Partage via


Résolution des problèmes de DirectAccess

Essayez notre agent virtuel : il peut vous aider à identifier et à résoudre rapidement les problèmes courants liés à DirectAccess.

Cet article fournit des informations sur la résolution des problèmes de déploiements DirectAccess.

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Suivez ces étapes pour résoudre les problèmes liés à l’accès à distance (DirectAccess).

Problème Résolution
La console Gestion de l’accès à distance n’affiche pas la configuration de DirectAccess Pour restaurer les informations de configuration manquantes :
- Si vous résolvez un déploiement multisite, vérifiez que le contrôleur de domaine le plus proche du point d’entrée est disponible.
- Utilisez l’applet Get-DAEntrypointDC de commande pour récupérer le nom du contrôleur de domaine le plus proche du point d’entrée. Si le contrôleur de domaine n’est pas en cours d’exécution, utilisez l’applet Set-DAEntryPointDC de commande pour pointer vers un autre contrôleur de domaine.
- Exécutez à gpresult partir d’une invite de commandes avec élévation de privilèges sur le serveur pour vous assurer que le serveur obtient les objets de stratégie de groupe DirectAccess.
- Activez la journalisation de l’interface utilisateur (IU).
- Utilisez la commande suivante pour démarrer la journalisation Windows PowerShell :logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<repro> : fermez et rouvrez l’interface utilisateur.
- Désactiver la journalisation Windows PowerShell. Collectez les fichiers journaux des traces d’événements. De plus, collectez tous les journaux à partir du dossier %windir%\tracing .
Échec de l’application de la configuration DirectAccess Pour actualiser la configuration DirectAccess :
- Si vous résolvez un déploiement multisite, vérifiez que le contrôleur de domaine le plus proche du point d’entrée est disponible.
- Utilisez l’applet Get-DAEntrypointDC de commande pour récupérer le nom du contrôleur de domaine le plus proche du point d’entrée. Si le contrôleur de domaine n’est pas en cours d’exécution, utilisez l’applet Set-DAEntryPointDC de commande pour pointer vers un autre contrôleur de domaine.
- Utilisez la commande suivante pour démarrer la journalisation Windows PowerShell :
logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<repro>
- Sélectionnez Appliquer.
- Une fois l’échec effectué, désactivez la journalisation Windows PowerShell et collectez le journal des traces d’événements.
DirectAccess est configuré, mais les clients ne peuvent pas se connecter aux ressources internes Pour résoudre les problèmes de connexion client :
- Sélectionnez l’onglet État des opérations dans la console de gestion de l’accès à distance, puis vérifiez que tous les composants affichent une icône verte. Si ce n’est pas le cas, examinez les détails de l’erreur et effectuez les étapes de résolution.
- Exécutez l’outil BPA (Best Practices Analyzer) du serveur d’accès à distance. Si vous voyez des avertissements ou des erreurs, effectuez les étapes indiquées pour résoudre le problème.
Problèmes liés à une configuration multisite (par exemple, activation d’un multisite, ajout de points d’entrée ou définition du contrôleur de domaine pour un point d’entrée) Effectuez les étapes décrites dans Dépanner un déploiement multisite.
La vignette État de la configuration sur le tableau de bord affiche un avertissement ou une erreur Effectuez les étapes indiquées dans Analyser l’état de distribution de la configuration du serveur d’accès à distance.
Problèmes liés à la configuration de l’équilibrage de charge (par exemple, la configuration échoue lorsque vous activez l’équilibrage de charge, ou des problèmes se produisent quand vous ajoutez ou supprimez des serveurs d’un cluster) Si vous activez l’équilibrage de charge ou l’ajout d’un nœud et que la configuration a été actualisée lorsque vous avez sélectionné Appliquer, mais que le cluster ne s’est pas correctement formé sur le serveur, exécutez la commande suivante : cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v DebugFlag /t REG_DWORD /d ""0xffffffff"" " pour collecter les journaux d’activité de l’interface utilisateur sur le nouveau serveur.
L’état des opérations affiche une erreur ou un avertissement une fois les étapes de résolution du problème terminées Si l’état des opérations affiche des informations incorrectes (par exemple, des erreurs que vous avez corrigées) :

- Activer la clé cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v EnableTracing /t REG_DWORD /d ""5"" "de Registre .
- Actualisez l’état des opérations et collectez les journaux à partir de %windir%\tracing.

Les ordinateurs clients DirectAccess exécutant Windows 8 ou une version ultérieure affichent l’état « Pas d’Internet » pour la connexion DirectAccess, et l’indicateur d’état de la connectivité réseau (NCSI) signale une connectivité limitée. Cela peut se produire lorsque le tunneling forcé est activé dans la configuration DirectAccess, auquel cas seul IPHTTPS est utilisé. Pour résoudre ce problème, vous pouvez créer et configurer un serveur proxy. NCSI utilise ensuite le serveur proxy pour effectuer des vérifications de connectivité Internet. Il est recommandé d’ajouter un proxy statique à la table de stratégie de résolution de noms (NRPT) en utilisant la procédure suivante.

Avant d’exécuter les commandes de cette procédure, veillez à remplacer tous les noms de domaine, noms d’ordinateur et autres variables de commande Windows PowerShell par des valeurs appropriées pour votre déploiement.

Configurez un proxy statique pour une règle NRPT :
1. Affichez la règle NRPT « . » : Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName>
2. Notez le nom (GUID) de la règle NRPT « . ». Le nom (GUID) doit commencer par DA-{..}
3. Définissez le proxy pour le « ». Règle NRPT sur proxy.corp.example.com:8080: Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName"
4. Afficher le « ». Règle NRPT à nouveau en exécutant Get-DnsClientNrptRule, et vérifiez qu’elle ProxyFQDN:port est maintenant correctement configurée.
5. Actualisez la stratégie de groupe en s’exécutant gpupdate /force sur un client DirectAccess lorsque le client est connecté en interne, puis affichez le NRPT à l’aide Get-DnsClientNrptPolicy et vérifiez que la règle ProxyFQDN:port« ».