エントリ ポイントの追加のトラブルシューティング

  • [アーティクル]

この記事には、コマンドに関連する問題のトラブルシューティング情報が Add-DAEntryPoint 含まれています。 受信したエラーがエントリ ポイントの追加に関連していることを確認するには、イベント ID 10067 の Windows イベント ログにチェックします。

適用対象:Windows Server 2022、Windows Server 2019、Windows Server 2016

RemoteAccessServer パラメーターがありません

受信したエラー

パラメーター RemoteAccessServerの値を指定する必要があります。

原因

マルチサイト展開に新しいエントリ ポイントを追加する場合は、 パラメーター RemoteAccessServerを指定する必要があります。これは、新しいエントリ ポイントとして追加するサーバーの名前です。

解決方法

コマンドを実行し、エントリ ポイントとして追加するサーバーの名前を持つパラメーターを指定 RemoteAccessServer してください。

リモート アクセスが構成されていない

受信したエラー

リモート アクセスは、server_name>で<構成されていません。 マルチサイト展開に属するサーバーの名前を指定します。

原因

リモート アクセスは、 パラメーターで ComputerName 指定されたコンピューター、またはコマンドを実行するコンピューターでは構成されていません。

マルチサイト展開に新しいエントリ ポイントを追加する場合は、 と RemoteAccessServerの 2 つのパラメーターComputerNameを指定する必要があります。 ComputerNameは、既にマルチサイト展開の一部であるサーバーの名前です。はRemoteAccessServer、新しいエントリ ポイントとして追加するサーバーの名前です。 マルチサイト展開の一部であるコンピューターから実行する場合、 ComputerName パラメーターは必要ありません。

解決方法

コマンドを実行し、マルチサイト展開の一部として既に構成されているサーバーの名前でパラメーターを指定 ComputerName するか、マルチサイト展開の一部であるコンピューターからコマンドを実行します。

マルチサイトが有効になっていない

受信したエラー

この操作を実行する前に、マルチサイト展開を有効にする必要があります。 コマンドレットを Enable-DAMultiSite 使用してこれを行います。

原因

ComputerName パラメーターで指定されたサーバーでは、マルチサイトが有効になっていません。 リモート アクセス展開に新しいエントリ ポイントを追加するには、まずマルチサイトを有効にする必要があります。

解決方法

コマンドレットを使用してマルチサイトを Enable-DaMultiSite 有効にします。 詳細については、「 マルチサイト リモート アクセスの展開」を参照してください。

IPv6 プレフィックスの問題

問題 1

受信したエラー

IPv6 は内部ネットワークにデプロイされますが、クライアント IPv6 プレフィックスを指定していません。

原因

IPv6 は企業ネットワークにデプロイされ、IP-HTTPS プレフィックスが必要です。 ただし、新しいエントリ ポイントのパラメーターに ClientIPv6Prefix プレフィックスが指定されませんでした。

解決方法

  1. 新しいエントリ ポイントに一意の IP-HTTPS プレフィックスを割り当て、このプレフィックスの下の IP アドレスを対象とするパケットが、追加するサーバーにルーティングされるようにします。
  2. コマンドレットを Add-DAEntryPoint 実行し、 パラメーターに IP-HTTPS プレフィックスを ClientIPv6Prefix 指定します。

問題 2

受信したエラー

クライアント IPv6 プレフィックスは、既に別のエントリ ポイントで使用されています。 代替値を指定します。

原因

パラメーターで指定された IP-HTTPS プレフィックスは、既に ClientIPv6Prefix 別のエントリ ポイントで使用されています

解決方法

  1. 新しいエントリ ポイントに一意の IP-HTTPS プレフィックスを割り当て、このプレフィックスの下の IP アドレスを対象とするパケットが、追加するサーバーにルーティングされるようにします。
  2. コマンドレットを Add-DAEntryPoint 実行し、 パラメーターに IP-HTTPS プレフィックスを ClientIPv6Prefix 指定します。

ConnectTo アドレス

受信したエラー

RemoteAccess サーバーで DirectAccess クライアントが接続するアドレス (<connect_to_address>) は、ネットワーク ロケーション サーバーのアドレスと同じです。 代替値を指定します。

原因

ConnectTo アドレスとネットワーク ロケーション サーバーのアドレスは同じです。

解決方法

クライアント マシンが IP-HTTPS 経由で接続できるようにするには、ConnectTo アドレスをインターネット経由で解決できる必要があります。 ネットワーク ロケーション サーバーのアドレスは、企業ネットワーク経由で解決できますが、インターネット経由で解決することはできません。 ネットワーク ロケーション サーバーと ConnectTo アドレスが同じではないことを確認します。 別のアドレスを選択し、もう一度やり直してください。

DirectAccess または VPN が既にインストールされている

受信したエラー

サーバー <server_name>で VPN のインストールが検出されました。 リモート アクセスがインストールされていない代替サーバーを指定するか、サーバーから VPN 構成を削除します。

または

リモート アクセスは既にサーバー <server_name>にインストールされています。 DirectAccess を実行していない代替サーバーを指定するか、既存の DirectAccess 構成をサーバーから削除します。

原因

DirectAccess または VPN は、新しいエントリ ポイントで既に構成されています。 構成されたエントリ ポイントをマルチサイト展開に追加することはできません。

解決方法

マルチサイト展開にサーバーを追加するには、サーバーにリモート アクセス ロールをインストールする必要がありますが、DirectAccess と VPN は構成しないでください。

コマンドを実行し、パラメーターで指定したサーバーに RemoteAccessServer DirectAccess または VPN が構成されていないかどうかを確認します。

IPsec ルート証明書

エラーが発生しました。 構成された IPsec ルート証明書をサーバー <server_name>に配置することはできません。

原因

展開に追加しようとしているサーバーでコンピューター証明書を発行するルート証明機関または中間証明機関 (CA) の証明書が見つかりませんでした。

解決方法

リモート アクセス管理コンソールの 手順 2 リモート アクセス サーバーで、[ 編集] をクリックし、[ 認証 ] ページの [ コンピューター証明書の使用] で、選択した証明書が有効であることを確認します。 証明書が有効な場合は、追加してやり直すサーバー上の信頼されたルート CA の下にあることを確認します。

注:

証明書は、同じ拇印を持つ同じ証明書である必要があります。

証明書が有効でない場合は、すべてのリモート アクセス サーバーで信頼されたルート CA として構成されている有効な証明書を選択します。

IPv6 エントリ ポイントと IPv4 エントリ ポイントの混在

DirectAccess が初めてインストールされると、内部ネットワーク アダプターが検査され、ネットワークに IPv4 アドレスのみ (IPv4 専用ネットワーク)、IPv6 アドレスと IPv4 アドレス、または IPv6 アドレスのみ (IPv6 専用ネットワーク) が含まれているかどうかを判断します。 この情報は、デプロイの種類 (IPv4 のみ、IPv6+IPv4、または IPv6 のみ) を決定するために使用されます。

問題 1

受信した警告

追加されるリモート アクセス サーバーは、IPv4 アドレスと IPv6 アドレスの両方で構成されます。 これは IPv4 のみのデプロイであり、リモート アクセスでは IPv6 アドレスは無視されます。

原因

このデプロイが最初にインストールされたとき、内部ネットワークは IPv4 専用ネットワークとして検出されました。 マルチサイトデプロイでは、異なるエントリ ポイントは、異なる特性を持つ異なるサブネットに配置されていると見なされます。 そのため、デプロイは IPv4 のみのデプロイとして構成されていますが、IPv6+IPv4 サブネット内にあるエントリ ポイントを含めることができます。 ただし、エントリ ポイントはデプロイに追加されますが、DirectAccess は新しいエントリ ポイントの内部インターフェイスで構成された IPv6 アドレスを無視します。

解決方法

内部ネットワーク全体が IPv6 アドレスと IPv4 アドレスで構成されている場合は、IPv6 テクノロジの恩恵を受けるために IPv6+IPv4 デプロイに移行することを検討してください。 「手順 3: マルチサイト展開を計画する」の「純粋な IPv4 から IPv6+IPv4 企業ネットワークへの移行」を参照してください。

問題 2

受信したエラー

このマルチサイト展開のリモート アクセス サーバーの内部ネットワーク アダプターは、IPv4 アドレスで構成されます。 追加するエントリ ポイントも、内部ネットワーク アダプターの IPv4 アドレスで構成する必要があります。

原因

このデプロイが最初にインストールされたとき、内部ネットワークは IPv4 専用ネットワークとして検出されました。 リモート アクセスでは、追加しようとしているエントリ ポイントが、その内部ネットワーク上の IPv6 アドレスのみを使用して構成されていることが検出されました。 これは、IPv4 のみのデプロイでは許可されません。

解決方法

ネットワーク全体が既に IPv6 アドレスで構成されている場合は、IPv6+IPv4 または IPv6 専用のデプロイに移動する必要があります。 「マルチサイト リモート アクセスが展開されたときに IPv6 への移行を計画する」を参照してください。

問題 3

受信したエラー

このエントリ ポイントは IPv4 ネットワークにありますが、以前のエントリ ポイントは IPv6 ネットワークにあります。 同じマルチサイト展開に追加する前に、このエントリ ポイントを IPv6 ネットワークに接続します。

原因

このデプロイが最初にインストールされたとき、内部ネットワークが IPv6+IPv4 または IPv6 専用であることが検出されました。 追加しようとしている新しいエントリ ポイント上の内部ネットワークで IPv4 アドレスのみが構成されたことが検出されました。 これは、IPv6+IPv4 または IPv6 のみのデプロイでは許可されません。

解決方法

IPv6 アドレスを使用して新しいエントリ ポイントを構成し、エントリ ポイントをマルチサイト展開に追加します。

問題 4

受信した警告

リモート アクセス サーバー上の内部ネットワーク アダプターは、IPv4 アドレスで構成されていません。 DNS64 と NAT64 は、このサーバーでは構成されません。 DirectAccess クライアントは、IPv6 内部サーバーにのみアクセスできます。

原因

このデプロイが最初にインストールされたとき、内部ネットワークが IPv6+IPv4 であることが検出されました。 この展開モードでは、DNS64 と NAT64 を有効にして、クライアント コンピューターが IPv4 アドレスのみを使用して構成されている内部ネットワーク上のマシンにアクセスできるようにします。

新しいエントリ ポイントを追加すると、リモート アクセスによって、新しいコンピューター上の内部インターフェイスに IPv6 アドレスのみが含まれることが検出されました。 DNS64 と NAT64 を構成するには、リモート アクセス サーバーから IPv4 専用コンピューターにパケットをルーティングするために IPv4 アドレスが必要です。 このような IP は新しいコンピューターに存在しないため、NAT64 と DNS64 はリモート アクセス サーバーに構成されません。 そのため、このエントリ ポイントを使用して DirectAccess 経由で企業ネットワークにアクセスするクライアント マシンは、内部ネットワーク上の IPv4 サーバーにのみアクセスできません。 IPv6+IPv4 ネットワークまたは IPv6 専用ネットワークに移行する方法については、「マルチサイト リモート アクセスの展開時に IPv6 への移行を計画する」を参照してください。

解決方法

新しいリモート アクセス サーバーに IPv4 アドレスを追加して、DNS64 と NAT64 が正しく動作することを確認します。

ServerGpoName に関するドメインの問題

問題 1

受信したエラー

Server_GPO ServerGpoName パラメーター<>で指定されたドメインが存在しません。 代わりにドメイン <domain_name> を指定します。

原因

管理者から送信されたサーバー GPO 名のドメイン名の一部が見つかりませんでした。

解決方法

ドメイン名を正しく入力したことを確認します。 ドメイン名のスペルが正しい場合は、完全修飾ドメイン名 (FQDN) を使用してやり直してください。

問題 2

受信したエラー

サーバー GPO は、リモート アクセス サーバー ドメインに配置する必要があります。 ServerGpoName パラメーターでドメイン <domain_name> を指定します。

原因

サーバー GPO のドメインは、リモート アクセス サーバーが属するドメインと同じではありません。

解決方法

サーバー GPO は、リモート アクセス サーバーと同じドメインに配置する必要があります。 サーバー GPO にサーバーのドメイン名を使用して、やり直してください。

スプリットブレイン DNS

受信した警告

DNS サフィックス <DNS_suffix> の NRPT エントリには、クライアント コンピューターがリモート アクセス サーバーに接続するために使用するパブリック名が含まれています。 NRPT に除外としてconnect_to_address>名前<を追加します。

原因

スプリット ブレイン DNS を使用しています。 クライアントが IP-HTTPS を使用して接続できるようにするには、選択した ConnectTo アドレスが NRPT 規則で除外されていることを確認する必要があります。

解決方法

マルチサイト展開がある場合は、異なるエントリ ポイントのアドレスへのすべての接続が NRPT 規則から除外されていることを確認します。

NRPT 規則のアドレスを除外するには:

  1. リモート アクセス管理コンソールの [手順 3 インフラストラクチャ サーバー] で、[編集] を選択 します
  2. インフラストラクチャ サーバーのセットアップ ウィザードの [DNS] ページで、テーブルをダブルクリックして新しい名前サフィックスを入力します。
  3. [ DNS サーバー アドレス ] ダイアログ ボックスの [DNS サフィックス] に、エントリ ポイントの ConnectTo アドレスを入力し、[ 適用] を選択します。

サーバー アドレスを指定せずに名前サフィックスを追加すると、サフィックスは NRPT 除外として扱われます。

サーバー GPO 設定の保存

受信したエラー

GPO <GPO_name>へのリモート アクセス設定の保存中にエラーが発生しました。

このエラーのトラブルシューティングについては、「 マルチサイトの有効化のトラブルシューティング」の「サーバー GPO 設定の保存」を参照してください。

GPO の更新プログラムを適用できない

受信した警告

SERVER_NAME>では GPO の更新プログラムを<適用できません。 変更は、次のポリシー更新まで有効になりません。

原因

指定したコンピューターでポリシーを更新しようとしたときにエラーが発生しました。 したがって、次のポリシー更新まで、行われた変更は有効になりません。

解決方法

ポリシーの更新を強制するには、指定したコンピューターで を実行 gpupdate /force します。