Résoudre les problèmes liés à l’ajout de points d’entrée
Cet article contient des informations de résolution des problèmes liés à la Add-DAEntryPoint commande. Pour confirmer que l’erreur que vous avez reçue est liée à l’ajout d’un point d’entrée, recherchez l’ID d’événement 10067 dans le journal des événements Windows.
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Paramètre RemoteAccessServer manquant
Erreur reçue
Vous devez fournir une valeur pour le paramètre RemoteAccessServer.
Cause
Lors de l’ajout d’un nouveau point d’entrée à un déploiement multisite, vous devez spécifier le paramètre RemoteAccessServer, qui est le nom du serveur que vous souhaitez ajouter comme nouveau point d’entrée.
Solution
Exécutez la commande et veillez à spécifier le RemoteAccessServer paramètre avec le nom du serveur à ajouter en tant que point d’entrée.
L’accès à distance n’est pas configuré
Erreur reçue
L’accès à distance n’est pas configuré sur <server_name>. Spécifiez le nom d’un serveur qui appartient à un déploiement multisite.
Cause
L’accès à distance n’est pas configuré sur l’ordinateur spécifié par le ComputerName paramètre ou sur l’ordinateur sur lequel vous exécutez la commande.
Lors de l’ajout d’un nouveau point d’entrée à un déploiement multisite, vous devez spécifier deux paramètres : ComputerName et RemoteAccessServer. Il ComputerName s’agit du nom d’un serveur qui fait déjà partie du déploiement multisite, il RemoteAccessServer s’agit du nom du serveur que vous souhaitez ajouter comme nouveau point d’entrée. Si vous exécutez à partir d’un ordinateur qui fait partie du déploiement multisite, le ComputerName paramètre n’est pas obligatoire.
Solution
Exécutez la commande et veillez à spécifier le ComputerName paramètre avec le nom du serveur déjà configuré dans le cadre du déploiement multisite, ou exécutez la commande à partir d’un ordinateur qui fait partie du déploiement multisite.
Multisite non activé
Erreur reçue
Vous devez activer un déploiement multisite avant d’effectuer cette opération. Pour ce faire, utilisez l’applet de commande Enable-DAMultiSite.
Cause
Multisite n’est pas activé sur le serveur spécifié par le paramètre ComputerName . Pour ajouter un nouveau point d’entrée à un déploiement de l’accès à distance, vous devez d’abord activer un déploiement multisite.
Solution
Activez un déploiement multisite à l’aide de l’applet de commande Enable-DaMultiSite. Pour plus d’informations, voir Déployer l’accès à distance multisite.
Problèmes de préfixe IPv6
Problème 1
Erreur reçue
IPv6 est déployé dans le réseau interne, mais vous n’avez pas spécifié un préfixe IPv6 de client.
Cause
Le protocole IPv6 est déployé sur le réseau d’entreprise et un préfixe IP-HTTPS est requis. Toutefois, un préfixe n’a pas été spécifié dans le ClientIPv6Prefix paramètre pour le nouveau point d’entrée.
Solution
- Affectez un préfixe IP-HTTPS unique au nouveau point d’entrée et assurez-vous que les paquets ciblés vers une adresse IP sous ce préfixe seront routés vers le serveur que vous ajoutez.
- Exécutez l’applet
Add-DAEntryPointde commande et spécifiez le préfixe IP-HTTPS dans leClientIPv6Prefixparamètre.
Problème 2
Erreur reçue
Le préfixe IPv6 du client est déjà utilisé par un autre point d’entrée. Donnez une autre valeur.
Cause
Le préfixe IP-HTTPS spécifié dans le ClientIPv6Prefix paramètre est déjà utilisé par un autre point d’entrée
Solution
- Affectez un préfixe IP-HTTPS unique au nouveau point d’entrée et assurez-vous que les paquets ciblés vers une adresse IP sous ce préfixe seront routés vers le serveur que vous ajoutez.
- Exécutez l’applet
Add-DAEntryPointde commande et spécifiez le préfixe IP-HTTPS dans leClientIPv6Prefixparamètre.
Adresse ConnectTo
Erreur reçue
L’adresse (<connect_to_address>) à laquelle se connectent les clients DirectAccess sur le serveur d’accès à distance est identique à l’adresse du serveur Emplacement réseau. Donnez une autre valeur.
Cause
L’adresse ConnectTo et celle du serveur Emplacement réseau sont les mêmes.
Solution
L’adresse ConnectTo doit pouvoir être résolue sur Internet afin de permettre aux ordinateurs clients de se connecter via le protocole IP-HTTPS. L’adresse du serveur Emplacement réseau doit pouvoir être résolue sur le réseau d’entreprise, mais pas sur Internet. Assurez-vous que l’adresse du serveur Emplacement réseau et l’adresse ConnectTo ne sont pas identiques. Sélectionnez des adresses différentes et réessayez.
DirectAccess ou réseau privé virtuel déjà installé
Erreur reçue
Une installation VPN a été détectée sur le serveur <server_name>. Spécifiez un autre serveur qui n’a pas d’accès à distance installé ou supprimez la configuration VPN du serveur.
Or
L’accès à distance est déjà installé sur le serveur <server_name>. Spécifiez un autre serveur qui n’exécute pas DirectAccess, ou supprimez la configuration DirectAccess existante du serveur.
Cause
DirectAccess ou un réseau privé virtuel est déjà installé sur le nouveau point d’entrée. Vous ne pouvez pas ajouter de point d’entrée configuré à un déploiement multisite.
Solution
Pour ajouter un serveur à un déploiement multisite, vous devez installer le rôle Accès à distance sur le serveur mais DirectAccess et le réseau privé virtuel ne doivent pas être configurés.
Exécutez la commande et vérifiez que le serveur que vous spécifiez dans le RemoteAccessServer paramètre ne dispose pas de DirectAccess ou d’un VPN configuré.
Certificat racine IPsec
Erreur reçue. Le certificat racine IPsec configuré ne peut pas se trouver sur le serveur <server_name>.
Cause
Le certificat de l’autorité de certification racine ou intermédiaire qui émet des certificats d’ordinateur est introuvable sur le serveur que vous essayez d’ajouter au déploiement.
Solution
Dans la console Gestion de l’accès à distance, dans Étape 2 : Serveur d’accès à distance, cliquez sur Modifier, puis dans la page Authentification, sous Utiliser les certificats d’ordinateur, assurez-vous que le certificat sélectionné est valide. Si le certificat est valide, assurez-vous qu’il se trouve sous l’autorité de certification racine approuvée sur le serveur que vous souhaitez ajouter et réessayez.
Note
Le certificat doit être le même certificat avec la même empreinte numérique.
Si le certificat n’est pas valide, sélectionnez un certificat valide configuré comme autorité de certification racine approuvée sur tous les serveurs d’accès à distance.
Mélange de points d’entrée IPv6 et IPv4
Lors de la première installation de DirectAccess, la carte réseau interne est inspectée afin de déterminer si le réseau contient des adresses IPv4 uniquement (réseau uniquement IPv4), des adresses IPv6 et IPv4 ou des adresses IPv6 uniquement (réseau uniquement IPv6). Ces informations sont utilisées pour déterminer le type de déploiement (IPv4 uniquement, IPv6+IPv4 ou IPv6 uniquement).
Problème 1
Avertissement reçu
Le serveur d’accès à distance ajouté est configuré avec des adresses IPv4 et IPv6. Il s’agit d’un déploiement IPv4 uniquement et l’accès à distance ignorera les adresses IPv6.
Cause
Lors de la première installation de ce déploiement, le réseau interne a été détecté en tant que réseau IPv4 uniquement. Dans un déploiement multisite, les différents points d’entrée sont supposés se trouver dans différents sous-réseaux dont les caractéristiques sont différentes. Par conséquent, bien que le déploiement soit configuré en tant que déploiement IPv4 uniquement, il peut contenir un point d’entrée situé dans un sous-réseau IPv6+IPv4. Cependant, bien que le point d’entrée soit ajouté au déploiement, DirectAccess ignore les adresses IPv6 configurées sur l’interface interne du nouveau point d’entrée.
Solution
Si le réseau interne entier est configuré avec des adresses IPv6 et IPv4, envisagez de passer à un déploiement IPv6+IPv4 pour tirer parti des technologies IPv6. Voir « Transition depuis un réseau d’entreprise IPv4 pur vers un réseau d’entreprise IPv6+IPv4 » dans Étape 3 : Planifier le déploiement multisite.
Problème 2
Erreur reçue
Les cartes réseau internes des serveurs d’accès distant de ce déploiement multisite sont configurées avec des adresses IPv4. Le point d’entrée que vous ajoutez doit également être configuré avec une adresse IPv4 sur la carte réseau interne.
Cause
Lors de la première installation de ce déploiement, le réseau interne a été détecté en tant que réseau IPv4 uniquement. L’accès à distance a détecté que le point d’entrée que vous essayez d’ajouter est configuré avec uniquement des adresses IPv6 sur son réseau interne. Cela n’est pas autorisé dans un déploiement IPv4 uniquement.
Solution
Si le réseau entier est déjà configuré avec des adresses IPv6, vous devez passer à un déploiement IPv6+IPv4 ou IPv6 uniquement. Consultez « Planifier la transition vers IPv6 lorsque l’accès à distance multisite est déployé ».
Problème 3
Erreur reçue
Ce point d’entrée se situe dans un réseau IPv4, mais les points d’entrée précédents sont situés dans un réseau IPv6. Connectez ce point d’entrée au réseau IPv6 avant de l’ajouter au même déploiement multisite.
Cause
Lors de la première installation de ce déploiement, il a été détecté que le réseau interne était un réseau IPv6+IPv4 ou IPv6 uniquement. Il a été détecté que seules les adresses IPv4 sont configurées sur le réseau interne sur le nouveau point d’entrée que vous essayez d’ajouter. Cela n’est pas autorisé dans les déploiements IPv6+IPv4 ou IPv6 uniquement.
Solution
Configurez le nouveau point d’entrée avec des adresses IPv6, puis ajoutez-le au déploiement multisite.
Problème 4
Avertissement reçu
La carte réseau interne sur le serveur d’accès à distance n’est pas configurée avec une adresse IPv4. DNS64 et NAT64 ne seront pas configurés sur ce serveur. Les clients DirectAccess peuvent accéder uniquement aux serveurs internes IPv6.
Cause
Lors de la première installation de ce déploiement, il a été détecté que le réseau interne était un réseau IPv6+IPv4. Dans ce mode de déploiement, DNS64 et NAT64 sont activés de sorte à autoriser les ordinateurs clients à accéder aux ordinateurs situés sur le réseau interne qui sont configurés avec des adresses IPv4 uniquement.
Lors de l’ajout du nouveau point d’entrée, l’accès à distance a détecté que l’interface interne située sur le nouvel ordinateur possède uniquement des adresses IPv6. Pour configurer DNS64 et NAT64, une adresse IPv4 est requise afin d’acheminer les paquets depuis le serveur d’accès à distance vers l’ordinateur uniquement IPv4. Étant donné qu’il n’existe aucune adresse IP de ce type sur le nouvel ordinateur, NAT64 et DNS64 ne sont pas configurés sur le serveur d’accès à distance. Par conséquent, les ordinateurs clients qui accèdent au réseau d’entreprise via DirectAccess à l’aide de ce point d’entrée ne sont pas en mesure d’accéder aux serveurs IPv4 uniquement sur le réseau interne. Pour plus d’informations sur la transition vers un réseau IPv6+IPv4 ou un réseau IPv6 uniquement, consultez « Planifier la transition vers IPv6 lorsque l’accès à distance multisite est déployé ».
Solution
Ajoutez une adresse IPv4 au nouveau serveur d’accès à distance pour garantir le bon fonctionnement de DNS64 et NAT64.
Problèmes de domaine avec le paramètre ServerGpoName
Problème 1
Erreur reçue
Le domaine spécifié dans le paramètre <ServerGpoName server_GPO> n’existe pas. Spécifiez le domaine <domain_name> à la place.
Cause
La partie nom de domaine du nom de l’objet de stratégie de groupe du serveur envoyée par l’administrateur n’a pas été trouvée.
Solution
Vérifiez que vous avez correctement tapé le nom du domaine. Si le nom de domaine est correct, réessayez en utilisant le nom de domaine complet.
Problème 2
Erreur reçue
L’objet de stratégie de groupe du serveur doit se situer dans le domaine du serveur d’accès à distance. Spécifiez le domaine <domain_name> dans le paramètre ServerGpoName.
Cause
Le domaine de l’objet de stratégie de groupe de serveur n’est pas le même que celui auquel appartient le serveur d’accès à distance.
Solution
L’objet de stratégie de groupe du serveur doit se situer dans le même domaine que celui du serveur d’accès à distance. Utilisez le nom de domaine du serveur pour l’objet de stratégie de groupe du serveur, puis réessayez.
DNS Split-Brain
Avertissement reçu
L’entrée NRPT pour le suffixe DNS <DNS_suffix> contient le nom public utilisé par les ordinateurs clients pour la connexion au serveur d’accès à distance. Ajoutez le nom <connect_to_address> en tant qu’exemption dans la table NRPT.
Cause
Vous utilisez le DNS fractionné du cerveau. Pour autoriser des clients à se connecter à l’aide du protocole IP-HTTPS, vous devez vous assurer que l’adresse ConnectTo sélectionnée est exempte dans les règles NRPT.
Solution
En cas de déploiement multisite, assurez-vous que toutes les adresses ConnectTo des différents points d’entrées sont exemptes des règles NRPT.
Pour exempter une adresse dans les règles NRPT :
- Dans la console Gestion de l’accès à distance, sous l’étape 3 Serveurs d’infrastructure, sélectionnez Modifier.
- Dans l’Assistant Installation du serveur d’infrastructure, dans la page DNS, double-cliquez sur la table pour entrer un nouveau suffixe de nom.
- Dans la boîte de dialogue Adresses du serveur DNS, dans le suffixe DNS, entrez l’adresse ConnectTo du point d’entrée, puis sélectionnez Appliquer.
Lorsque vous ajoutez des suffixes de noms sans spécifier d’adresse de serveur, le suffixe est traité comme une exemption NRPT.
Enregistrement des paramètres de l’objet de stratégie de groupe serveur
Erreur reçue
Une erreur s’est produite lors de l’enregistrement des paramètres de configuration de l’accès à distance dans l’objet de stratégie de groupe <nom_GPO>.
Pour résoudre cette erreur, consultez Enregistrement des paramètres de l’objet de stratégie de groupe de serveur dans Résolution des problèmes d’activation multisite.
Les mises à jour des objets de stratégie de groupe ne peuvent pas être appliquées
Avertissement reçu
Les mises à jour des objets de stratégie de groupe ne peuvent pas être appliquées sur <server_name>. Les modifications apportées ne prendront effet qu’après la prochaine actualisation de la stratégie.
Cause
Une erreur s’est produite lors de la tentative d’actualisation des stratégies sur l’ordinateur spécifié. Par conséquent, les modifications apportées ne prendront effet qu’après la prochaine actualisation de la stratégie.
Solution
Pour forcer une actualisation des stratégies, exécutez gpupdate /force sur l’ordinateur spécifié.