Résoudre les problèmes d’activation de multisite

Cet article contient des informations de résolution des problèmes liés à l’applet de Enable-DAMultisite commande. Pour vérifier que l’erreur que vous avez reçue est liée à l’activation de multisite, consultez le journal des événements Windows pour l’ID d’événement 10051.

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Problèmes de connectivité des utilisateurs

Les utilisateurs peuvent rencontrer des problèmes de connectivité lorsque vous activez multisite si la configuration n’est pas correcte.

Cause

Dans un déploiement multisite, les ordinateurs clients Windows 10 et Windows 8 sont capables d’utiliser un profil itinérant entre différents points d’entrée. Les ordinateurs clients Windows 7 doivent être associés à un point d’entrée spécifique dans le déploiement multisite. Si les ordinateurs clients ne se trouvent pas dans le groupe de sécurité approprié, ils peuvent recevoir les paramètres de stratégie de groupe incorrects.

Solution

DirectAccess requiert au moins un groupe de sécurité pour tous les ordinateurs clients Windows 10 et Windows 8 ; nous vous recommandons d’utiliser un seul groupe de sécurité pour tous les ordinateurs Windows 10 et Windows 8 par domaine. DirectAccess requiert également un groupe de sécurité pour les ordinateurs clients Windows 7 pour chaque point d’entrée. Chaque ordinateur client doit être inclus dans un seul groupe de sécurité. Par conséquent, vous devez vous assurer que les groupes de sécurité des clients Windows 10 et Windows 8 contiennent uniquement des ordinateurs exécutant Windows 10 ou Windows 8, que chaque ordinateur client Windows 7 appartient à un seul groupe de sécurité dédié pour le point d’entrée concerné et qu’aucun client Windows 10 ou Windows 8 n’appartient aux groupes de sécurité Windows 7.

Configurez les groupes de sécurité Windows 8 depuis la page Sélectionner des groupes de l’Assistant Installation des clients DirectAccess. Configurez les groupes de sécurité Windows 7 depuis la page Prise en charge des clients de l’Assistant Activer le déploiement multisite ou depuis la page Prise en charge des clients de l’Assistant Ajouter un point d’entrée.

Authentification du proxy Kerberos

Erreur reçue

L’authentification du proxy Kerberos n’est pas prise en charge dans un déploiement multisite. Vous devez activer l’utilisation de certificats d’ordinateur pour l’authentification d’utilisateurs IPsec.

Cause

L’authentification du certificat d’ordinateur doit être activée avant d’activer le déploiement multisite.

Solution

Pour activer l’authentification du certificat d’ordinateur :

1. Dans la console Gestion de l’accès à distance, dans le volet d’informations, sous l’étape 2 Serveur d’accès à distance, sélectionnez Modifier.
2. Dans l’Assistant Installation du serveur d’accès à distance, dans la page Authentification , cochez la case Utiliser les certificats d’ordinateur, puis sélectionnez l’autorité de certification racine ou intermédiaire qui émet des certificats dans votre déploiement.

Pour activer l’authentification par certificat d’ordinateur à l’aide de Windows PowerShell, utilisez l’applet Set-DAServer de commande et spécifiez le IPsecRootCertificate paramètre.

Certificats IP-HTTPS

Erreur reçue

Le serveur DirectAccess utilise un certificat IP-HTTPS auto-signé. Configurez IP-HTTPS de manière à utiliser un certificat signé d’une autorité de certification connue.

Cause

Le certificat IP-HTTPS est auto-signé. Vous ne pouvez pas utiliser des certificats auto-signés dans un déploiement multisite.

Solution

Pour sélectionner un certificat IP-HTTPS :

1. Dans la console Gestion de l’accès à distance, dans le volet d’informations, sous l’étape 2 Serveur d’accès à distance, sélectionnez Modifier.
2. Dans l’Assistant Installation du serveur d’accès à distance, dans la page Cartes réseau, sous Sélectionner le certificat utilisé pour authentifier les connexions IP-HTTPS, vérifiez que la case Utiliser un certificat auto-signé créé automatiquement par DirectAccess est décoché, puis sélectionnez Parcourir pour sélectionner un certificat émis par une autorité de certification approuvée.

Serveur Emplacement réseau

Problème 1

Erreur reçue

DirectAccess est configuré pour utiliser un certificat auto-signé sur le serveur Emplacement réseau. Configurez le serveur Emplacement réseau pour qu’il utilise un certificat signé d’une autorité de certification.

Cause

Le serveur Emplacement réseau est déployé sur le serveur d’accès à distance et il utilise un certificat auto-signé. Vous ne pouvez pas utiliser des certificats auto-signés dans un déploiement multisite.

Solution

Pour sélectionner un certificat de serveur Emplacement réseau :

1. Dans la console Gestion de l’accès à distance, dans le volet d’informations, sous l’étape 3 Serveurs d’infrastructure, sélectionnez Modifier.
2. Dans l’Assistant Installation du serveur d’infrastructure, dans la page Serveur d’emplacement réseau, sous Le serveur d’emplacement réseau est déployé sur le serveur d’accès à distance, vérifiez que la case Utiliser un certificat auto-signé est désactivée, puis sélectionnez Parcourir pour sélectionner un certificat émis par une autorité de certification d’entreprise.

Problème 2

Erreur reçue

Pour déployer un cluster à charge réseau équilibrée ou un déploiement multisite, obtenez un certificat pour le serveur Emplacement réseau avec un nom du sujet différent du nom interne du serveur d’accès à distance.

Cause

Le nom du sujet du certificat utilisé pour le site Web du serveur Emplacement réseau est identique au nom interne du serveur d’accès à distance. Cela entraîne des problèmes de résolution de noms.

Solution

Obtenez un certificat dont le nom du sujet n’est pas le même que le nom interne du serveur d’accès à distance.

Pour configurer le serveur Emplacement réseau :

1. Dans la console Gestion de l’accès à distance, dans le volet d’informations, sous l’étape 3 Serveurs d’infrastructure, sélectionnez Modifier.
2. Dans l’Assistant Installation du serveur d’infrastructure, dans la page Serveur d’emplacement réseau, sous Le serveur d’emplacement réseau est déployé sur le serveur d’accès à distance, sélectionnez Parcourir pour sélectionner le certificat que vous avez obtenu précédemment. Le certificat doit porter un nom du sujet différent du nom interne du serveur d’accès à distance.

Ordinateurs clients Windows 7

Avertissement reçu

Lors de l’activation d’un déploiement multisite, les groupes de sécurité configurés pour les clients DirectAccess ne doivent pas contenir d’ordinateurs Windows 7. Pour prendre en charge les ordinateurs clients Windows 7 dans un déploiement multisite, sélectionnez un groupe de sécurité contenant les clients pour chaque point d’entrée.

Cause

Dans le déploiement DirectAccess existant, la prise en charge des clients Windows 7 a été activée.

Solution

DirectAccess requiert au moins un groupe de sécurité pour tous les ordinateurs clients Windows 8 et un groupe de sécurité pour les ordinateurs clients Windows 7 pour chaque point d’entrée. Chaque ordinateur client doit être inclus dans un seul groupe de sécurité. Par conséquent, vous devez vous assurer que les groupes de sécurité des clients Windows 8 contiennent uniquement des ordinateurs exécutant Windows 8, que chaque ordinateur client Windows 7 appartient à un seul groupe de sécurité dédié pour le point d’entrée concerné et qu’aucun client Windows 8 n’appartient aux groupes de sécurité Windows 7.

Site Active Directory

Erreur reçue

Le serveur <server_name> n’est pas associé à un site Active Directory.

Cause

DirectAccess n’a pas pu déterminer le site Active Directory. Dans la console Sites et services Active Directory, vous pouvez configurer les différents sous-réseaux de votre réseau et associer chacun d’eux au site Active Directory approprié. Cette erreur peut se produire si l’adresse IP du serveur d’accès à distance n’appartient à aucun des sous-réseaux, ou si le sous-réseau auquel appartient l’adresse IP n’est pas défini avec un site Active Directory.

Solution

Confirmez que ce site est la source du problème en exécutant la commande nltest /dsgetsite sur votre serveur d’accès à distance. S’il s’agit du problème, la commande retourne ERROR_NO_SITENAME. Pour remédier à ce problème, sur votre contrôleur de domaine, vérifiez qu’il existe un sous-réseau contenant l’adresse IP du serveur interne et qu’il est défini avec un site Active Directory.

Enregistrement des paramètres de l’objet de stratégie de groupe serveur

Erreur reçue

Une erreur s’est produite lors de l’enregistrement des paramètres de configuration d’accès à distance dans l’objet de stratégie de groupe <GPO_name>.

Cause

Les modifications apportées à l’objet de stratégie de groupe de serveur n’ont pas pu être enregistrées en raison de problèmes de connectivité ou en cas de violation de partage sur le fichier registry.pol , par exemple, un autre utilisateur a verrouillé le fichier.

Solution

Assurez-vous que la connectivité est établie entre le serveur d’accès à distance et le contrôleur de domaine. S’il existe une connectivité, vérifiez sur le contrôleur de domaine si le fichier registry.pol est verrouillé sur un autre utilisateur et, si nécessaire, finaux cette session utilisateur pour déverrouiller le fichier.

Survenue d’une erreur interne

Erreur reçue

Une erreur interne s’est produite.

Cause

Cela peut être dû à une configuration inattendue de table de points d’entrée dans l’objet de stratégie de groupe client. Cela peut se produire si l’administrateur utilise des applets de commande de clients DirectAccess pour modifier la table de points d’entrée dans l’objet de stratégie de groupe client.

Solution

Examinez la configuration de la table de points d’entrée dans tous les objets de stratégie de groupe clients et corrigez toutes les incohérences dans la configuration multisite entre les différentes instances des objets de stratégie de groupe clients et la configuration DirectAccess. Utilisez l’applet de commande Get-DaEntryPointTableItem avec le nom de l’objet de stratégie de groupe client pour obtenir la table de points d’entrée sur le client. Utilisez l’applet de commande Get-NetIPHttpsConfiguration pour obtenir tous les profils IP-HTTPS de tous les points d’entrée.

Pour plus d’informations, consultez Applets de commande client DirectAccess dans Windows PowerShell.