次の方法で共有

マルチサイトの有効化のトラブルシューティング

  • [アーティクル]

この記事には、 Enable-DAMultisite コマンドレットに関連する問題のトラブルシューティング情報が含まれています。 受信したエラーがマルチサイトの有効化に関連していることを確認するには、Windows イベント ログでイベント ID 10051 を確認します。

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

ユーザー接続の問題

構成が正しくない場合、マルチサイトを有効にすると、接続の問題が発生する可能性があります。

原因

マルチサイト展開では、Windows 10 と Windows 8 のクライアント コンピューターは異なるエントリ ポイント間をローミングできます。 Windows 7 のクライアント コンピューターは、マルチサイト展開内の特定のエントリ ポイントに関連付けられている必要があります。 クライアント コンピューターが正しいセキュリティ グループに含まれていない場合は、間違ったグループ ポリシー設定を受け取る可能性があります。

ソリューション

DirectAccess では、Windows 10 と Windows 8 のすべてのクライアント コンピューター用に少なくとも 1 つのセキュリティ グループが必要です。ドメインごとに Windows 10 と Windows 8 のすべてのコンピューターに対して 1 つのセキュリティ グループを使うことをお勧めします。 DirectAccess では、エントリ ポイントごとに Windows 7 クライアント コンピューター用のセキュリティ グループも必要です。 各クライアント コンピューターは、1 つのセキュリティ グループにのみ属している必要があります。 したがって、Windows 10 および Windows 8 クライアント用のセキュリティ グループに Windows 10 または Windows 8 を実行しているコンピューターのみが含まれていること、各 Windows 7 クライアント コンピューターが関連するエントリ ポイント専用の単一のセキュリティ グループに属していること、および Windows 10 または Windows 8 クライアントが Windows 7 のセキュリティ グループに属していないことを確認する必要があります。

Windows 8 のセキュリティ グループは、DirectAccess クライアントのセットアップ ウィザードの [グループの選択] ページで構成します。 Windows 7 のセキュリティ グループは、マルチサイト展開の有効化ウィザードの [クライアントのサポート] ページまたはエントリ ポイントの追加ウィザードの [クライアントのサポート] ページで構成します。

Kerberos プロキシ認証

エラーが発生しました

Kerberos プロキシ認証はマルチサイト展開ではサポートされていません。 コンピューター証明書を IPsec ユーザー認証に使用できるようにする必要があります。

原因

マルチサイトを有効にする前に、コンピューター証明書認証を有効にする必要があります。

解決方法

コンピューター証明書認証を有効にするには、次の手順を実行します。

  1. リモート アクセス管理コンソールの詳細ウィンドウの Step 2 リモート アクセス サーバーで、 Edit を選択します。
  2. リモート アクセス サーバーのセットアップ ウィザードの Authentication ページで、コンピューター証明書の使用チェック ボックスをオンにし、展開で証明書を発行するルート証明機関または中間証明機関を選択します。

Windows PowerShell を使用してコンピューター証明書認証を有効にするには、 Set-DAServer コマンドレットを使用し、 IPsecRootCertificate パラメーターを指定します。

IP-HTTPS 証明書

エラーが発生しました

DirectAccess サーバーで IP-HTTPS 自己署名証明書が使用されています。 既知の CA から発行された署名入りの証明書を使用するように IP-HTTPS を構成してください。

原因

IP-HTTPS 証明書が自己署名されています。 マルチサイト展開で自己署名証明書を使用することはできません。

解決方法

IP-HTTPS 証明書を選択するには、次の手順を実行します。

  1. リモート アクセス管理コンソールの詳細ウィンドウの Step 2 リモート アクセス サーバーで、 Edit を選択します。
  2. リモート アクセス サーバーのセットアップ ウィザードの Network Adapters ページの IP-HTTPS 接続の認証に使用する証明書を選択します DirectAccess によって自動的に作成された自己署名証明書を使用するチェック ボックスがオフになっていることを確認し、 Browse を選択して、信頼された CA によって発行された証明書を選択します。

ネットワーク ロケーション サーバー

問題 1

エラーが発生しました

DirectAccess は、ネットワーク ロケーション サーバーの自己署名証明書を使用するように構成されています。 CA から発行された署名入りの証明書を使用するようにネットワーク ロケーション サーバーを構成してください。

原因

ネットワーク ロケーション サーバーがリモート アクセス サーバー上に展開されていて、自己署名証明書を使用しています。 マルチサイト展開で自己署名証明書を使用することはできません。

解決方法

ネットワーク ロケーション サーバーの証明書を選択するには、次の手順を実行します。

  1. リモート アクセス管理コンソールの詳細ウィンドウの Step 3 インフラストラクチャ サーバーで、 Edit を選択します。
  2. Infrastructure Server Setup ウィザードの Network Location Server ページの ネットワーク ロケーション サーバーがリモート アクセス サーバーに展開されていることを確認自己署名証明書を使用しますチェック ボックスがオフになっていることを確認し、Browse を選択して、エンタープライズ CA によって発行された証明書を選択します。

問題 2

エラーが発生しました

ネットワーク負荷分散クラスターまたはマルチサイト展開を展開するには、リモート アクセス サーバーの内部名とは異なるサブジェクト名を持つネットワーク ロケーション サーバーの証明書を取得してください。

原因

ネットワーク ロケーション サーバーの Web サイト用証明書のサブジェクト名がリモート アクセス サーバーの内部名と同じです。 これは名前解決の問題を引き起こします。

解決方法

リモート アクセス サーバーの内部名とは異なるサブジェクト名を持つ証明書を取得します。

ネットワーク ロケーション サーバーを構成するには、次の手順を実行します。

  1. リモート アクセス管理コンソールの詳細ウィンドウの Step 3 インフラストラクチャ サーバーで、 Edit を選択します。
  2. Infrastructure Server Setup ウィザードの [Network Location Server] ページの [ネットワーク ロケーション サーバーはリモート アクセス サーバーに展開されますBrowse を選択して、前に取得した証明書を選択します。 この証明書は、リモート アクセス サーバーの内部名とは異なるサブジェクト名を持っている必要があります。

Windows 7 クライアント コンピューター

受信した警告

マルチサイトを有効にする場合は、DirectAccess クライアント用に構成されたセキュリティ グループに Windows 7 コンピューターを含めることはできません。 マルチサイト展開で Windows 7 クライアント コンピューターをサポートするには、それらのクライアントを含むセキュリティ グループを各エントリ ポイントに対して選択します。

原因

既存の DirectAccess 展開で、Windows 7 クライアント サポートが有効になっていました。

解決方法

DirectAccess では、すべての Windows 8 クライアント コンピューター用に少なくとも 1 つのセキュリティ グループと、各エントリ ポイントの Windows 7 クライアント コンピューター用に 1 つのセキュリティ グループが必要です。 各クライアント コンピューターは、1 つのセキュリティ グループにのみ属している必要があります。 したがって、Windows 8 クライアント用のセキュリティ グループに Windows 8 を実行しているコンピューターのみが含まれていること、各 Windows 7 クライアント コンピューターが関連するエントリ ポイント専用の単一のセキュリティ グループに属していること、および Windows 8 クライアントが Windows 7 のセキュリティ グループに属していないことを確認する必要があります。

Active Directory サイト

エラーが発生しました

サーバー <サーバー名> は Active Directory サイトに関連付けられていません。

原因

DirectAccess は、Active Directory サイトを特定できませんでした。 Active Directory サイトとサービス コンソールでは、ネットワークのさまざまなサブネットを構成し、各サブネットを関連する Active Directory サイトに関連付けることができます。 このエラーは、リモート アクセス サーバーの IP アドレスがいずれのサブネットにも属していない場合、または IP アドレスが属するサブネットが Active Directory サイトで定義されていない場合に発生する可能性があります。

ソリューション

リモート アクセス サーバーで nltest /dsgetsite コマンドを実行して、この問題が生じているかどうかを確認します。 これが問題の場合、コマンドは ERROR_NO_SITENAMEを返します。 この問題を解決するには、内部サーバーの IP アドレスを含むサブネットが存在すること、およびそのサブネットが Active Directory サイトで定義されていることを確認します。

サーバーの GPO 設定の保存

エラーが発生しました

An error occurred while saving Remote Access settings to GPO <GPO_name>. (リモート アクセスの設定を GPO に保存しているときにエラーが発生しました。)

原因

接続の問題や、 registry.pol ファイルで共有違反が発生した場合 (たとえば、別のユーザーがファイルをロックしている場合など)、サーバー GPO に対する変更を保存できませんでした。

解決方法

リモート アクセス サーバーとドメイン コントローラー間に接続が存在することを確認します。 接続がある場合は、 registry.pol ファイルが別のユーザーにロックされているかどうかをドメイン コントローラーで確認し、必要に応じて、そのユーザー セッションを終了してファイルのロックを解除します。

内部エラーの発生

エラーが発生しました

内部エラーが発生しました。

原因

これは、クライアント GPO の予期しないエントリ ポイント テーブルの構成が原因である可能性があります。 管理者が DirectAccess クライアント コマンドレットを使用してクライアント GPO のエントリ ポイント テーブルを編集した場合に発生する可能性があります。

解決方法

すべてのクライアント GPO のエントリ ポイント テーブル構成を確認し、クライアント GPO のさまざまなインスタンスと DirectAccess 構成の間のマルチサイト構成の不整合をすべて解決します。 クライアント GPO の名前を指定して Get-DaEntryPointTableItem コマンドレットを実行し、クライアントのエントリ ポイント テーブルを取得します。 Get-NetIPHttpsConfiguration コマンドレットを使用して、すべてのエントリ ポイントの IP-HTTPS プロファイルをすべて取得します。

詳細については、「Windows PowerShell DirectAccess クライアント コマンドレット」を参照してください。