Os sinais de um problema no túnel da infraestrutura do DirectAccess são que você pode fazer ping ou RDP para o endereço IPv6 de um controlador de domínio na rede corporativa, mas não pode resolver nomes DNS corporativos mesmo que o NRPT seja válido.
Depois de alguns anos trabalhando com ele, descobri que as duas razões a seguir são os motivos mais comuns para problemas de túnel de infraestrutura específicos da máquina com o DirectAccess.
1: Problemas com certificados . A primeira credencial usada para o túnel de infraestrutura é um certificado. Você receberá Política não configurada se o certificado for inválido. Isso pode ser causado por um certificado expirado, incompatibilidade do nome da entidade, uso de certificado incorreto (autenticação do servidor / autenticação do cliente por meio do modelo de computador interno) ou sua lista de revogação publicada da raiz ou CA de emissão pode estar desatualizada.
2: Problemas na conta da máquina . A segunda credencial usada para o túnel de infraestrutura é a conta do computador. Eu recebi "Política não configurada" nas máquinas, saí e reingrei o domínio ou quando o nome da máquina foi reutilizado. Quando isso acontece, não consigo encontrar necessariamente nenhum problema com schannel (nltest) ou qualquer outro lugar no log de eventos, mas a conta do computador se recusa a autenticar para o DA. Isso também é registrado como um evento de falha do modo principal IPSec no servidor DirectAccess.
Eu não identifiquei nenhum problema de regra consec que causa problemas com o túnel de infraestrutura (como uma sub-rede sobreposta).