マルチサイトの有効化のトラブルシューティング
この記事では、コマンドレットに関連する問題のトラブルシューティング情報について Enable-DAMultisite
説明します。 受信したエラーがマルチサイトの有効化に関連していることを確認するには、Windows イベント ログでイベント ID 10051 をチェックします。
適用対象:Windows Server 2022、Windows Server 2019、Windows Server 2016
ユーザー接続の問題
構成が正しくない場合、マルチサイトを有効にすると、接続の問題が発生する可能性があります。
原因
マルチサイト展開では、Windows 10とWindows 8クライアント コンピューターは、異なるエントリ ポイント間でローミングできます。 Windows 7 クライアント コンピューターは、マルチサイト展開の特定のエントリ ポイントに関連付けられている必要があります。 クライアント コンピューターが正しいセキュリティ グループに存在しない場合は、間違ったグループ ポリシー設定を受け取る可能性があります。
解決方法
DirectAccess では、すべてのWindows 10およびWindows 8クライアント コンピューターに少なくとも 1 つのセキュリティ グループが必要です。ドメインごとに、すべてのWindows 10コンピューターとWindows 8 コンピューターに 1 つのセキュリティ グループを使用することをお勧めします。 DirectAccess には、エントリ ポイントごとに Windows 7 クライアント コンピューター用のセキュリティ グループも必要です。 各クライアント コンピューターは、1 つのセキュリティ グループにのみ含める必要があります。 したがって、Windows 10およびWindows 8クライアントのセキュリティ グループに、Windows 10またはWindows 8を実行しているコンピューターのみが含まれていること、および各 Windows 7 クライアント コンピューターが関連するエントリ ポイントの 1 つの専用セキュリティ グループに属していること、およびWindows 10またはクライアントWindows 8 Windows 7 セキュリティ グループに属しています。
DirectAccess クライアント セットアップ ウィザードの [グループの選択] ページで、Windows 8セキュリティ グループを構成します。 [マルチサイト展開の有効化] ウィザードの [クライアント サポート] ページ、または [エントリ ポイントの追加] ウィザードの [クライアント サポート] ページで、Windows 7 セキュリティ グループを構成します。
Kerberos プロキシ認証
受信したエラー
Kerberos プロキシ認証は、マルチサイト展開ではサポートされていません。 IPsec ユーザー認証でコンピューター証明書の使用を有効にする必要があります。
原因
マルチサイトを有効にする前に、コンピューター証明書認証を有効にする必要があります。
解決方法
コンピューター証明書認証を有効にするには:
- リモート アクセス管理コンソールの詳細ウィンドウの [ 手順 2] [リモート アクセス サーバー] で、[編集] を選択 します。
- リモート アクセス サーバーセットアップ ウィザードの [認証] ページで、[コンピューター証明書を使用する] チェック ボックスをオンにし、展開で証明書を発行するルート証明機関または中間証明機関を選択します。
Windows PowerShellを使用してコンピューター証明書認証を有効にするには、 コマンドレットをSet-DAServer
使用し、 パラメーターをIPsecRootCertificate
指定します。
IP-HTTPS 証明書
受信したエラー
DirectAccess サーバーは、自己署名 IP-HTTPS 証明書を使用します。 既知の CA からの署名付き証明書を使用するように IP-HTTPS を構成します。
原因
IP-HTTPS 証明書は自己署名です。 マルチサイト展開で自己署名証明書を使用することはできません。
解決方法
IP-HTTPS 証明書を選択するには:
- リモート アクセス管理コンソールの詳細ウィンドウの [ 手順 2] [リモート アクセス サーバー] で、[編集] を選択 します。
- リモート アクセス サーバーセットアップ ウィザードの [ネットワーク アダプター] ページの [IP-HTTPS 接続の認証に使用する証明書の選択] で、[DirectAccess によって自動的に作成された自己署名証明書を使用する] チェック ボックスがオフになっていることを確認し、[参照] を選択して、信頼された CA によって発行された証明書を選択します。
ネットワーク ロケーション サーバー
問題 1
受信したエラー
DirectAccess は、ネットワーク ロケーション サーバーに自己署名証明書を使用するように構成されています。 CA からの署名付き証明書を使用するようにネットワーク ロケーション サーバーを構成します。
原因
ネットワーク ロケーション サーバーはリモート アクセス サーバーにデプロイされ、自己署名証明書を使用します。 マルチサイト展開で自己署名証明書を使用することはできません。
解決方法
ネットワーク ロケーション サーバー証明書を選択するには:
- リモート アクセス管理コンソールの詳細ウィンドウの [ 手順 3 インフラストラクチャ サーバー] で、[編集] を選択 します。
- インフラストラクチャ サーバーセットアップ ウィザードの [ネットワーク ロケーション サーバー] ページの [ネットワーク ロケーション サーバーがリモート アクセス サーバーに展開されている] で、[自己署名証明書を使用する] チェック ボックスがオフになっていることを確認し、[参照] を選択して、Enterprise CA によって発行された証明書を選択します。
問題 2
受信したエラー
ネットワーク負荷分散クラスターまたはマルチサイト展開を展開するには、リモート アクセス サーバーの内部名とは異なるサブジェクト名を持つネットワーク ロケーション サーバーの証明書を取得します。
原因
ネットワーク ロケーション サーバー Web サイトに使用される証明書のサブジェクト名は、リモート アクセス サーバーの内部名と同じです。 これにより、名前解決の問題が発生します。
解決方法
リモート アクセス サーバーの内部名と同じではないサブジェクト名を持つ証明書を取得します。
ネットワーク ロケーション サーバーを構成するには:
- リモート アクセス管理コンソールの詳細ウィンドウの [ 手順 3 インフラストラクチャ サーバー] で、[編集] を選択 します。
- インフラストラクチャ サーバーセットアップ ウィザードの [ネットワーク ロケーション サーバー] ページの [ネットワーク ロケーション サーバーがリモート アクセス サーバーに展開されている] で、[参照] を選択して、前に取得した証明書を選択します。 証明書には、リモート アクセス サーバーの内部名とは異なるサブジェクト名が必要です。
Windows 7 クライアント コンピューター
受信した警告
マルチサイトを有効にする場合、DirectAccess クライアント用に構成されたセキュリティ グループに Windows 7 コンピューターが含まれていない必要があります。 マルチサイト展開で Windows 7 クライアント コンピューターをサポートするには、エントリ ポイントごとにクライアントを含むセキュリティ グループを選択します。
原因
既存の DirectAccess 展開では、Windows 7 クライアントサポートが有効になりました。
解決方法
DirectAccess では、すべてのWindows 8 クライアント コンピューターに少なくとも 1 つのセキュリティ グループが必要で、エントリ ポイントごとに Windows 7 クライアント コンピューター用のセキュリティ グループが必要です。 各クライアント コンピューターは、1 つのセキュリティ グループにのみ含める必要があります。 そのため、Windows 8 クライアントのセキュリティ グループに、Windows 8を実行しているコンピューターのみが含まれていること、および各 Windows 7 クライアント コンピューターが関連するエントリ ポイントの 1 つの専用セキュリティ グループに属していること、および windows 7 セキュリティ グループに属するWindows 8クライアントがないことを確認する必要があります。
[Active Directory サイト]
受信したエラー
サーバー <server_name> が Active Directory サイトに関連付けられていない。
原因
DirectAccess が Active Directory サイトを特定できませんでした。 Active Directory サイトとサービス コンソールでは、ネットワークのさまざまなサブネットを構成し、各サブネットを関連する Active Directory サイトに関連付けることができます。 このエラーは、リモート アクセス サーバーの IP アドレスがサブネットに属していない場合、または IP アドレスが属するサブネットが Active Directory サイトで定義されていない場合に発生する可能性があります。
解決方法
リモート アクセス サーバーでコマンド nltest /dsgetsite
を実行して、これが問題であることを確認します。 これが問題の場合、コマンドは を返 ERROR_NO_SITENAME
します。 この問題を解決するには、ドメイン コントローラーで、内部サーバー IP アドレスを含むサブネットが存在し、Active Directory サイトで定義されていることを確認します。
サーバー GPO 設定の保存
受信したエラー
GPO <GPO_name>へのリモート アクセス設定の保存中にエラーが発生しました。
原因
接続の問題が原因で、または registry.pol ファイルに共有違反がある場合 (たとえば、別のユーザーがファイルをロックした場合など)、サーバー GPO への変更を保存できませんでした。
解決方法
リモート アクセス サーバーとドメイン コントローラーの間に接続があることを確認します。 接続がある場合は、registry.pol ファイルが別のユーザーにロックされている場合はドメイン コントローラーでチェックし、必要に応じてそのユーザー セッションを終了してファイルのロックを解除します。
内部エラーが発生しました
受信したエラー
内部エラーが発生しました。
原因
これは、クライアント GPO の予期しないエントリ ポイント テーブルの構成が原因である可能性があります。 これは、管理者が DirectAccess クライアント コマンドレットを使用してクライアント GPO のエントリ ポイント テーブルを編集する場合に発生する可能性があります。
解決方法
すべてのクライアント GPO のエントリ ポイント テーブルの構成を確認し、クライアント GPO のさまざまなインスタンスと DirectAccess 構成の間のマルチサイト構成の不整合を修正します。 クライアント GPO の Get-DaEntryPointTableItem
名前を持つコマンドレットを使用して、クライアント上のエントリ ポイント テーブルを取得します。 コマンドレットを Get-NetIPHttpsConfiguration
使用して、すべてのエントリ ポイントのすべての IP-HTTPS プロファイルを取得します。
詳細については、「Windows PowerShellの DirectAccess クライアント コマンドレット」を参照してください。