directAccess疑难诊断

http://netfan.cn/bencandy.php?fid=14&id=5066 

直接访问嵌入单元中的遇到的错误信息，被记录到了<系统盘>\windows\tracing\ DirectAccess.log 日志文件中。

 

疑难诊断的主要步骤：

1. 远程用户能否访问互联网资源（比如www.microsoft.com）？
2. 右键点击网络连接图标，点击诊断和修复。
3. Ping一个可用的内网服务器。Ping命令和名字解决方案是否成功？
4. 从Windows命令窗口，运行netsh名字显示策略，如果直接访问客户端被判定为没在内网上，那么 NRPT 将在“DNS Name Resolution Policy Table Settings.（DNS名称解决策略表设定）”字符串后包含直接访问的命名空间入口。如果“DNS Name Resolution Policy Table Settings.（DNS名称解决策略表设定）”后没出现任何的直接访问入口，那么表明直接访问客户端还没有通过组协议配置NRPT入口，或者客户端就被认为在内部网络上。
5. 从Windows命令窗口，运行netsh接口服务状态显示。如果 IP-HTTPS 未被使用（使用IP-HTTPS 的客户端在Web代理服务器的后端），验证服务状态因该是“Qualified（合格的）”。
6. 运行计算机的证书诊断，包含确保在直接访问的客户端计算机证书库里有一个适合的计算机证书存在。
7. 为正确判断是否位于内部网上，一个直接访问技术的客户端必须能成功的连接到基于HTTPS协议的URL指向的一个网络位置服务器上，并且验证服务证书是由该网络位置服务器提供的。证书验证包含验证SSL证书和验证该证书还未被吊销。网络位置服务器提供的证书必须有一个证书吊销列表（CRL）分配点，该列表被直接访问客户端通过FQDN （正式域名）来访问，并且通过在客户端的TCP/IP配置中的DNS服务器（内部DNS服务器）来解析。
8. 为了成功的建立一个依赖IP-HTTPS协议的连接，直接访问客户端必须能成功的连接到IP-HTTPS 服务器（具有代表性的直接访问服务器）上的HTTPS链接，并且能验证IP-HTTPS 服务器提供的证书。证书验证包括验证SSL证书和验证该证书还未被吊销。IP-HTTPS 服务器提供的证书必须有一个证书吊销列表（CRL）分配点，该列表被直接访问客户端通过FQDN （正式域名）来访问，并且通过在客户端的TCP/IP配置中的DNS服务器（内部DNS服务器）来解析。
9. 为了使用IP-HTTPS 诊断服务来寻找IP-HTTPS 连接中的问题，必须配置适合的网络规则，来允许IP-HTTPS 服务器响应Echo 请求的消息。
10. 使用标准的IP诊断命令来验证连接和名字解决方案行为。

注意:

不要在诊断直接访问问题的时候使用NSLOOKUP命令。NSLOOKUP对NRPT是不关心的，并且可能返回可能错误的结果。

ipconfig /all	显示所有 IP 配置的数据
netsh interface teredo show state	显示当前服务的状态
netsh adv monitor show mmsa	显示所有的主要模式安全关联
netsh adv monitor show qmsa	显示所有的快速模式安全关联
gpresult /scope computer	显示应用在计算机上的所有组策略。这个命令通常会产生一个很长的输出，所以通过在命令的尾部加上> file.txt，把输出放到文件中去。
netsh name show policy	显示当前 NRPT 中的内容

为了捕获直接访问客户端的网络痕迹，使用在Windows 7中 的网络跟踪工具，下面是步骤：

1. 在用户管理员级别的命令窗口中，通过命令 “netsh trace start scenario=directaccess capture=yes report=yes ” 打开直接访问跟踪器。
2. 重新执行直接访问出现问题的步骤。
3. 通过“netsh trace stop ”命令停止跟踪。

通过这个步骤，Netsh.exe 工具在%LOCALAPPDATA%\Temp\NetTraces 文件夹中的NetTrace.etl 文件中写入跟踪信息。要查看文件中内容，请使用Microsoft Network Monitor 3.3.工具打开该文件。

Netsh.exe 工具同时还在%LOCALAPPDATA%\Temp\NetTraces文件夹下的NetTrace.cab文件中写入了额外的环境和诊断信息。

获取更多关于使用Netsh.exe 工具和网络监视器捕获和查看事件跟踪日志的文件的信息，请看Tools for Troubleshooting using Network Tracing in Windows 7.这篇文章。

 

临时关闭IPHTTPS interface 方式（当使用IPHTTPS连接dirtect access 服务器成功，但无法解析外部internet DNS是可以使用此方法）

f you open the network shell (netsh) and check the syntax that you should use to disable the IP-HTTPS interface, you’ll see something like the following:

Syntax 
set interface [[ url= ] ( url )] [[ state= ] ( enabled | disabled | default )] [[authmode= ] ( none | certificates )]

However, if you try it, you’ll see something like this:

What’s up with that?

Apparently, there is a problem with using netsh to disable the IP-HTTPS interface. Therefore, we’re going to have to consider an alternate approach to temporarily disable the IP-HTTPS interface.

To do this, open the Registry Editor and navigate to:

HKLM\SOFTWARE\Policies\Microsoft\Windows\TCPIP\v6Transition\IPHTTPS\IPHTTPSInterface\IPHTTPS_ClientState

To disable the interface, set the value to 3.

Keep in mind that this setting is controlled through the UAG DirectAccess client Group Policy. When Group Policy is refreshed on the client, this setting will be overwritten and the IP-HTTPS interface will activate again.