針對啟用多月台進行疑難解答
本文包含 Cmdlet 相關問題的 Enable-DAMultisite 疑難解答資訊。 若要確認您收到的錯誤與啟用多月台有關,請檢查 Windows 事件記錄檔中的事件識別碼 10051。
適用於: Windows Server 2022、Windows Server 2019、Windows Server 2016
使用者連線問題
如果設定不正確,使用者可能會在啟用多月臺時遇到連線問題。
原因
在多站台部署中,Windows 10 和 Windows 8 用戶端電腦能夠在不同進入點之間漫遊。 Windows 7 用戶端電腦必須與多站台部署中的特定進入點關聯。 如果客戶端電腦不在正確的安全組中,他們可能會收到錯誤的組策略設定。
方案
DirectAccess 至少需要一個用於所有 Windows 10 和 Windows 8 用戶端電腦的安全性群組;我們建議為每個網域的所有 Windows 10 和 Windows 8 電腦使用一個安全性群組。 DirectAccess 也需要一個安全性群組以便用於每個進入點的 Windows 7 用戶端電腦。 每部用戶端電腦應只包含於一個安全性群組中。 因此,您應該確定 Windows 10 和 Windows 8 用戶端的安全性群組只包含執行 Windows 10 和 Windows 8 的電腦,每部 Windows 7 用戶端電腦隸屬於相關進入點的單一專用安全性群組,而且沒有 Windows 10 和 Windows 8 用戶端隸屬於 Windows 7 安全性群組。
在 [DirectAccess 用戶端安裝] 精靈的 [選取群組] 頁面上,設定 Windows 8 安全性群組。 在 [啟用多站台部署] 精靈的 [用戶端支援] 頁面上,或在 [新增進入點] 精靈的 [用戶端支援] 頁面上,設定 Windows 7 安全性群組。
Kerberos Proxy 驗證
收到錯誤
多站台部署中不支援 Kerberos Proxy 驗證。 您必須啟用電腦憑證的使用,才能進行 IPsec 使用者驗證。
原因
啟用多站台之前,必須先啟用電腦憑證驗證。
方案
若要啟用電腦憑證驗證:
- 在 [遠端存取管理控制台] 的 [詳細數據] 窗格中,於 [步驟 2 遠端存取伺服器] 底下,選取 [編輯]。
- 在 [遠端存取伺服器安裝精靈] 的 [驗證] 頁面上,選取 [使用計算機憑證] 複選框,然後選取發行您部署中憑證的跟證書或中繼證書頒發機構單位。
若要使用 Windows PowerShell 啟用電腦憑證驗證,請使用 Set-DAServer Cmdlet 並指定 IPsecRootCertificate 參數。
IP-HTTPS 憑證
收到錯誤
DirectAccess 伺服器使用自我簽署的 IP-HTTPS 憑證。 請設定 IP-HTTPS 使用來自已知 CA 的已簽署憑證。
原因
IP-HTTPS 憑證是自我簽署。 您無法在多站台部署中使用自我簽署憑證。
方案
若要選取 IP-HTTPS 憑證:
- 在 [遠端存取管理控制台] 的 [詳細數據] 窗格中,於 [步驟 2 遠端存取伺服器] 底下,選取 [編輯]。
- 在 [遠端存取伺服器安裝精靈] 的 [網络適配器] 頁面上,於 [選取用來驗證 IP-HTTPS 連線的憑證] 底下,確定已清除 [使用 DirectAccess 自動建立的自我簽署憑證] 複選框,然後選取 [流覽] 以選取受信任的 CA 所簽發的憑證。
網路位置伺服器
問題 1
收到錯誤
DirectAccess 已設定成針對網路位置伺服器使用自我簽署憑證。 請設定網路位置伺服器以使用來自 CA 的已簽署憑證。
原因
網路位置伺服器部署於遠端存取伺服器上,而且使用自我簽署憑證。 您無法在多站台部署中使用自我簽署憑證。
方案
若要選取網路位置伺服器憑證:
- 在 [遠端存取管理控制台] 的 [詳細數據] 窗格中,於 [步驟 3 基礎結構伺服器] 底下,選取 [編輯]。
- 在 [基礎結構伺服器安裝精靈] 的 [網络位置伺服器] 頁面上,[網络位置伺服器] 底下部署在 [遠端訪問] 伺服器上,確定已清除 [使用自我簽署憑證] 複選框,然後選取 [流覽] 以選取企業 CA 所簽發的憑證。
問題 2
收到錯誤
若要部署網路負載平衡叢集或多站台叢集,請針對網路位置伺服器取得主體名稱與遠端存取伺服器內部名稱不同的憑證。
原因
用於網路位置伺服器網站的憑證主體名稱與遠端存取伺服器的內部名稱相同。 這會造成名稱解析問題。
方案
取得主體名稱與遠端存取伺服器內部名稱不相同的憑證。
若要設定網路位置伺服器:
- 在 [遠端存取管理控制台] 的 [詳細數據] 窗格中,於 [步驟 3 基礎結構伺服器] 底下,選取 [編輯]。
- 在 [基礎結構伺服器安裝精靈] 的 [網络位置伺服器] 頁面上,於 [遠端存取伺服器] 底下的 [網络位置伺服器] 底下,選取 [流覽] 以選取您先前取得的憑證。 憑證的主體名稱必須與遠端存取伺服器的內部名稱不同。
Windows 7 用戶端電腦
收到警告
啟用多站台功能時,為 DirectAccess 用戶端設定的安全性群組不能包含 Windows 7 電腦。 若要在多站台部署中支援 Windows 7 用戶端電腦,請為每個進入點選取含有用戶端的安全性群組。
原因
在現有的 DirectAccess 部署中,已啟用 Windows 7 用戶端支援。
方案
DirectAccess 至少需要一個用於所有 Windows 8 用戶端電腦的安全性群組,以及一個用於每個進入點的 Windows 7 用戶端電腦的安全性群組。 每部用戶端電腦應只包含於一個安全性群組中。 因此,您應該確定 Windows 8 用戶端的安全性群組只包含執行 Windows 8 的電腦,每部 Windows 7 用戶端電腦隸屬於相關進入點的單一專用安全性群組,而且沒有 Windows 8 用戶端隸屬於 Windows 7 安全性群組。
Active Directory 站台
收到錯誤
伺服器 server_name<> 沒有關聯的 Active Directory 站台。
原因
DirectAccess 無法判斷 Active Directory 站台。 在 [Active Directory 站台及服務] 主控台中,您可以為網路設定不同的子網路,並將每個子網路與相關的 Active Directory 站台關聯。 如果遠端訪問伺服器的IP位址不屬於任何子網,或IP位址所屬的子網未使用Active Directory 網站定義,就可能發生此錯誤。
方案
確認這是在遠端存取伺服器上執行 nltest /dsgetsite 命令的問題。 如果這是問題,命令會傳回 ERROR_NO_SITENAME。 若要解決此問題,請在網域控制站上,確認已經有包含內部伺服器 IP 位址的子網路,並且使用 Active Directory 站台來定義子網路。
儲存伺服器 GPO 設定
收到錯誤
將遠端存取設定儲存至 GPO GPO_name<> 時發生錯誤。
原因
伺服器 GPO 變更無法儲存,因為連線問題或登錄.pol 檔案上發生共享違規,例如,其他使用者已鎖定檔案。
方案
確認遠端存取伺服器和網域控制站之間有連線能力。 如果有連線能力,請檢查域控制器上登錄.pol 檔案是否鎖定給其他使用者,並在必要時結束該用戶會話以解除鎖定檔案。
發生內部錯誤
收到錯誤
發生內部錯誤。
原因
這可能是由用戶端 GPO 中的非預期進入點數據表組態所造成。 如果系統管理員使用 DirectAccess 用戶端 Cmdlet 編輯用戶端 GPO 中的進入點表格,就會發生這種情況。
方案
檢閱所有用戶端 GPO 的進入點表格設定,並修正用戶端 GPO 和 DirectAccess 設定的不同執行個體之間,多站台設定中的任何不一致。 使用 Get-DaEntryPointTableItem Cmdlet 搭配用戶端 GPO 的名稱,取得用戶端的進入點表格。 使用 Get-NetIPHttpsConfiguration Cmdlet 取得所有進入點的所有 IP-HTTPS 設定檔。
如需詳細資訊,請參閱 Windows PowerShell 中的 DirectAccess 用戶端 Cmdlet。