Problembehandlung für Web-Anwendungsproxy
Dieser Artikel ist für die lokale Version von Web Anwendungsproxy relevant. Informationen zum Aktivieren des sicheren Zugriffs auf lokale Anwendungen über die Cloud finden Sie im Microsoft Entra Anwendungsproxy Inhalte.
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Dieser Abschnitt enthält Verfahren zur Problembehandlung für Web Anwendungsproxy einschließlich Ereigniserklärungen und Lösungen. Es gibt drei Stellen, an denen Fehler angezeigt werden:
In der Web Anwendungsproxy-Administratorkonsole
Jede in der Administratorkonsole aufgeführte Ereignis-ID kann im Windows-Ereignisanzeige angezeigt werden, und die entsprechenden Beschreibungen und Lösungen finden Sie unten.
Öffnen Sie Ereignisanzeige, und suchen Sie unter Anwendungs- und Dienstprotokolle>Microsoft>Windows>Web AnwendungsproxyAdmin nach Ereignissen im Zusammenhang mit web Anwendungsproxy>.
Bei Bedarf sind detaillierte Protokolle verfügbar, indem Sie Analyse- und Debugprotokolle aktivieren und das Web Anwendungsproxy Sitzungsprotokoll aktivieren, das sich im Windows-Ereignisanzeige unter \Microsoft\Windows\Web Anwendungsproxy\Admin befindet.
In PowerShell-Fehlern
Ereignisse für Probleme, die während der Konfiguration auftreten, werden in PowerShell angezeigt.
Alle Fehler werden dem PowerShell-Benutzer mithilfe von PowerShell-Standardfehleraufforderungen angezeigt. Alle PowerShell-Cmdlets werden als Ereignisse protokolliert. Alle Ereignisse, die in PowerShell auftreten, werden im Windows-Ereignisanzeige mit der ID-Nummer 12016 aufgeführt und im Abschnitt PowerShell unten definiert.
Im Best Practices Analyzer
Diese Ereignisse werden im Best Practices Analyzer for Web Anwendungsproxy beschrieben.
PowerShell-Nachrichten
| Ereignis oder Symptom | Mögliche Ursache | Lösung |
|---|---|---|
| Das Vertrauenszertifikat ("ADFS ProxyTrust – <WAP-Computername>") ist ungültig. | Dies kann durch eine der folgenden Ursachen verursacht werden: - Der Anwendungsproxy Computer war zu lange ausgefallen. |
Stellen Sie sicher, dass die Uhren synchronisiert sind. Führen Sie das Install-WebApplicationProxy Cmdlet aus. |
| Konfigurationsdaten wurden in AD FS nicht gefunden | Dies kann darauf zurückzuführen sein, dass Web Anwendungsproxy noch nicht vollständig installiert war, oder auf Änderungen in der AD FS-Datenbank oder eine Beschädigung der Datenbank zurückzuführen ist. | Ausführen des Cmdlets Install-WebApplicationProxy |
| Fehler beim Versuch des Web-Anwendungsproxy, die Konfiguration aus AD FS zu lesen. | Dies kann darauf hindeuten, dass AD FS nicht erreichbar ist oder dass bei AD FS beim Lesen der Konfiguration aus der AD FS-Datenbank ein internes Problem aufgetreten ist. | Vergewissern Sie sich, dass AD FS erreichbar ist und ordnungsgemäß funktioniert. |
| Die in AD FS gespeicherten Konfigurationsdaten sind beschädigt, oder Web Anwendungsproxy konnte sie nicht analysieren. ODER Web Anwendungsproxy konnte die Liste der vertrauenden Seiten aus AD FS nicht abrufen. |
Dies kann der Fall sein, wenn die Konfigurationsdaten in AD FS geändert wurden. | Starten Sie den Web Anwendungsproxy-Dienst neu. Wenn das Problem weiterhin besteht, führen Sie das Install-WebApplicationProxy Cmdlet aus. |
Administratorkonsolenereignisse
Die folgenden Administratorkonsolenereignisse deuten auf Authentifizierungsfehler, ungültige Token oder abgelaufene Cookies hin.
| Ereignis oder Symptom | Mögliche Ursache | Lösung |
|---|---|---|
| 11005 Web Anwendungsproxy konnte den Cookieverschlüsselungsschlüssel nicht mithilfe des Geheimnisses aus der Konfiguration erstellen. |
Der globale Konfigurationsparameter AccessCookiesEncryptionKey wurde vom PowerShell-Cmdlet geändert: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
Es ist keine Aktion erforderlich. Das problematische Cookie wurde entfernt, und der Benutzer wurde zur Authentifizierung an STS umgeleitet. |
| 12000 Web Anwendungsproxy konnte mindestens 60 Minuten lang nicht nach Konfigurationsänderungen suchen. |
Web Anwendungsproxy kann nicht mithilfe des Cmdlets Get-WebApplicationProxyConfiguration/Applicationauf die Web Anwendungsproxy-Konfiguration zugreifen. Dies ist auf fehlende Konnektivität mit AD FS oder die Notwendigkeit zurückzuführen, die Vertrauensstellung mit AD FS zu erneuern. |
Überprüfen Sie die Konnektivität mit AD FS. Dazu können Sie den Link verwenden https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Stellen Sie sicher, dass zwischen AD FS und dem Web-Anwendungsproxy eine Vertrauensstellung eingerichtet ist. Wenn diese Lösungen nicht funktionieren, führen Sie das Install-WebApplicationProxy Cmdlet aus. |
| 12003 Web Anwendungsproxy konnte das Zugriffscookies nicht analysieren. |
Dies kann darauf hindeuten, dass die Web-Anwendungsproxy und AD FS nicht verbunden sind oder dass sie nicht die gleiche Konfiguration erhalten. | Überprüfen Sie die Konnektivität mit AD FS. Dazu können Sie den Link verwenden https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Stellen Sie sicher, dass zwischen AD FS und dem Web-Anwendungsproxy eine Vertrauensstellung eingerichtet ist. Wenn diese Lösungen nicht funktionieren, führen Sie das Install-WebApplicationProxy Cmdlet aus. |
| 12004 Web-Anwendungsproxy eine Anforderung mit einem Nichtvalid-Zugriffscookies erhalten. |
Dieses Ereignis kann darauf hinweisen, dass web Anwendungsproxy und AD FS nicht verbunden sind oder dass sie nicht die gleiche Konfiguration erhalten. Wenn Sie ausgeführt haben, dass der |
Überprüfen Sie die Konnektivität mit AD FS. Dazu können Sie den Link verwenden https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Stellen Sie sicher, dass zwischen AD FS und dem Web-Anwendungsproxy eine Vertrauensstellung eingerichtet ist. Wenn diese Lösungen nicht funktionieren, führen Sie das Install-WebApplicationProxy Cmdlet aus. |
| 12008 Web-Anwendungsproxy die maximale Anzahl zulässiger Kerberos-Authentifizierungsversuche für den Back-End-Server überschritten. |
Dieses Ereignis kann auf eine falsche Konfiguration zwischen Web Anwendungsproxy und dem Back-End-Anwendungsserver oder auf ein Problem bei der Zeit- und Datumskonfiguration auf beiden Computern hinweisen. | Der Back-End-Server hat das von Web Anwendungsproxy erstellte Kerberos-Ticket abgelehnt. Vergewissern Sie sich, dass die Konfiguration des Web-Anwendungsproxy und des Back-End-Anwendungsservers ordnungsgemäß konfiguriert sind. Stellen Sie sicher, dass die Zeit- und Datumskonfiguration auf dem Web-Anwendungsproxy und dem Back-End-Anwendungsserver synchronisiert sind. |
| 12011 Web Anwendungsproxy eine Anforderung mit einer ungültigen Zugriffscookiessignatur erhalten. |
Dieses Ereignis kann darauf hinweisen, dass web Anwendungsproxy und AD FS nicht verbunden sind oder dass sie nicht die gleiche Konfiguration erhalten. Wenn Sie ausgeführt haben, dass der AccessCookiesEncryptionKey Parameter vom Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey PowerShell-Cmdlet geändert wurde, ist dieses Ereignis normal und erfordert keine Auflösungsschritte. |
Überprüfen Sie die Konnektivität mit AD FS. Dazu können Sie den Link verwenden https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Stellen Sie sicher, dass zwischen AD FS und dem Web-Anwendungsproxy eine Vertrauensstellung eingerichtet ist. Wenn diese Lösungen nicht funktionieren, führen Sie das Install-WebApplicationProxy Cmdlet aus. |
| 12027 Beim Proxy ist bei der Verarbeitung der Anforderung ein unerwarteter Fehler aufgetreten. Der angegebene Name ist kein ordnungsgemäß formatierter Kontoname. |
Dieses Ereignis kann auf eine falsche Konfiguration zwischen Web Anwendungsproxy und dem Domänencontrollerserver oder auf ein Problem bei der Zeit- und Datumskonfiguration auf beiden Computern hinweisen. | Der Domänencontroller hat das von Web Anwendungsproxy erstellte Kerberos-Ticket abgelehnt. Vergewissern Sie sich, dass die Konfiguration des Web-Anwendungsproxy und des Back-End-Anwendungsservers ordnungsgemäß konfiguriert sind, insbesondere die SPN-Konfiguration. Stellen Sie sicher, dass der Web-Anwendungsproxy in dieselbe Domäne wie der Domänencontroller eingebunden ist, um sicherzustellen, dass der Domänencontroller eine Vertrauensstellung mit Web Anwendungsproxy herstellt. Stellen Sie sicher, dass die Zeit- und Datumskonfiguration auf dem Web-Anwendungsproxy und dem Domänencontroller synchronisiert sind. |
| 13012 Web Anwendungsproxy eine nicht validierte Edgetokensignatur empfangen |
Stellen Sie sicher, dass Sie web Anwendungsproxy mit Web Anwendungsproxy das aktualisierte Zertifikat nicht erkennen können, nachdem es automatisch auf Windows Server 2012 R2 aktualisiert wurde. | |
| 13013 Web Anwendungsproxy eine Anforderung empfangen, die ein abgelaufenes Edgetoken enthielt. |
Web Anwendungsproxy und AD FS verfügen nicht über synchronisierte Uhren. | Synchronisieren Sie die Uhren zwischen Web Anwendungsproxy und AD FS. |
| 13014 Web Anwendungsproxy eine Anforderung mit einem nicht validierten Edgetoken empfangen. Das Token ist ungültig, da es nicht analysiert werden konnte. |
Dies kann auf ein Problem mit der AD FS-Konfiguration hinweisen. | Überprüfen Sie Ihre AD FS-Konfiguration, und stellen Sie bei Bedarf die Standardkonfiguration wieder her. |
| 13015 Web Anwendungsproxy eine Anforderung mit einem abgelaufenen Zugriffscookies erhalten. |
Dies kann auf Uhren hinweisen, die nicht synchronisiert sind. | Wenn Sie mit einem Cluster von Web Anwendungsproxy-Computern arbeiten, stellen Sie sicher, dass Uhrzeit und Datum der Computer synchronisiert sind. |
| 13016 Web-Anwendungsproxy kann kein Kerberos-Ticket im Namen des Benutzers abrufen, da kein UPN im Edgetoken oder im Zugriffscookies vorhanden ist. |
Es liegt ein Problem mit der STS-Konfiguration vor. | Korrigieren Sie die UPN-Anspruchskonfiguration im STS. |
| 13019 Web Anwendungsproxy kann aufgrund des folgenden allgemeinen API-Fehlers kein Kerberos-Ticket im Namen des Benutzers abrufen |
Dieses Ereignis kann auf eine falsche Konfiguration zwischen Web Anwendungsproxy und dem Domänencontrollerserver oder auf ein Problem bei der Zeit- und Datumskonfiguration auf beiden Computern hinweisen. | Der Domänencontroller hat das von Web Anwendungsproxy erstellte Kerberos-Ticket abgelehnt. Vergewissern Sie sich, dass die Konfiguration des Web-Anwendungsproxy und des Back-End-Anwendungsservers ordnungsgemäß konfiguriert sind, insbesondere die SPN-Konfiguration. Stellen Sie sicher, dass der Web-Anwendungsproxy in dieselbe Domäne wie der Domänencontroller eingebunden ist, um sicherzustellen, dass der Domänencontroller eine Vertrauensstellung mit Web Anwendungsproxy herstellt. Stellen Sie sicher, dass die Zeit- und Datumskonfiguration auf dem Web-Anwendungsproxy und dem Domänencontroller synchronisiert sind. |
| 13020 Web Anwendungsproxy kann kein Kerberos-Ticket im Namen des Benutzers abrufen, da der Back-End-Server-SPN nicht definiert ist. |
Dieses Ereignis kann auf eine falsche Konfiguration zwischen Web Anwendungsproxy und dem Domänencontrollerserver oder auf ein Problem bei der Zeit- und Datumskonfiguration auf beiden Computern hinweisen. | Der Domänencontroller hat das von Web Anwendungsproxy erstellte Kerberos-Ticket abgelehnt. Vergewissern Sie sich, dass die Konfiguration des Web-Anwendungsproxy und des Back-End-Anwendungsservers ordnungsgemäß konfiguriert sind, insbesondere die SPN-Konfiguration. Stellen Sie sicher, dass der Web-Anwendungsproxy in dieselbe Domäne wie der Domänencontroller eingebunden ist, um sicherzustellen, dass der Domänencontroller eine Vertrauensstellung mit Web Anwendungsproxy herstellt. Stellen Sie sicher, dass die Zeit- und Datumskonfiguration auf dem Web-Anwendungsproxy und dem Domänencontroller synchronisiert sind. |
| 13022 Web-Anwendungsproxy kann den Benutzer nicht authentifizieren, da der Back-End-Server auf Kerberos-Authentifizierungsversuche mit einem HTTP 401-Fehler antwortet. |
Dieses Ereignis kann auf eine falsche Konfiguration zwischen Web Anwendungsproxy und dem Back-End-Anwendungsserver oder auf ein Problem bei der Zeit- und Datumskonfiguration auf beiden Computern hinweisen. | Der Back-End-Server hat das von Web Anwendungsproxy erstellte Kerberos-Ticket abgelehnt. Vergewissern Sie sich, dass die Konfiguration des Web-Anwendungsproxy und des Back-End-Anwendungsservers ordnungsgemäß konfiguriert sind. Stellen Sie sicher, dass die Zeit- und Datumskonfiguration auf dem Web-Anwendungsproxy und dem Back-End-Anwendungsserver synchronisiert sind. |
| 13025 Der Client hat web Anwendungsproxy kein SSL-Zertifikat präsentiert. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und die Uhrzeit und das Datum des Web-Anwendungsproxy und der AD FS synchronisiert werden. Stellen Sie sicher, dass der für die Web-Anwendungsproxy konfigurierte Fingerabdruck der richtige ist. |
| 13026 Der Client hat web Anwendungsproxy ein SSL-Zertifikat vorgelegt, aber das Zertifikat ist ungültig: Das Zertifikat stimmt nicht mit dem Fingerabdruck überein. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und die Uhrzeit und das Datum des Web-Anwendungsproxy und der AD FS synchronisiert werden. Stellen Sie sicher, dass der für die Web-Anwendungsproxy konfigurierte Fingerabdruck der richtige ist. |
| 13028 Web Anwendungsproxy eine Anforderung empfangen, die ein noch nicht gültiges Edgetoken enthielt. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und die Uhrzeit und das Datum des Web-Anwendungsproxy und der AD FS synchronisiert werden. |
| 13030 Der Client hat web Anwendungsproxy ein SSL-Zertifikat vorgelegt, aber der Vertrauensanbieter vertraut der Zertifizierungsstelle, die das Clientzertifikat ausgestellt hat, nicht. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und die Uhrzeit und das Datum des Web-Anwendungsproxy und der AD FS synchronisiert werden. Stellen Sie sicher, dass der für die Web-Anwendungsproxy konfigurierte Fingerabdruck der richtige ist. |
| 13031 Der Client hat web Anwendungsproxy ein SSL-Zertifikat vorgelegt, aber die Zertifikatkette wurde in einem Stammzertifikat beendet, dem der Vertrauensanbieter nicht vertraut. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und die Uhrzeit und das Datum des Web-Anwendungsproxy und der AD FS synchronisiert werden. Stellen Sie sicher, dass der für die Web-Anwendungsproxy konfigurierte Fingerabdruck der richtige ist. |
| 13032 Der Client hat web Anwendungsproxy ein SSL-Zertifikat vorgelegt, aber das Zertifikat war für die angeforderte Verwendung nicht gültig. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und die Uhrzeit und das Datum des Web-Anwendungsproxy und der AD FS synchronisiert werden. Stellen Sie sicher, dass der für die Web-Anwendungsproxy konfigurierte Fingerabdruck der richtige ist. |
| 13033 Der Client hat web Anwendungsproxy ein SSL-Zertifikat vorgelegt, aber das Zertifikat lag bei der Überprüfung anhand der aktuellen Systemuhr oder des Zeitstempels in der signierten Datei nicht innerhalb seines Gültigkeitszeitraums. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und die Uhrzeit und das Datum des Web-Anwendungsproxy und der AD FS synchronisiert werden. Stellen Sie sicher, dass der für die Web-Anwendungsproxy konfigurierte Fingerabdruck der richtige ist. |
| 13034 Der Client hat web Anwendungsproxy ein SSL-Zertifikat vorgelegt, aber das Zertifikat war ungültig. |
Dieses Ereignis kann auf ein Problem bei der Zeit- und Datumskonfiguration hinweisen. | Stellen Sie sicher, dass die Zertifikatinfrastruktur gültig ist und die Uhrzeit und das Datum des Web-Anwendungsproxy und der AD FS synchronisiert werden. Stellen Sie sicher, dass der für die Web-Anwendungsproxy konfigurierte Fingerabdruck der richtige ist. |
Die folgenden Administratorkonsolenereignisse weisen auf Probleme mit der Konfiguration hin, z. B. Bereitstellung, nicht erfolgreiche Anforderungen, nicht erreichbare Back-End-Server und Pufferüberläufe.
| Ereignis oder Symptom | Mögliche Ursache | Lösung |
|---|---|---|
| 12019 Web Anwendungsproxy konnte keinen Listener für die folgende URL erstellen. |
Eine mögliche Ursache für das Ereignis ist, dass ein anderer Dienst dieselbe URL überwacht. | Der Administrator muss sicherstellen, dass niemand die gleichen URLs lauscht oder an sie bindet. Um dies zu überprüfen, führen Sie den Folgenden Befehl aus: netsh http show urlacl. Wenn diese URL von einer anderen Komponente verwendet wird, die auf dem Web Anwendungsproxy Computer ausgeführt wird, entfernen Sie sie entweder, oder verwenden Sie eine andere URL, um die Anwendungen über Web Anwendungsproxy zu veröffentlichen. |
| 12020 Web Anwendungsproxy konnte keine Reservierung für die folgende URL erstellen. |
Eine mögliche Ursache für das Ereignis ist, dass ein anderer Dienst über eine Reservierung für dieselbe URL verfügt. | Der Administrator muss sicherstellen, dass niemand an die gleichen URLs gebunden ist. Um dies zu überprüfen, führen Sie den Folgenden Befehl aus: netsh http show urlacl. Wenn diese URL von einer anderen Komponente verwendet wird, die auf dem Web Anwendungsproxy Computer ausgeführt wird, entfernen Sie sie entweder, oder verwenden Sie eine andere URL, um die Anwendungen über Web Anwendungsproxy zu veröffentlichen. |
| 12021 Web Anwendungsproxy konnte das SSL-Serverzertifikat nicht binden. Alle anderen Konfigurationseinstellungen wurden angewendet. |
Ein Konfigurationsdatensatz für SSL-Zertifikatdaten kann nicht erstellt und festgelegt werden. | Stellen Sie sicher, dass die Zertifikatfingerabdrücke, die für Web Anwendungsproxy-Anwendungen konfiguriert sind, auf allen Web Anwendungsproxy-Computern mit einem privaten Schlüssel im lokalen Computerspeicher installiert sind. |
| 13001 Das SSL-Serverzertifikat, das web Anwendungsproxy vom Back-End-Server angezeigt wird, ist ungültig. Das Zertifikat ist nicht vertrauenswürdig. |
Mindestens ein Fehler wurde im SSL-Zertifikat (Secure Sockets Layer) gefunden, das vom Server gesendet wurde. Dies kann darauf hindeuten, dass der Back-End-Server ein ungültiges SSL bereitgestellt hat oder dass keine Vertrauensstellung zwischen dem Web-Anwendungsproxy und dem Back-End-Server besteht. | Überprüfen eines SSL-Zertifikats für einen Back-End-Server. Stellen Sie sicher, dass der Web Anwendungsproxy Computer mit den richtigen Stammzertifizierungsstellen konfiguriert ist, um dem Back-End-Serverzertifikat zu vertrauen. |
| 13006 | Wenn der Fehlercode 0x80072ee7 ist, wird der Fehler dadurch verursacht, dass die Url des Back-End-Servers nicht aufgelöst werden kann. Weitere Fehlercodes werden unter WinHttpSendRequest-Funktion (winhttp.h) beschrieben. | Überprüfen Sie, ob die Url des Back-End-Servers korrekt ist und dass ihr Name vom Web-Anwendungsproxy-Computer ordnungsgemäß aufgelöst werden kann. |
| 13007 Die HTTP-Antwort vom Back-End-Server wurde nicht innerhalb des erwarteten Intervalls empfangen. |
Die Back-End-Serveranforderung hat ein Timeout oder ist langsam oder reagiert nicht. | Überprüfen Sie die Konfiguration des Back-End-Servers. Wenn es langsam ist, überprüfen Sie die Konnektivität mit dem Back-End-Server, und erwägen Sie auch, das Cmdlet web Anwendungsproxy globalen Konfigurationsparameter für zu InactiveTransactionsTimeoutSecändern. |