DirectAccess Windows 2012 R2

dinsdag 19 april 2016 13:01

Acties:

Topicstarter

Mijn vraag
voor mijn organisatie ben ik bezig om DirectAccess te implementeren

nu loop ik steeds tegen de zelfde fout aan. wellicht zou iemand mij kunnen helpen.
Updating Network Connectivity Assistant settings
Error: No such host is known.
nu is niet duidelijk welke host dit is

De direct access server heeft 2 Nic's 1 zit aan WAN kan ander aan de interne kant.

ik doe alles in Windows server 2012 R2

ik heb zelf alle log etc doorlopen maar dit help niet.
met Google kom ik er ook niet achter op beplaalde site wordt verwezen naar corrupte GPO's maar op die server zit geen enkele GPO

code:

Initializing operations before applying configuration
Preparing to apply configuration changes...
Backing up GPOs...
Configuring Remote Access settings
Retrieving server GPO details...
Clearing existing stale configuration settings. This might take a few minutes...
Checking the specified adapters...
Searching for a network location server certificate...
Checking the specified adapters...
Checking for a native IPv6 deployment...
Verifying the IP-HTTPS certificate...
Retrieving internal network DNS settings...
Verifying the GPO to write settings...
Creating the GPO. Linking the GPO to the domain...
Checking for a client GPO to write settings...
Creating the GPO. Linking the GPO to the domain...
Checking for permissions to apply DirectAccess client policies to the GPO...
Identifying all domains...
Identifying infrastructure servers in domain cad-ix.local...
Registering the DNS entry used to check client connectivity...
Warning: A DNS entry for DNS probe directaccess-corpConnectivityHost.cad-ix.local (IP addresses 127.0.0.1; fd27:38ec:95a3:7777::7f00:1) cannot be added. Add the entry manually.
Registering the web probe in DNS...
Clearing existing stale configuration settings...
Creating DirectAccess client policies...
Updating client policies...
Initializing accounting settings...
Writing settings to the server GPOs...
Writing settings to the client GPOs...
Updating local settings...
Applying GPOs on the Remote Access servers...
Adding DirectAccess client computers
Retrieving server GPO details...
Opening the server GPO...
Validating security group (CAD-IX\DirectAccess_Computers) in the domain...
Opening the client GPOs...
Checking for edit permissions on the client GPOs...
Adding client security groups (cad-ix\DirectAccess_Computers) to the DirectAccess deployment...
Retrieving information for servers on which GPOs are applied...
Applying GPOs on the Remote Access servers...
Removing DirectAccess client computers
Retrieving server GPO details...
Opening the server GPO...
Validating security group (cad-ix.local\Domain Computers) in the domain...
Opening the client GPOs...
Checking for edit permissions on the client GPOs...
Removing client security groups (cad-ix.local\Domain Computers) from the DirectAccess deployment...
Applying GPOs on the Remote Access servers...
Updating DirectAccess client settings
Retrieving server GPO details...
Opening the server GPO...
Opening the client GPOs...
Checking for edit permissions on the client GPOs...
Deleting policy to configure mobile computers only as DirectAccess clients...
Writing settings to the server GPOs...
Retrieving information for servers on which GPOs are applied...
Applying GPOs on the Remote Access servers...
Updating Network Connectivity Assistant settings
Error: No such host is known.
Finishing operations after applying configuration
Information: Attempting to roll back the configuration...

powershell script

code:

Install-RemoteAccess -NoPrerequisite -Force -PassThru -ServerGpoName 'cad-ix.local\DirectAccess Server Settings' -ClientGpoName 'cad-ix.local\DirectAccess Client Settings' -DAInstallType 'FullInstall' -InternetInterface 'Internet' -InternalInterface 'Local-Network' -ConnectToAddress '92.68.11.53' -NlsCertificate ([System.Byte[]]@(48,130,2,27,48,130,1,132,160,3,2,1,2,2,16,44,204,81,197,213,98,22,152,67,15,47,221,52,41,10,91,48,13,6,9,42,134,72,134,247,13,1,1,5,5,0,48,40,49,38,48,36,6,3,85,4,3,12,29,68,105,114,101,99,116,65,99,99,101,115,115,45,78,76,83,46,99,97,100,45,105,120,46,108,111,99,97,108,48,30,23,13,49,54,48,52,49,50,48,57,48,55,53,51,90,23,13,50,49,48,52,49,50,48,50,49,55,53,51,90,48,40,49,38,48,36,6,3,85,4,3,12,29,68,105,114,101,99,116,65,99,99,101,115,115,45,78,76,83,46,99,97,100,45,105,120,46,108,111,99,97,108,48,129,159,48,13,6,9,42,134,72,134,247,13,1,1,1,5,0,3,129,141,0,48,129,137,2,129,129,0,179,218,109,53,207,162,78,15,27,175,211,170,37,67,27,219,177,169,167,35,63,18,142,124,133,159,166,102,218,224,245,163,72,75,210,21,217,52,147,228,11,81,68,117,190,249,59,17,238,95,27,22,173,67,68,47,59,24,131,167,251,103,181,234,11,20,26,11,107,230,51,223,72,69,143,79,146,175,152,15,62,137,232,205,67,175,111,162,94,150,199,170,16,104,18,31,133,191,234,95,243,0,29,250,227,186,81,167,143,237,183,13,138,15,194,248,90,213,133,247,125,62,111,195,148,85,169,103,2,3,1,0,1,163,70,48,68,48,19,6,3,85,29,37,4,12,48,10,6,8,43,6,1,5,5,7,3,1,48,29,6,3,85,29,14,4,22,4,20,142,116,225,213,118,250,171,165,18,135,173,105,83,213,140,169,125,188,23,118,48,14,6,3,85,29,15,1,1,255,4,4,3,2,7,128,48,13,6,9,42,134,72,134,247,13,1,1,5,5,0,3,129,129,0,176,91,183,233,98,74,98,62,52,162,139,238,28,163,58,81,228,221,79,183,86,109,230,27,0,151,141,63,148,149,203,151,7,41,163,183,226,30,226,169,209,36,1,230,184,81,170,92,86,156,41,199,27,236,161,37,206,74,94,14,135,167,72,183,211,61,254,203,218,217,4,248,253,88,14,253,93,68,206,212,31,41,225,94,66,202,135,1,166,71,199,67,241,62,212,31,158,110,219,50,3,159,154,126,154,136,246,118,245,102,173,140,166,47,42,169,141,147,101,45,4,15,7,193,16,115,253,20)) -Verbose -ComputerName 'DirectAccess.cad-ix.local'

Add-DAClient -SecurityGroupNameList @('CAD-IX\DirectAccess_Computers') -Verbose -ComputerName 'DirectAccess.cad-ix.local'

Remove-DAClient -SecurityGroupNameList @('cad-ix.local\Domain Computers') -Verbose -ComputerName 'DirectAccess.cad-ix.local'

Set-DAClient -OnlyRemoteComputers 'Disabled' -Verbose -ComputerName 'DirectAccess.cad-ix.local'

Set-DAClientExperienceConfiguration -FriendlyName 'Workplace Connection' -PreferLocalNamesAllowed $False -PolicyStore 'cad-ix.local\DirectAccess Client Settings'

dinsdag 19 april 2016 13:16

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Was deze regel al opgevallen in je logfile?

Warning: A DNS entry for DNS probe directaccess-corpConnectivityHost.cad-ix.local (IP addresses 127.0.0.1; fd27:38ec:95a3:7777::7f00:1) cannot be added. Add the entry manually.

"No such host is known" ligt meestal aan het niet kunnen resolven van hostnames....

[ Voor 15% gewijzigd door Question Mark op 19-04-2016 13:16 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 19 april 2016 13:19

Acties:

stefanxxx511

Topicstarter

klopt deze heb ik al gezien inderdaad, heb deze handmatig in de dns aangemaakt maar dit help niet. ook is het ipv6 adres steeds anders

Question Mark schreef op dinsdag 19 april 2016 @ 13:16:
Was deze regel al opgevallen in je logfile?

[...]

"No such host is known" ligt meestal aan het niet kunnen resolven van hostnames....

dinsdag 19 april 2016 13:32

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Welk record heb je aangemaakt?

Je logfile heeft het over: 'directaccess-corpConnectivityHost.cad-ix.local'
Je powershell cmd's gebruiken: 'DirectAccess.cad-ix.local'

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 19 april 2016 13:52

Acties:

stefanxxx511

Topicstarter

deze records staan in DNS

DirectAccess.cad-ix.local --> 192.168.2.230
directaccess-WebProbeHost.cad-ix.local --> 192.168.2.230
directaccess-corpConnectivityHost.cad-ix.local --> 127.0.0.1
directaccess-corpConnectivityHost.cad-ix.local --> fd8b:17ab:a2c7:7777::7f00:1
overigens verandert komt de DA wizzard steeds het IPv6 adres

[ Voor 12% gewijzigd door stefanxxx511 op 19-04-2016 13:54 ]

dinsdag 19 april 2016 13:59

Acties:

Brahiewahiewa

boelkloedig

stefanxxx511 schreef op dinsdag 19 april 2016 @ 13:52:
...
directaccess-corpConnectivityHost.cad-ix.local --> 127.0.0.1
...

Dat gaat natuurlijk niet werken

QnJhaGlld2FoaWV3YQ==

dinsdag 19 april 2016 14:04

Acties:

stefanxxx511

Topicstarter

Brahiewahiewa schreef op dinsdag 19 april 2016 @ 13:59:
[...]

Dat gaat natuurlijk niet werken

Warning: A DNS entry for DNS probe directaccess-corpConnectivityHost.cad-ix.local (IP addresses 127.0.0.1; fd8b:17ab:a2c7:7777::7f00:1) cannot be added. Add the entry manually.

in log staat dat ze het wel zo willen hebben

woensdag 20 april 2016 10:41

Acties:

Brahiewahiewa

boelkloedig

stefanxxx511 schreef op dinsdag 19 april 2016 @ 14:04:
[...] Warning: A DNS entry for DNS probe directaccess-corpConnectivityHost.cad-ix.local (IP addresses 127.0.0.1; fd8b:17ab:a2c7:7777::7f00:1) cannot be added. Add the entry manually.

in log staat dat ze het wel zo willen hebben

Dûh. 127.0.0.1 is localhost. Dat is voor elke PC z'n eigen nic

QnJhaGlld2FoaWV3YQ==

woensdag 20 april 2016 11:16

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Brahiewahiewa schreef op woensdag 20 april 2016 @ 10:41:
[...]

Dûh. 127.0.0.1 is localhost. Dat is voor elke PC z'n eigen nic

Dit record is wel juist hoor. Het wordt gebruikt als test door een DA client om te kunnen bepalen of de client intern zit, of extern en of dus het opzetten van een tunnel geslaagd is.

In vroegere versies van DA werd gekeken of een interne fileshare benaderbaar was, dit is nu uitgebreid met een test om directaccess-corpConnectivityHost.internalFQDN te kunnen resolven.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 20 april 2016 11:20

Acties:

Brahiewahiewa

boelkloedig

Question Mark schreef op woensdag 20 april 2016 @ 11:16:
[...]Dit record is wel juist hoor...

OK, weer wat geleerd
Maar moet het IPv6 adres dan niet ::1 zijn?

[ Voor 11% gewijzigd door Brahiewahiewa op 20-04-2016 11:21 ]

QnJhaGlld2FoaWV3YQ==

woensdag 20 april 2016 11:24

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

@TS: vervang het ip-adres bij "-ConnectToAddress" in je scripts een naar de (publike) FQDN waar de DA clients naar moeten verbinden.

Let erop dat deze naam overeen moet komen met de entry's in je gebruikte certificaat.

Brahiewahiewa schreef op woensdag 20 april 2016 @ 11:20:
[...]

OK, weer wat geleerd
Maar moet het IPv6 adres dan niet ::1 zijn?

Alleen bij native IPv6

Its AAAA host record resolves to an IPv6 address that is a combination of the DirectAccess NAT64 IPv6 prefix and 7F00:1 (the hexadecimal equivalent of 127.0.0.1). When DirectAccess is configured on a network with native IPv6, the directaccess-corpConnectivityHost DNS record will only include a single AAAA record resolving to ::1.

[ Voor 55% gewijzigd door Question Mark op 20-04-2016 11:26 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 20 april 2016 11:48

Acties:

stefanxxx511

Topicstarter

ik heb dit aangepast naar een geldige FQDN met een geldige certificate waarbij de naam overeenkomt, heb geen self-signed gebruikt en nog komt hij met de zelfde melding

Question Mark schreef op woensdag 20 april 2016 @ 11:24:
@TS: vervang het ip-adres bij "-ConnectToAddress" in je scripts een naar de (publike) FQDN waar de DA clients naar moeten verbinden.

Let erop dat deze naam overeen moet komen met de entry's in je gebruikte certificaat.

[...]
Alleen bij native IPv6

[...]

woensdag 20 april 2016 11:52

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

En die FQDN is ook te resolven? (zowel intern als extern)

Hoe is je DNS geconfigureerd op je DA server? Deze gebruikt wel (zoals het hoort) alleen maar interne DNS-servers? Ik krijg nl het vermoeden dat hier externe DNS-servers op ingesteld staan. Ook gelet op het feit dat er geen intern dns-record door de wizard aangemaakt kan worden.

Als er wel interne dns-servers ingesteld staan, zijn deze netjes te bereiken vanaf de DA-server?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 20 april 2016 12:00

Acties:

stefanxxx511

Topicstarter

de DA heeft 2 NIC's de externe NIC heeft geen DNS ingesteld alleen een WAN IPv4 adres
de interne NIC heeft een Intern IP-adres en de interne DNS server ingesteld dit is tevens de domain controller

extern is de FQDN ook te resolven daarbij kom je op het WAN IP de DA server
interne resolve kom je uit op de interne nic van de DA server

Question Mark schreef op woensdag 20 april 2016 @ 11:52:
En die FQDN is ook te resolven? (zowel intern als extern)

Hoe is je DNS geconfigureerd op je DA server? Deze gebruikt wel (zoals het hoort) alleen maar interne DNS-servers? Ik krijg nl het vermoeden dat hier externe DNS-servers op ingesteld staan. Ook gelet op het feit dat er geen intern dns-record door de wizard aangemaakt kan worden.

Als er wel interne dns-servers ingesteld staan, zijn deze netjes te bereiken vanaf de DA-server?

woensdag 20 april 2016 19:04

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Question Mark schreef op woensdag 20 april 2016 @ 11:52:
Als er wel interne dns-servers ingesteld staan, zijn deze netjes te bereiken vanaf de DA-server?

En de dns-server is ook netjes te bereiken? Ik neem even aan dat de DA server in een DMZ staat, waardoor er dus Firewall's tussen DNS-server en DA server staan. De juiste poorten staan wel open?

De melding dat er geen DNS-record aangemaakt kan worden moet ergens door veroorzaakt worden lijkt mij.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zaterdag 23 april 2016 15:04

Acties:

stefanxxx511

Topicstarter

ze staan niet in een DMZ.

alles kan met elkaar communiceren

Question Mark schreef op woensdag 20 april 2016 @ 19:04:
[...]

En de dns-server is ook netjes te bereiken? Ik neem even aan dat de DA server in een DMZ staat, waardoor er dus Firewall's tussen DNS-server en DA server staan. De juiste poorten staan wel open?

De melding dat er geen DNS-record aangemaakt kan worden moet ergens door veroorzaakt worden lijkt mij.

maandag 9 mei 2016 13:27

Acties:

stefanxxx511

Topicstarter

schopje... iemand enig idee

maandag 9 mei 2016 13:37

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Heb je nu al gekeken waarom dat DNS-record niet aangemaakt kan worden?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Vraag

Alle reacties