subnetz vorhanden ist, das die interne Server-IP-Adresse enthält und einem Active Directory-Standort zugeordnet ist.

Speichern der Server-GPO-Einstellungen

Empfangener Fehler

Fehler beim Speichern der Remotezugriffseinstellungen im GPO <GPO_name>.

Ursache

Änderungen am Server-Gruppenrichtlinienobjekt konnten nicht gespeichert werden, entweder aufgrund von Verbindungsproblemen oder wenn eine Freigabeverletzung in der Datei registry.pol vorliegt, z. B. hat ein anderer Benutzer die Datei gesperrt.

Lösung

Stellen Sie sicher, dass Konnektivität zwischen dem RAS-Server und dem Domänencontroller besteht. Wenn eine Verbindung besteht, überprüfen Sie den Domänencontroller, wenn die Datei "registry.pol " für einen anderen Benutzer gesperrt ist, und falls erforderlich, die Benutzersitzung, um die Datei zu entsperren.

Interner Fehler

Empfangener Fehler

Interner Fehler.

Ursache

Dies kann durch eine unerwartete Einstiegspunkttabellenkonfiguration im Client-Gruppenrichtlinienobjekt verursacht werden. Dies kann passieren, wenn der Administrator DirectAccess-Client-Cmdlets zum Bearbeiten der Einstiegspunkttabelle im Client-Gruppenrichtlinienobjekt verwendet.

Lösung

Überprüfen Sie die Konfiguration der Einstiegspunkttabelle in allen Client-Gruppenrichtlinienobjekten, und beheben Sie alle Inkonsistenzen in der Konfiguration für mehrere Standorte zwischen den verschiedenen Instanzen der Client-Gruppenrichtlinienobjekte und der DirectAccess-Konfiguration. Verwenden Sie das Get-DaEntryPointTableItem-Cmdlet mit dem Namen des Client-Gruppenrichtlinienobjekts, um die Einstiegspunkttabelle für den Client abzurufen. Verwenden Sie das Get-NetIPHttpsConfiguration-Cmdlet, um alle IP-HTTPS-Profile für alle Einstiegspunkte abzurufen.

Weitere Informationen finden Sie unter DirectAccess-Client-Cmdlets in Windows PowerShell.