Problembehandlung bei Web-Anwendungsproxy
Dieser Artikel ist für die lokale Version von Web Anwendungsproxy relevant. Informationen zum sicheren Zugriff auf lokale Anwendungen über die Cloud finden Sie im Microsoft Entra-Anwendungsproxy Inhalt.
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Dieser Abschnitt enthält Problembehandlungsverfahren für den Webanwendungsproxy sowie Erläuterungen und Lösungen zu Ereignissen. Es gibt drei Stellen, an denen Fehler angezeigt werden:
In der Administratorkonsole des Webanwendungsproxys
Jede in der Administratorkonsole aufgelistete Ereignis-ID kann in der Windows-Ereignisanzeige angezeigt werden, und die entsprechenden Beschreibungen und Lösungen sind nachstehend aufgeführt.
Öffnen Sie Ereignisanzeige, und suchen Sie unter "Anwendungen und Dienste protokolliert>Microsoft>Windows>Web Anwendungsproxy> Admin" nach Ereignissen im Zusammenhang mit web Anwendungsproxy.
Bei Bedarf sind detaillierte Protokolle verfügbar, indem Sie Analyse- und Debuggingprotokolle aktivieren und das Sitzungsprotokoll im Web Anwendungsproxy aktivieren, das im Windows-Ereignisanzeige unter \Microsoft\Windows\Web Anwendungsproxy\ Admin zu finden ist.
In den PowerShell-Fehlern
Ereignisse für Probleme, die während der Konfiguration auftreten, werden in PowerShell angezeigt.
Alle Fehler werden für PowerShell-Benutzer*innen über die standardmäßigen PowerShell-Fehleranzeigen dargestellt. Alle PowerShell-Cmdlets werden als Ereignisse protokolliert. Alle Ereignisse, die in PowerShell auftreten, werden in der Windows-Ereignisanzeige mit der ID-Nummer 12016 aufgeführt und werden unten im Abschnitt zu PowerShell definiert.
Im Best Practices Analyzer
Diese Ereignisse werden im Best Practices Analyzer für Web-Anwendungsproxy beschrieben.
PowerShell-Nachrichten
| Ereignis oder Symptom | Mögliche Ursache | Lösung |
|---|---|---|
| Das Vertrauenszertifikat („ADFS ProxyTrust - <WAP-Computername>“) ist ungültig | Folgende Ursachen sind möglich: – Zu lange Nichtverfügbarkeit des Anwendungsproxycomputers |
Stellen Sie sicher, dass die Uhren synchronisiert sind. Führen Sie das Install-WebApplicationProxy-Cmdlet aus. |
| Es wurden keine Konfigurationsdaten wurden im AD FS gefunden | Dies kann auf eine unvollständige Installation des Webanwendungsproxys, auf Änderungen an oder Beschädigungen der AD FS-Datenbank zurückzuführen sein. | Führen Sie das Cmdlet Install-WebApplicationProxy aus. |
| Bei dem Versuch des Webanwendungsproxys, die Konfiguration aus AD FS zu lesen, ist ein Fehler aufgetreten. | Dies kann darauf hindeuten, dass der AD FS nicht erreichbar ist oder dass beim AD FS ein internes Problem beim Lesen der Konfiguration aus der AD FS-Datenbank aufgetreten ist. | Vergewissern Sie sich, dass AD FS erreichbar ist und ordnungsgemäß funktioniert. |
| Die in AD FS gespeicherten Konfigurationsdaten sind beschädigt, oder der Webanwendungsproxy konnte sie nicht parsen. oder Der Webanwendungsproxy konnte die Liste der vertrauenden Seiten nicht aus AD FS abrufen. |
Dies kann vorkommen, wenn die Konfigurationsdaten in AD FS geändert wurden. | Starten Sie den Webanwendungsproxy-Dienst neu. Wenn das Problem weiterhin besteht, führen Sie das Install-WebApplicationProxy Cmdlet aus. |
Administratorkonsolenereignisse
Die folgenden Ereignisse der Administratorkonsole deuten iauf Authentifizierungsfehler, ungültige Token oder abgelaufene Cookies hin.
| Ereignis oder Symptom | Mögliche Ursache | Lösung |
|---|---|---|
| 11005 Der Webanwendungsproxy konnte den Cookieverschlüsselungsschlüssel nicht mithilfe des Geheimnisses aus der Konfiguration erstellen. |
Der globale Konfigurationsparameter AccessCookiesEncryptionKey wurde vom PowerShell-Cmdlet geändert: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
Keine Aktion erforderlich. Das problematische Cookie wurde entfernt, und der Benutzer wurde zur Authentifizierung an STS weitergeleitet. |
| 12000 Der Webanwendungsproxy konnte mindestens 60 Minuten lang nicht nach Konfigurationsänderungen suchen. |
Web-Anwendungsproxy kann nicht mithilfe des Cmdlets Get-WebApplicationProxyConfiguration/Applicationauf die Web-Anwendungsproxy-Konfiguration zugreifen. Dies ist darauf zurückzuführen, dass die Konnektivität mit dem AD FS fehlt oder die Vertrauensstellung zum AD FS erneuert werden muss. |
Überprüfen Sie die Konnektivität mit AD FS. Dazu können Sie den Link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml verwenden. Stellen Sie sicher, dass zwischen AD FS und Webanwendungsproxy eine Vertrauensstellung eingerichtet ist. Wenn diese Lösungen nicht funktionieren, führen Sie das Install-WebApplicationProxy Cmdlet aus. |
| 12003 Der Webanwendungsproxy konnte das Zugriffscookies nicht analysieren. |
Dies kann darauf hindeuten, dass der Webanwendungsproxy und die AD FS nicht verbunden sind oder dass sie nicht dieselbe Konfiguration erhalten. | Überprüfen Sie die Konnektivität mit AD FS. Dazu können Sie den Link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml verwenden. Stellen Sie sicher, dass zwischen AD FS und Webanwendungsproxy eine Vertrauensstellung eingerichtet ist. Wenn diese Lösungen nicht funktionieren, führen Sie das Install-WebApplicationProxy Cmdlet aus. |
| 12004 Der Webanwendungsproxy hat eine Anforderung mit einem ungültigen Zugriffscookie erhalten. |
Dieses Ereignis kann darauf hindeuten, dass der Webanwendungsproxy und AD FS nicht verbunden sind oder dass sie nicht dieselbe Konfiguration erhalten. Wenn Sie den |
Überprüfen Sie die Konnektivität mit AD FS. Dazu können Sie den Link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml verwenden. Stellen Sie sicher, dass zwischen AD FS und Webanwendungsproxy eine Vertrauensstellung eingerichtet ist. Wenn diese Lösungen nicht funktionieren, führen Sie das Install-WebApplicationProxy Cmdlet aus. |
| 12008 Der Webanwendungsproxy hat die maximale Anzahl zulässiger Kerberos-Authentifizierungsversuche beim Back-End-Server überschritten. |
Dieses Ereignis deutet möglicherweise auf eine falsche Konfiguration zwischen dem Webanwendungsproxy und dem Back-End-Anwendungsserver oder auf ein Problem bei der Konfiguration von Datum und Uhrzeit auf beiden Computern hin. | Der Back-End-Server hat das vom Webanwendungsproxy erstellte Kerberos-Ticket abgelehnt. Überprüfen Sie, ob die Konfiguration des Webanwendungsproxys und des Back-End-Anwendungsservers korrekt ist. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit auf dem Webanwendungsproxy und auf dem Back-End-Anwendungsserver synchronisiert ist. |
| 12011 Der Webanwendungsproxy hat eine Anforderung mit einer ungültigen Zugriffscookiesignatur erhalten. |
Dieses Ereignis kann darauf hindeuten, dass der Webanwendungsproxy und AD FS nicht verbunden sind oder dass sie nicht dieselbe Konfiguration erhalten. Wenn Sie den AccessCookiesEncryptionKey Parameter vom Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey PowerShell-Cmdlet geändert haben, ist dieses Ereignis normal und erfordert keine Lösungsschritte. |
Überprüfen Sie die Konnektivität mit AD FS. Dazu können Sie den Link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml verwenden. Stellen Sie sicher, dass zwischen AD FS und Webanwendungsproxy eine Vertrauensstellung eingerichtet ist. Wenn diese Lösungen nicht funktionieren, führen Sie das Install-WebApplicationProxy Cmdlet aus. |
| 12027 Vom Proxy wurde beim Verarbeiten der Anforderung ein unerwarteter Fehler festgestellt. Der angegebene Name ist nicht im korrekten Format für den Kontonamen. |
Dieses Ereignis deutet möglicherweise auf eine falsche Konfiguration zwischen dem Webanwendungsproxy und dem Domänencontrollerserver oder auf ein Problem bei der Konfiguration von Datum und Uhrzeit auf beiden Computern hin. | Der Domänencontroller hat das vom Webanwendungsproxy erstellte Kerberos-Ticket abgelehnt. Überprüfen Sie, ob die Konfiguration des Webanwendungsproxys und des Back-End-Anwendungsservers korrekt ist, insbesondere die SPN-Konfiguration. Sorgen Sie dafür, dass der Webanwendungsproxy in dieselbe Domäne wie der Domänencontroller eingebunden ist, um sicherzustellen, dass der Domänencontroller eine Vertrauensstellung mit dem Webanwendungsproxy herstellt. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit auf dem Webanwendungsproxy und auf dem Domänencontroller synchronisiert ist. |
| 13012 Der Webanwendungsproxy hat eine ungültige Edgetokensignatur erhalten. |
Stellen Sie sicher, dass Sie web Anwendungsproxy mit Web Anwendungsproxy das aktualisierte Zertifikat nicht erkennen können, nachdem es automatisch auf Windows Server 2012 R2 aktualisiert wurde. | |
| 13013 Der Webanwendungsproxy hat eine Anforderung empfangen, die ein abgelaufenes Edgetoken enthielt. |
Die Uhr des Webanwendungsproxys und die von AD FS sind nicht synchronisiert. | Synchronisieren Sie die Uhren von Webanwendungsproxy und AD FS. |
| 13014 Der Webanwendungsproxy hat eine Anforderung mit einem ungültigen Edgetoken erhalten. Das Token ist ungültig, da es nicht analysiert werden konnte. |
Dies kann auf ein Problem mit der AD FS-Konfiguration hinweisen. | Überprüfen Sie Ihre AD FS-Konfiguration, und stellen Sie bei Bedarf die Standardkonfiguration wieder her. |
| 13015 Der Webanwendungsproxy hat eine Anforderung mit einem abgelaufenen Zugriffscookie erhalten. |
Dies kann darauf hinweisen, dass nicht alle Uhren synchronisiert sind. | Wenn Sie mit einem Cluster von Webanwendungsproxy-Computern arbeiten, stellen Sie sicher, dass Uhrzeit und Datum der Computer synchronisiert sind. |
| 13016 Der Webanwendungsproxy kann kein Kerberos-Ticket für den Benutzer abrufen, weil im Edgetoken oder im Zugriffscookie kein UPN vorliegt. |
Es gibt ein Problem mit der STS-Konfiguration. | Korrigieren Sie die UPN-Anspruchskonfiguration im STS. |
| 13019 Der Webanwendungsproxy kann aufgrund des folgenden allgemeinen API-Fehlers kein Kerberos-Ticket für den Benutzer abrufen. |
Dieses Ereignis deutet möglicherweise auf eine falsche Konfiguration zwischen dem Webanwendungsproxy und dem Domänencontrollerserver oder auf ein Problem bei der Konfiguration von Datum und Uhrzeit auf beiden Computern hin. | Der Domänencontroller hat das vom Webanwendungsproxy erstellte Kerberos-Ticket abgelehnt. Überprüfen Sie, ob die Konfiguration des Webanwendungsproxys und des Back-End-Anwendungsservers korrekt ist, insbesondere die SPN-Konfiguration. Sorgen Sie dafür, dass der Webanwendungsproxy in dieselbe Domäne wie der Domänencontroller eingebunden ist, um sicherzustellen, dass der Domänencontroller eine Vertrauensstellung mit dem Webanwendungsproxy herstellt. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit auf dem Webanwendungsproxy und auf dem Domänencontroller synchronisiert ist. |
| 13020 Der Webanwendungsproxy kann kein Kerberos-Ticket für den Benutzer abrufen, weil der Back-End-Server-SPN nicht definiert ist. |
Dieses Ereignis deutet möglicherweise auf eine falsche Konfiguration zwischen dem Webanwendungsproxy und dem Domänencontrollerserver oder auf ein Problem bei der Konfiguration von Datum und Uhrzeit auf beiden Computern hin. | Der Domänencontroller hat das vom Webanwendungsproxy erstellte Kerberos-Ticket abgelehnt. Überprüfen Sie, ob die Konfiguration des Webanwendungsproxys und des Back-End-Anwendungsservers korrekt ist, insbesondere die SPN-Konfiguration. Sorgen Sie dafür, dass der Webanwendungsproxy in dieselbe Domäne wie der Domänencontroller eingebunden ist, um sicherzustellen, dass der Domänencontroller eine Vertrauensstellung mit dem Webanwendungsproxy herstellt. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit auf dem Webanwendungsproxy und auf dem Domänencontroller synchronisiert ist. |
| 13022 Der Webanwendungsproxy kann den Benutzer nicht authentifizieren, weil der Back-End-Server auf Kerberos-Authentifizierungsversuche mit einem HTTP 401-Fehler reagiert. |
Dieses Ereignis deutet möglicherweise auf eine falsche Konfiguration zwischen dem Webanwendungsproxy und dem Back-End-Anwendungsserver oder auf ein Problem bei der Konfiguration von Datum und Uhrzeit auf beiden Computern hin. | Der Back-End-Server hat das vom Webanwendungsproxy erstellte Kerberos-Ticket abgelehnt. Überprüfen Sie, ob die Konfiguration des Webanwendungsproxys und des Back-End-Anwendungsservers korrekt ist. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit auf dem Webanwendungsproxy und auf dem Back-End-Anwendungsserver synchronisiert ist. |
| 13025 Der Client hat dem Webanwendungsproxy kein SSL-Zertifikat vorgelegt. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und dass Uhrzeit und Datum von Webanwendungsproxy und AD FS synchronisiert sind. Stellen Sie sicher, dass für den Webanwendungsproxy der richtige Fingerabdruck konfiguriert wurde. |
| 13026 Der Client hat dem Webanwendungsproxy ein ungültiges SSL-Zertifikat vorgelegt: Das Zertifikat stimmt nicht mit dem Fingerabdruck überein. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und dass Uhrzeit und Datum von Webanwendungsproxy und AD FS synchronisiert sind. Stellen Sie sicher, dass für den Webanwendungsproxy der richtige Fingerabdruck konfiguriert wurde. |
| 13028 Der Webanwendungsproxy hat eine Anforderung mit einem noch nicht gültigen Edgetoken erhalten. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und dass Uhrzeit und Datum von Webanwendungsproxy und AD FS synchronisiert sind. |
| 13030 Der Client hat dem Webanwendungsproxy ein SSL-Zertifikat vorgelegt, aber der Vertrauensanbieter vertraut nicht der Zertifizierungsstelle, die das Clientzertifikat ausgestellt hat. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und dass Uhrzeit und Datum von Webanwendungsproxy und AD FS synchronisiert sind. Stellen Sie sicher, dass für den Webanwendungsproxy der richtige Fingerabdruck konfiguriert wurde. |
| 13031 Der Client hat dem Webanwendungsproxy ein SSL-Zertifikat vorgelegt, aber die Zertifikatkette endet in einem Stammzertifikat, das vom Vertrauensanbieter nicht als vertrauenswürdig eingestuft wird. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und dass Uhrzeit und Datum von Webanwendungsproxy und AD FS synchronisiert sind. Stellen Sie sicher, dass für den Webanwendungsproxy der richtige Fingerabdruck konfiguriert wurde. |
| 13032 Der Client hat dem Webanwendungsproxy ein SSL-Zertifikat vorgelegt, das für die angeforderte Verwendung ungültig ist. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und dass Uhrzeit und Datum von Webanwendungsproxy und AD FS synchronisiert sind. Stellen Sie sicher, dass für den Webanwendungsproxy der richtige Fingerabdruck konfiguriert wurde. |
| 13033 Der Client hat dem Webanwendungsproxy ein SSL-Zertifikat vorgelegt, das bei der Überprüfung anhand der aktuellen Systemuhr oder des Zeitstempels in der signierten Datei nicht innerhalb seines Gültigkeitszeitraums liegt. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und dass Uhrzeit und Datum von Webanwendungsproxy und AD FS synchronisiert sind. Stellen Sie sicher, dass für den Webanwendungsproxy der richtige Fingerabdruck konfiguriert wurde. |
| 13034 Der Client hat dem Webanwendungsproxy ein ungültiges SSL-Zertifikat vorgelegt. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und dass Uhrzeit und Datum von Webanwendungsproxy und AD FS synchronisiert sind. Stellen Sie sicher, dass für den Webanwendungsproxy der richtige Fingerabdruck konfiguriert wurde. |
Die folgenden Administratorkonsolenereignisse weisen auf Konfigurationsprobleme hin, z. B. im Zusammenhang mit der Bereitstellung, mit nicht erfolgreichen Anforderungen, nicht erreichbaren Back-End-Servern und Pufferüberläufen.
| Ereignis oder Symptom | Mögliche Ursache | Lösung |
|---|---|---|
| 12019 Der Webanwendungsproxy konnte keinen Listener für folgende URL erstellen. |
Eine mögliche Ursache für das Ereignis ist, dass ein anderer Dienst auf dieselbe URL lauscht. | Der Administrator muss sicherstellen, dass nicht auf dieselben URLs gelauscht oder eine Bindung an dieselben URLs hergestellt wird. Um dies zu überprüfen, führen Sie den Befehl aus: netsh http show urlacl. Wenn diese URL von einer anderen Komponente auf dem Webanwendungsproxy-Computer verwendet wird, entfernen Sie sie, oder verwenden Sie eine andere URL, um die Anwendungen über den Webanwendungsproxy zu veröffentlichen. |
| 12020 Der Webanwendungsproxy konnte keine Reservierung für folgende URL erstellen. |
Eine mögliche Ursache für das Ereignis ist, dass ein anderer Dienst über eine Reservierung unter derselben URL verfügt. | Der Administrator muss sicherstellen, dass keine Bindung an dieselben URLs erfolgt. Um dies zu überprüfen, führen Sie den Befehl aus: netsh http show urlacl. Wenn diese URL von einer anderen Komponente auf dem Webanwendungsproxy-Computer verwendet wird, entfernen Sie sie, oder verwenden Sie eine andere URL, um die Anwendungen über den Webanwendungsproxy zu veröffentlichen. |
| 12021 Der Webanwendungsproxy konnte das SSL-Serverzertifikat nicht binden. Alle übrigen Konfigurationseinstellungen wurden angewendet. |
Ein Konfigurationsdatensatz mit SSL-Zertifikatdaten kann nicht erstellt und festgelegt werden. | Stellen Sie sicher, dass die für Webanwendungsproxy-Anwendungen konfigurierten Zertifikatfingerabdrücke auf allen Webanwendungsproxy-Computern mit einem privaten Schlüssel im lokalen Computerspeicher installiert sind. |
| 13001 Das dem Webanwendungsproxy vom Back-End-Server vorgelegte SSL-Serverzertifikat ist ungültig. Das Zertifikat ist nicht vertrauenswürdig. |
Mindestens ein Fehler wurde in dem SSL-Zertifikat (Secure Sockets Layer) gefunden, das vom Server gesendet wurde. Dies kann darauf hindeuten, dass der Back-End-Server ein ungültiges SSL bereitgestellt hat oder dass zwischen dem Webanwendungsproxy und dem Back-End-Server keine Vertrauensstellung besteht. | Überprüfen Sie ein Back-End-Server-SSL-Zertifikat. Stellen Sie sicher, dass der Webanwendungsproxy-Computer mit den richtigen Stammzertifizierungsstellen konfiguriert ist, um dem Back-End-Serverzertifikat zu vertrauen. |
| 13006 | Wenn der Fehlercode 0x80072ee7 lautet, wird der Fehler dadurch verursacht, dass die Back-End-Server-URL nicht aufgelöst werden kann. Andere Fehlercodes werden in der WinHttpSendRequest-Funktion (winhttp.h) beschrieben. | Überprüfen Sie, ob die URL des Back-End-Servers richtig ist und ob ihr Name vom Webanwendungsproxy-Computer ordnungsgemäß aufgelöst werden kann. |
| 13007 Die HTTP-Antwort vom Back-End-Server wurde nicht innerhalb des erwarteten Intervalls empfangen. |
Die Back-End-Serveranforderung hat ein Timeout verursacht, ist langsam oder reagiert nicht. | Überprüfen Sie die Konfiguration des Back-End-Servers. Wenn dies langsam ist, überprüfen Sie die Verbindung mit dem Back-End-Server, und erwägen Sie auch, das Cmdlet InactiveTransactionsTimeoutSecfür den globalen Konfigurationsparameter für Web Anwendungsproxy zu ändern. |