直接访问嵌入单元中的遇到的错误信息,被记录到了<系统盘>\windows\tracing\ DirectAccess.log 日志文件中,
directAccess疑难诊断
。疑难诊断的主要步骤:
远程用户能否访问互联网资源(比如www.microsoft.com)?
右键点击网络连接图标,点击诊断和修复。
Ping一个可用的内网服务器。Ping命令和名字解决方案是否成功?
从Windows命令窗口,运行netsh名字显示策略,如果直接访问客户端被判定为没在内网上,那么 NRPT 将在“DNS Name Resolution Policy Table Settings.(DNS名称解决策略表设定)”字符串后包含直接访问的命名空间入口。如果“DNS Name Resolution Policy Table Settings.(DNS名称解决策略表设定)”后没出现任何的直接访问入口,那么表明直接访问客户端还没有通过组协议配置NRPT入口,或者客户端就被认为在内部网络上。
从Windows命令窗口,运行netsh接口服务状态显示。如果 IP-HTTPS 未被使用(使用IP-HTTPS 的客户端在Web代理服务器的后端),验证服务状态因该是“Qualified(合格的)”。
运行计算机的证书诊断,包含确保在直接访问的客户端计算机证书库里有一个适合的计算机证书存在。
为正确判断是否位于内部网上,一个直接访问技术的客户端必须能成功的连接到基于HTTPS协议的URL指向的一个网络位置服务器上,并且验证服务证书是由该网络位置服务器提供的。证书验证包含验证SSL证书和验证该证书还未被吊销。网络位置服务器提供的证书必须有一个证书吊销列表(CRL)分配点,该列表被直接访问客户端通过FQDN (正式域名)来访问,并且通过在客户端的TCP/IP配置中的DNS服务器(内部DNS服务器)来解析。
为了成功的建立一个依赖IP-HTTPS协议的连接,直接访问客户端必须能成功的连接到IP-HTTPS 服务器(具有代表性的直接访问服务器)上的HTTPS链接,并且能验证IP-HTTPS 服务器提供的证书。证书验证包括验证SSL证书和验证该证书还未被吊销。IP-HTTPS 服务器提供的证书必须有一个证书吊销列表(CRL)分配点,该列表被直接访问客户端通过FQDN (正式域名)来访问,并且通过在客户端的TCP/IP配置中的DNS服务器(内部DNS服务器)来解析,
电脑资料
《directAccess疑难诊断》(https://www.unjs.com)。为了使用IP-HTTPS 诊断服务来寻找IP-HTTPS 连接中的问题,必须配置适合的网络规则,来允许IP-HTTPS 服务器响应Echo 请求的消息。
使用标准的IP诊断命令来验证连接和名字解决方案行为。
注意:
不要在诊断直接访问问题的时候使用NSLOOKUP命令。NSLOOKUP对NRPT是不关心的,并且可能返回可能错误的结果。
ipconfig /all
显示所有IP 配置的数据
netsh interface teredo show state
显示当前服务的状态
netsh adv monitor show mmsa
显示所有的主要模式安全关联
netsh adv monitor show qmsa
显示所有的快速模式安全关联
gpresult /scope computer
显示应用在计算机上的所有组策略。这个命令通常会产生一个很长的输出,所以通过在命令的尾部加上> file.txt,把输出放到文件中去。
netsh name show policy
显示当前NRPT 中的内容
为了捕获直接访问客户端的网络痕迹,使用在Windows 7中 的网络跟踪工具,下面是步骤:
在用户管理员级别的命令窗口中,通过命令 “netsh trace start scenario=directaccess capture=yes report=yes ” 打开直接访问 。