Direct Access Powershell
Get-Daserver
Get-DAMgmtServer –type DC
Visar alla DC som Direct Access känner till
Update-DAMgmtServer
Updaterar listan på alla MGMT servrar som Direct Access känner till. Kan behöva köras om man exempelvis har tagit bort en domän eller domänkontrollant.
Direct Access client CMDlets
http://technet.microsoft.com/en-us/library/hh848426.aspx
Direct Access server CMDlets
http://technet.microsoft.com/en-us/library/hh918399.aspx
Felsökning klientproblem
När klienten pingar namnet på en intern resurs så ska den svara med en ipV6 adress. Om inget svar erhålles eller svaret är en ipV4 adress så är inte klienten uppkopplad.
6to4 felsökning på klienten
Starta eleverad CMD
Kör: reg query HKLM\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters /v DisabledComponents
Om alla komponenter är aktiva så ska svaret vara: ERROR: The system was unable to find the specified registry key or value.
Annars kolla: http://support.microsoft.com/kb/929852/sv
Kör: reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\TCPIP\v6Transition /v 6to4_RouterName
Här bör svaret vara den första IP adressen på DA serverns externa interface.
Kör: netsh interface 6to4 show relay
Här ska svaret vara default eller enabled i 6to4 state
Kör: netsh –c advfirewall
Från netsh advfirewall prompt kör: set store gpo=”DomainName\DirectAccess Policy-{3491980e-ef3c-4ed3-b176-a4420a810f12}”
Från netsh advfirewall prompt kör: consec show rule name=”DirectAccess Policy-ClientToDnsDc” kom ihåg värdet för RemoteTunnelEndpoint
Stäng netsh genom att skriva exit
Från CMD skriv route print
Verifiera att IPv6 routingtabellen har ::/0 med gate till den adress som angavs vid RemoteTunnelEndpoint. Tabellen ska också ha 2002::/16 route med default gataway satt som On-link.
Teredo felsökning på klienten
Starta en eleverad CMD
Kör: ipconfig /all
Du ska se en Tunneladapter “Teredo Tunneling Pseudo-Interface med en IPv6 address som startar med 2001
Skriv: route print
Routeingtabellen för IPv6 ska ha en ::/0 route med interface indexet för Microsoft Teredo Tunneladapter och gateway adress ställd till On-link.
Kör: reg query HKLM\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters /v DisabledComponents
Om alla komponenter är aktiva så ska svaret vara: ERROR: The system was unable to find the specified registry key or value.
Annars kolla: http://support.microsoft.com/kb/929852/sv
Från CMD kör: reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\TCPIP\v6Transition /v Teredo_ServerName
Detta ska visa den första ipadressen på DA serverns externa interface om det inte gör det så har inte din klient fått rätt Policy.
Från CMD kör: netsh interface teredo show state
Detta ska visa enterpriseclient eller client som type och den första ipadressen på DA serverns externa Interface i servernamn.
Se tabell nedan för olika typer av state:
|
Teredo state |
Description |
|
qualified |
The Teredo tunnel interface has completed its negotiation with the Teredo server and has been used recently. |
|
dormant |
The Teredo tunnel interface has completed its negotiation with the Teredo server but has not been used recently. |
|
probe |
The Teredo tunnel interface has completed its negotiation with the Teredo server. |
|
offline |
An error or other condition has occurred and the Teredo interface is not active. |
Om Teredo state är offline och error är Teredo server is unreachable over UDP, blir förmodligen UDP port 3544 blockerad någonstans mellan DA klient och Server.
Om state är offline och error är Client is in a managed network så har DA klienten upptäckt en local AD domän. I detta fallet så kommer inte Teredo klienten att ta upp tunneln om inte klienten är konfigurerad som en enterprise klient. Detta gäller vilken domän som helst inte bara den lokala addomänen för att ställa in enterpriseclient ändra policyn Computer Configuration\Policies\Administrative Templates\Network\TCPIP Settings\IPv6 Transition Technologies\Teredo State.
Problem med felaktigt klientcertifikat
Om klienten inte kan koppla upp sig så kan det bero på att klienten har fått ett certifikat från fel intern CA. Du kan kontrollera vilket CA som utfärdat clientens certifikat genom öppna en eleverad CMD och skriva:
Certutil –store my
Jämför det utgivande CA:s namn med det som är angivet i CA configurationen genom att använda: Get-DAServer | fl IPsecRootCert*
Felsökning Serverproblem
6to4
Starta en eleverad CMD
Kör ipconfig
Kontrollera att det finns en adapter med namnet Tunnel adapter 6TO4 adapter med två IPv6 adresser typ 2002:WWXX:YYZZ::WWXX:YYZZ.
Kör reg query HKLM\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters /v DisabledComponents
Om alla komponenter är aktiva så ska svaret vara: ERROR: The system was unable to find the specified registry key or value.
Annars kolla: http://support.microsoft.com/kb/929852/sv
Kör: netsh interface 6to4 show relay
Här ska svaret vara default eller enabled i 6to4 state
Från CMD kör route print
Routingtabellen för IPv6 ska innehålla 2002::/16 med interfaceindexet för 6to4 Adaptern och gateway som On-link.
Kontrollera aktuell NRPT
På klienten kör netsh name show effective policy
Om problem uppstått med NRPT
Testa genom att pinga exempelvis en DC (när du sitter internt) om det inte fungerar kör nslookup och testa om dns kan lösa upp namnet i så fall har du förmodligen en korrupt NRPT tabell.
För att fixa detta kan du radera alla entrys under HKLM\Software\Policys\Microsoft\WindowsNT\DNSClient\DNSPolicyConfig. Där ligger förmodligen ett antal nycklar som heter Rule1 Rule2 osv radera dom och starta om datorn.
Backup och restore av Direct Access
Använd script från http://gallery.technet.microsoft.com/scriptcenter/Back-up-and-Restore-Remote-e157e6a6
Problem med ISATAP
På klient kör: reg query HKLM\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters /v DisabledComponents
Kommandot ska visa ERROR: The system was unable to find the specified registry key or value
Kör: reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\TCPIP\v6Transition /v ISATAP_RouterName
Kommandot ska visa ERROR: The system was unable to find the specified registry key or value om inte notera vilket värde som visas.
Kör: reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\TCPIP\v6Transition /v ISATAP_State
Resultatet ska vara ERROR: The system was unable to find the specified registry key or value om inte så ska det vara ställt till enabled.
Kör: netsh interface isatap show state resultatet ska vara enabled
Kör: netsh interface isatap show router resultatet ska vara default eller namnet på routern ovan.
Testa att pinga namnet isatap det ska peka på DA serverns interna interface
För att aktivera isatap interfacet kör: netsh interface isatap set state enabled
Vid problem prova att avaktivera och aktivera igen.
angsknarren 