Solución de problemas del proxy de aplicación web
Este artículo es relevante para la versión local del proxy de aplicación web. Para habilitar el acceso seguro a aplicaciones locales a través de la nube, consulte el contenido de Microsoft Entra Application Proxy.
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
En esta sección, se proporcionan procedimientos de solución de problemas para Proxy de aplicación web, incluidas explicaciones de eventos y soluciones. Hay tres lugares donde se muestran los errores:
En la consola de administrador de Proxy de aplicación web
Cada identificador de evento que se muestra en la consola de administrador se puede ver en la Visor de eventos de Windows y las descripciones y soluciones correspondientes se encuentran a continuación.
Abra Visor de eventos y busque eventos relacionados con el proxy de aplicación web en Registros de aplicaciones y servicios:>administrador de proxy>de aplicación web de Microsoft>Windows.>
Si es necesario, los registros detallados están disponibles activando los registros de análisis y depuración y activando el registro de sesión de Proxy de aplicación web, que se encuentra en windows Visor de eventos en \Microsoft\Windows\Web Application Proxy\Admin.
En los errores de PowerShell
Los eventos de problemas detectados durante la configuración se muestran en PowerShell.
Todos los errores se presentan al usuario de PowerShell mediante mensajes de error estándar de PowerShell. Todos los cmdlets de PowerShell se registran como eventos. Todos los eventos que se producen en PowerShell se muestran en el Visor de eventos de Windows con el número de identificación 12016 y se definen a continuación en la sección de PowerShell.
En el Analizador de procedimientos recomendados
Estos eventos se describen en el Analizador de procedimientos recomendados para el proxy de aplicación web.
Mensajes de PowerShell
| Evento o síntoma | Causa posible | Resolución |
|---|---|---|
| El certificado de confianza ("ADFS ProxyTrust: <nombre de equipo WAP>") no es válido | La causa puede ser una de las siguientes: - La máquina de Proxy de aplicación estuvo inactiva durante demasiado tiempo. |
Asegúrese de que los relojes estén sincronizados. Ejecute el cmdlet Install-WebApplicationProxy. |
| No se encontraron datos de configuración en AD FS | Esto se puede deber a que Proxy de aplicación web aún no estaba totalmente instalado o debido a cambios en la base de datos de AD FS o daños en la base de datos. | Ejecutar el cmdlet Install-WebApplicationProxy. |
| Se produjo un error cuando Proxy de aplicación web intentó leer la configuración de AD FS. | Esto puede indicar que AD FS no es accesible o que AD FS encontró un problema interno al intentar leer la configuración de la base de datos de AD FS. | Compruebe que AD FS sea accesible y funcione correctamente. |
| Los datos de configuración almacenados en AD FS están dañados o Proxy de aplicación web no pudo analizarlos. O BIEN Proxy de aplicación web no pudo recuperar la lista de usuarios de confianza de AD FS. |
Esto puede ocurrir si se modificaron los datos de configuración en AD FS. | Reinicie el servicio Proxy de aplicación web. Si el problema persiste, ejecute el Install-WebApplicationProxy cmdlet . |
Eventos de la consola de administrador
Los siguientes eventos de la consola de administrador son indicativos de errores de autenticación, tokens no válidos o cookies expiradas.
| Evento o síntoma | Causa posible | Resolución |
|---|---|---|
| 11005 Web Application Proxy no pudo crear la clave de cifrado de cookies mediante el secreto de la configuración. |
El cmdlet de PowerShell cambió el parámetro de configuración AccessCookiesEncryptionKey global: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
No se requiere ninguna acción. La cookie problemática se quitó y se redirigió al usuario a STS para la autenticación. |
| 12000 Proxy de aplicación web no pudo comprobar los cambios de configuración durante al menos 60 minutos |
El proxy de aplicación web no puede acceder a la configuración del proxy de aplicación web mediante el cmdlet Get-WebApplicationProxyConfiguration/Application. Esto se debe a la falta de conectividad con AD FS o a la necesidad de renovar la confianza con AD FS. |
Compruebe la conectividad con AD FS. Puede hacerlo mediante el vínculo https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Asegúrese de que haya confianza establecida entre AD FS y Proxy de aplicación web. Si estas soluciones no funcionan, ejecute el Install-WebApplicationProxy cmdlet . |
| 12003 Proxy de aplicación web no pudo analizar la cookie de acceso. |
Esto puede indicar que Proxy de aplicación web y AD FS no están conectados o que no reciben la misma configuración. | Compruebe la conectividad con AD FS. Puede hacerlo mediante el vínculo https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Asegúrese de que haya confianza establecida entre AD FS y Proxy de aplicación web. Si estas soluciones no funcionan, ejecute el Install-WebApplicationProxy cmdlet . |
| 12004 Proxy de aplicación web recibió una solicitud con una cookie de acceso no valida. |
Este evento podría indicar que Proxy de aplicación web y AD FS no están conectados o que no reciben la misma configuración. Si ejecutó el |
Compruebe la conectividad con AD FS. Puede hacerlo mediante el vínculo https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Asegúrese de que haya confianza establecida entre AD FS y Proxy de aplicación web. Si estas soluciones no funcionan, ejecute el Install-WebApplicationProxy cmdlet . |
| 12008 Proxy de aplicación web ha superado el número máximo de intentos de autenticación de Kerberos permitidos en el servidor back-end. |
Este evento puede indicar una configuración incorrecta entre Proxy de aplicación web y el servidor de aplicaciones de back-end o un problema en la configuración de fecha y hora en ambas máquinas. | El servidor back-end ha rechazado el vale Kerberos creado por Proxy de aplicación web. Compruebe que la configuración de Proxy de aplicación web y el servidor de aplicaciones de back-end estén configurados correctamente. Asegúrese de que la configuración de fecha y hora de Proxy de aplicación web y del servidor de aplicaciones de back-end estén sincronizadas. |
| 12011 Proxy de aplicación web recibió una solicitud con una firma de cookie de acceso no valida. |
Este evento podría indicar que Proxy de aplicación web y AD FS no están conectados o que no reciben la misma configuración. Si ejecutó el AccessCookiesEncryptionKey parámetro fue cambiado por Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey el cmdlet de PowerShell, este evento es normal y no requiere ningún paso de resolución. |
Compruebe la conectividad con AD FS. Puede hacerlo mediante el vínculo https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Asegúrese de que haya confianza establecida entre AD FS y Proxy de aplicación web. Si estas soluciones no funcionan, ejecute el Install-WebApplicationProxy cmdlet . |
| 12027 El proxy encontró un error inesperado al procesar la solicitud. El nombre proporcionado no es un nombre de cuenta formado correctamente. |
Este evento puede indicar una configuración incorrecta entre Proxy de aplicación web y el servidor del controlador de dominio o un problema en la configuración de fecha y hora en ambas máquinas. | El controlador de dominio ha rechazado el vale Kerberos creado por Proxy de aplicación web. Compruebe que la configuración de Proxy de aplicación web y el servidor de aplicaciones de back-end estén configurados correctamente, en particular la configuración del SPN. Asegúrese de que Proxy de aplicación web esté unido al mismo dominio que el controlador de dominio para asegurarse de que el controlador de dominio establece la confianza con Proxy de aplicación web. Asegúrese de que la configuración de fecha y hora de Proxy de aplicación web y el controlador de dominio estén sincronizadas. |
| 13012 Proxy de aplicación web recibió una firma de token perimetral no valida. |
Asegúrese de actualizar el proxy de aplicación web con el proxy de aplicación web no puede detectar el certificado actualizado después de que se actualice automáticamente en Windows Server 2012 R2. | |
| 13013 Proxy de aplicación web recibió una solicitud que contenía un token perimetral expirado. |
Proxy de aplicación web y AD FS no tienen los relojes sincronizados. | Sincronice los relojes entre Proxy de aplicación web y AD FS. |
| 13014 Proxy de aplicación web recibió una solicitud con un token perimetral no valido. El token no es válido porque no se pudo analizar. |
Esto puede indicar un problema con la configuración de AD FS. | Compruebe la configuración de AD FS y, si es necesario, restaure la configuración predeterminada. |
| 13015 Proxy de aplicación web recibió una solicitud con una cookie de acceso expirada. |
Esto podría indicar que los relojes no están sincronizados. | Si está trabajando con un clúster de máquinas de Proxy de aplicación web, asegúrese de que la hora y la fecha de las máquinas estén sincronizadas. |
| 13016 Proxy de aplicación web no puede recuperar un vale Kerberos en nombre del usuario porque no hay ningún UPN en el token perimetral o en la cookie de acceso. |
Hay un problema con la configuración de STS. | Corrija la configuración de notificación de UPN en STS. |
| 13019 Proxy de aplicación web no puede recuperar un vale Kerberos en nombre del usuario debido al siguiente error general de API |
Este evento puede indicar una configuración incorrecta entre Proxy de aplicación web y el servidor del controlador de dominio o un problema en la configuración de fecha y hora en ambas máquinas. | El controlador de dominio ha rechazado el vale Kerberos creado por Proxy de aplicación web. Compruebe que la configuración de Proxy de aplicación web y el servidor de aplicaciones de back-end estén configurados correctamente, en particular la configuración del SPN. Asegúrese de que Proxy de aplicación web esté unido al mismo dominio que el controlador de dominio para asegurarse de que el controlador de dominio establece la confianza con Proxy de aplicación web. Asegúrese de que la configuración de fecha y hora de Proxy de aplicación web y el controlador de dominio estén sincronizadas. |
| 13020 Proxy de aplicación web no puede recuperar un vale Kerberos en nombre del usuario porque el SPN del servidor back-end no está definido. |
Este evento puede indicar una configuración incorrecta entre Proxy de aplicación web y el servidor del controlador de dominio o un problema en la configuración de fecha y hora en ambas máquinas. | El controlador de dominio ha rechazado el vale Kerberos creado por Proxy de aplicación web. Compruebe que la configuración de Proxy de aplicación web y el servidor de aplicaciones de back-end estén configurados correctamente, en particular la configuración del SPN. Asegúrese de que Proxy de aplicación web esté unido al mismo dominio que el controlador de dominio para asegurarse de que el controlador de dominio establece la confianza con Proxy de aplicación web. Asegúrese de que la configuración de fecha y hora de Proxy de aplicación web y el controlador de dominio estén sincronizadas. |
| 13022 Proxy de aplicación web no puede autenticar al usuario porque el servidor de back-end responde a los intentos de autenticación de Kerberos con un error HTTP 401. |
Este evento puede indicar una configuración incorrecta entre Proxy de aplicación web y el servidor de aplicaciones de back-end o un problema en la configuración de fecha y hora en ambas máquinas. | El servidor back-end ha rechazado el vale Kerberos creado por Proxy de aplicación web. Compruebe que la configuración de Proxy de aplicación web y el servidor de aplicaciones de back-end estén configurados correctamente. Asegúrese de que la configuración de fecha y hora de Proxy de aplicación web y del servidor de aplicaciones de back-end estén sincronizadas. |
| 13025 El cliente no ha presentado un certificado SSL a Proxy de aplicación web. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura de certificados sea válida y que la hora y la fecha de Proxy de aplicación web y AD FS estén sincronizadas. Asegúrese de que la huella digital configurada para Proxy de aplicación web sea la correcta. |
| 13026 El cliente presentó un certificado SSL a Proxy de aplicación web, pero el certificado no es válido: el certificado no coincide con la huella digital. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura de certificados sea válida y que la hora y la fecha de Proxy de aplicación web y AD FS estén sincronizadas. Asegúrese de que la huella digital configurada para Proxy de aplicación web sea la correcta. |
| 13028 Proxy de aplicación web recibió una solicitud que contenía un token perimetral que aún no es válido. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura de certificados sea válida y que la hora y la fecha de Proxy de aplicación web y AD FS estén sincronizadas. |
| 13030 El cliente presentó un certificado SSL a Proxy de aplicación web, pero el proveedor de confianza no confía en la entidad de certificación que emitió el certificado de cliente. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura de certificados sea válida y que la hora y la fecha de Proxy de aplicación web y AD FS estén sincronizadas. Asegúrese de que la huella digital configurada para Proxy de aplicación web sea la correcta. |
| 13031 El cliente presentó un certificado SSL a Proxy de aplicación web, pero la cadena de certificados finalizó en un certificado raíz que no es de confianza para el proveedor de confianza. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura de certificados sea válida y que la hora y la fecha de Proxy de aplicación web y AD FS estén sincronizadas. Asegúrese de que la huella digital configurada para Proxy de aplicación web sea la correcta. |
| 13032 El cliente presentó un certificado SSL a Proxy de aplicación web, pero el certificado no era válido para el uso solicitado. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura de certificados sea válida y que la hora y la fecha de Proxy de aplicación web y AD FS estén sincronizadas. Asegúrese de que la huella digital configurada para Proxy de aplicación web sea la correcta. |
| 13033 El cliente presentó un certificado SSL a Proxy de aplicación web, pero el certificado no estaba dentro de su período de validez al comprobar con el reloj del sistema actual o la marca de tiempo en el archivo firmado. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura de certificados sea válida y que la hora y la fecha de Proxy de aplicación web y AD FS estén sincronizadas. Asegúrese de que la huella digital configurada para Proxy de aplicación web sea la correcta. |
| 13034 El cliente presentó un certificado SSL a Proxy de aplicación web, pero el certificado no era válido. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura de certificados sea válida y que la hora y la fecha de Proxy de aplicación web y AD FS estén sincronizadas. Asegúrese de que la huella digital configurada para Proxy de aplicación web sea la correcta. |
Los siguientes eventos de la consola de administrador indican problemas relacionados con la configuración, como el aprovisionamiento, solicitudes que no son correctas, servidores back-end que no son accesibles y desbordamientos de búfer.
| Evento o síntoma | Causa posible | Resolución |
|---|---|---|
| 12019 Proxy de aplicación web no pudo crear un cliente de escucha para la siguiente dirección URL. |
Una posible causa del evento es que otro servicio escucha en la misma dirección URL. | El administrador debe asegurarse de que nadie escuche ni enlace las mismas direcciones URL. Para comprobarlo, ejecute el comando : netsh http show urlacl. Si otro componente que se ejecuta en la máquina de Proxy de aplicación web usa esta dirección URL, quítelo o use otra dirección URL para publicar las aplicaciones mediante Proxy de aplicación web. |
| 12020 Proxy de aplicación web no pudo crear una reserva para la siguiente dirección URL. |
Una posible causa del evento es que otro servicio tiene una reserva en la misma dirección URL. | El administrador debe asegurarse de que nadie enlace las mismas direcciones URL. Para comprobarlo, ejecute el comando : netsh http show urlacl. Si otro componente que se ejecuta en la máquina de Proxy de aplicación web usa esta dirección URL, quítelo o use otra dirección URL para publicar las aplicaciones mediante Proxy de aplicación web. |
| 12021 Proxy de aplicación web no pudo enlazar el certificado de servidor SSL. Se aplicaron todas las demás opciones de configuración. |
No se puede crear y establecer un registro de configuración de los datos del certificado SSL. | Asegúrese de que las huellas digitales de certificado configuradas para las aplicaciones de Proxy de aplicación web estén instaladas en todas las máquinas de Proxy de aplicación web con una clave privada en el almacén del equipo local. |
| 13001 El certificado de servidor SSL presentado a Proxy de aplicación web por el servidor de back-end no es válido: el certificado no es de confianza. |
Se encontraron uno o varios errores en el certificado de Capa de sockets seguros (SSL) enviado por el servidor. Esto podría indicar que el servidor de back-end proporcionó un SSL que no era válido o que no existe confianza entre Proxy de aplicación web y el servidor de back-end. | Valide un certificado SSL del servidor back-end. Asegúrese de que la máquina de Proxy de aplicación web esté configurada con las CA raíz adecuadas para confiar en el certificado de servidor back-end. |
| 13006 | Cuando el código de error es 0x80072ee7, el error se debe a la incapacidad de resolver la dirección URL del servidor back-end. Otros códigos de error se describen en la función WinHttpSendRequest (winhttp.h) | Compruebe que la dirección URL del servidor back-end sea correcta y que su nombre se pueda resolver correctamente desde la máquina de Proxy de aplicación web. |
| 13007 La respuesta HTTP del servidor de back-end no se recibió dentro del intervalo esperado. |
Se agota el tiempo de espera de la solicitud del servidor back-end o es lento o no responde. | Compruebe la configuración del servidor back-end. Si es lento, compruebe la conectividad con el servidor back-end y considere también la posibilidad de cambiar el cmdlet de parámetro de configuración global del proxy de aplicación web para InactiveTransactionsTimeoutSec. |