Résoudre les problèmes de proxy d’application web
Cet article s’applique à la version locale du proxy d’application web. Pour activer l’accès sécurisé aux applications locales sur le cloud, consultez le contenu du proxy d’application Microsoft Entra.
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Cette section fournit des procédures de résolution des problèmes pour le proxy d’application web, notamment des explications d’événements et des solutions. Les erreurs s’affichent à trois endroits :
Dans la console administrateur du proxy d’application web
Chaque ID d’événement listé dans la console administrateur peut s’afficher dans l’observateur d’événements Windows. Les descriptions et solutions correspondantes sont disponibles ci-dessous.
Ouvrez l’Observateur d’événements et recherchez les événements liés au proxy d’application web sous Applications et Services Journalise>l’administrateur du proxy>d’application web Microsoft>Windows.>
Si nécessaire, des journaux détaillés sont disponibles en activant les journaux d’analyse et de débogage et en activant le journal de session proxy d’application web, trouvé dans l’Observateur d’événements Windows sous \Microsoft Windows\\Web Application Proxy\Admin.
Dans les erreurs PowerShell
Les événements concernant les problèmes rencontrés lors de la configuration apparaissent dans PowerShell.
Toutes les erreurs sont présentées à l’utilisateur PowerShell à l’aide d’invites d’erreur PowerShell standard. Toutes les applets de commande PowerShell sont enregistrées en tant qu’événements. Tous les événements qui se produisent dans PowerShell sont listés dans l’observateur d’événements Windows avec le numéro d’identification 12016. Ils sont définis ci-dessous dans la section PowerShell.
Dans l’outil Best Practices Analyzer
Ces événements sont décrits dans l’Analyseur des meilleures pratiques pour le proxy d’application web.
Messages PowerShell
| Événement ou symptôme | Cause possible | Résolution |
|---|---|---|
| Le certificat d’approbation (« ADFS ProxyTrust - <Nom de l’ordinateur WAP> ») n’est pas valide | Cela peut se produire pour l'une des raisons suivantes : - La machine du proxy d’application a été trop longtemps en panne. |
Vérifiez que les horloges sont synchronisées. Exécutez l’applet de commande Install-WebApplicationProxy. |
| Les données de configuration sont introuvables dans AD FS | Cela peut être dû à une installation partielle du proxy d’application web, à des modifications apportées à la base de données AD FS ou à une altération de la base de données. | Exécuter la cmdlet Install-WebApplicationProxy |
| Une erreur s’est produite lorsque le proxy d’application web a tenté de lire la configuration à partir d’AD FS. | Cette erreur peut indiquer que les services ADFS ne sont pas accessibles ou qu’ils ont rencontré un problème interne lors de la tentative de lecture de la configuration à partir de la base de données AD FS. | Vérifiez que les services ADFS sont accessibles et qu’ils fonctionnent correctement. |
| Les données de configuration stockées dans AD FS sont altérées ou le proxy d’application web n’a pas pu les analyser. OR Le proxy d’application web n’a pas pu récupérer la liste des parties de confiance auprès des services ADFS. |
Ce problème peut se produire si les données de configuration ont été modifiées dans les services ADFS. | Redémarrez le service du proxy d’application web. Si le problème persiste, exécutez l’applet de Install-WebApplicationProxy commande. |
Événements de la console Administrateur
Les événements de console administrateur suivants indiquent des erreurs d’authentification, des jetons non valides ou des cookies arrivés à expiration.
| Événement ou symptôme | Cause possible | Résolution |
|---|---|---|
| 11005 Le proxy d’application web n’a pas pu créer la clé de chiffrement de cookie à l’aide du secret issu de la configuration. |
Le paramètre de configuration AccessCookiesEncryptionKey global a été modifié par l’applet de commande PowerShell : Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
Aucune action n'est requise. Le cookie problématique a été supprimé et l’utilisateur redirigé vers STS à des fins d’authentification. |
| 12 000 Le proxy d’application web n’a pas pu vérifier les modifications de configuration pendant au moins 60 minutes |
Le proxy d’application web ne peut pas accéder à la configuration du proxy d’application web à l’aide de l’applet de commande Get-WebApplicationProxyConfiguration/Application. Ce problème est dû à un manque de connectivité aux services AD FS ou à la nécessité de renouveler l’approbation auprès des services AD FS. |
Vérifiez la connectivité avec AD FS. Vous pouvez pour cela vous aider du lien https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Vérifiez qu’il existe une approbation établie entre AD FS et le proxy d’application web. Si ces solutions ne fonctionnent pas, exécutez l’applet de Install-WebApplicationProxy commande. |
| 12003 Le proxy d’application web n’a pas pu analyser le cookie d’accès. |
Cela peut indiquer que le proxy d’application web et les services AD FS ne sont pas connectés ou qu’ils ne reçoivent pas la même configuration. | Vérifiez la connectivité avec AD FS. Vous pouvez pour cela vous aider du lien https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Vérifiez qu’il existe une approbation établie entre AD FS et le proxy d’application web. Si ces solutions ne fonctionnent pas, exécutez l’applet de Install-WebApplicationProxy commande. |
| 12004 Le proxy d’application web a reçu une requête avec un cookie d’accès non valide. |
Cet événement peut indiquer que le proxy d’application web et les services AD FS ne sont pas connectés ou qu’ils ne reçoivent pas la même configuration. Si vous avez exécuté le paramètre a été modifié par |
Vérifiez la connectivité avec AD FS. Vous pouvez pour cela vous aider du lien https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Vérifiez qu’il existe une approbation établie entre AD FS et le proxy d’application web. Si ces solutions ne fonctionnent pas, exécutez l’applet de Install-WebApplicationProxy commande. |
| 12008 Le proxy d’application web a dépassé le nombre maximal de tentatives d’authentification Kerberos autorisé auprès du serveur back-end. |
Cet événement peut indiquer une configuration incorrecte entre le proxy d’application web et le serveur d’applications back-end, voire un problème dans la configuration du paramètre de date et heure des deux ordinateurs. | Le serveur back-end a refusé le ticket Kerberos créé par le proxy d’application web. Vérifiez que la configuration du proxy d’application web et celle du serveur d’applications back-end sont correctes. Assurez-vous que la configuration du paramètre de date et heure sur le proxy d’application web et celle sur le serveur d’applications back-end sont synchronisées. |
| 12011 Le proxy d’application web a reçu une requête avec une signature de cookie d’accès non valide. |
Cet événement peut indiquer que le proxy d’application web et les services AD FS ne sont pas connectés ou qu’ils ne reçoivent pas la même configuration. Si vous avez exécuté le paramètre a été modifié par Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey l’applet AccessCookiesEncryptionKey de commande PowerShell, cet événement est normal et ne nécessite aucune procédure de résolution. |
Vérifiez la connectivité avec AD FS. Vous pouvez pour cela vous aider du lien https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Vérifiez qu’il existe une approbation établie entre AD FS et le proxy d’application web. Si ces solutions ne fonctionnent pas, exécutez l’applet de Install-WebApplicationProxy commande. |
| 12027 Le proxy a rencontré une erreur inattendue lors du traitement de la requête. Le nom fourni n’est pas un nom de compte formé correctement. |
Cet événement peut indiquer une configuration incorrecte entre le proxy d’application web et le serveur du contrôleur de domaine, voire un problème dans la configuration du paramètre de date et heure des deux ordinateurs. | Le contrôleur de domaine a refusé le ticket Kerberos créé par le proxy d’application web. Vérifiez que la configuration du proxy d’application web et celle du serveur d’applications back-end sont correctes, en particulier la configuration du nom du principal de service (SPN). Vérifiez que le proxy d’application web est joint au même domaine que le contrôleur de domaine pour veiller à ce que le contrôleur de domaine établisse une relation d’approbation avec le proxy d’application web. Vérifiez que la configuration du paramètre de date et heure sur le proxy d’application web et celle sur le contrôleur de domaine sont synchronisées. |
| 13012 Le proxy d’application web a reçu une signature de jeton edge non valide. |
Assurez-vous que vous avez mis à jour le proxy d’application web avec le proxy d’application web ne peut pas détecter le certificat mis à jour après sa mise à jour automatique sur Windows Server 2012 R2. | |
| 13013 Le proxy d’application web a reçu une requête contenant un jeton edge arrivé à expiration. |
Les horloges du proxy d’application web et des services AD FS ne sont pas synchronisées. | Synchronisez les horloges entre le proxy d’application web et les services ADFS. |
| 13014 Le proxy d’application web a reçu une requête avec un jeton edge non valide. Le jeton n’est pas valide, car il n’a pas pu être analysé. |
Cela peut indiquer un problème lié à la configuration AD FS. | Vérifiez votre configuration AD FS et, si nécessaire, restaurez la configuration par défaut. |
| 13015 Le proxy d’application web a reçu une requête avec un cookie d’accès arrivé à expiration. |
Cela peut indiquer que les horloges ne sont pas synchronisées. | Si vous utilisez un cluster de machines de proxy d’application web, veillez à ce que le paramètre de date et heure des machines soit synchronisé. |
| 13016 Le proxy d’application web ne peut pas récupérer un ticket Kerberos pour le compte de l’utilisateur, car le jeton edge ou le cookie d’accès ne contiennent pas d’UPN. |
Il existe un problème avec la configuration de STS. | Corrigez la configuration de la revendication UPN dans STS. |
| 13019 Le proxy d’application web ne peut pas récupérer un ticket Kerberos pour le compte de l’utilisateur en raison de l’erreur d’API générale suivante |
Cet événement peut indiquer une configuration incorrecte entre le proxy d’application web et le serveur du contrôleur de domaine, voire un problème dans la configuration du paramètre de date et heure des deux ordinateurs. | Le contrôleur de domaine a refusé le ticket Kerberos créé par le proxy d’application web. Vérifiez que la configuration du proxy d’application web et celle du serveur d’applications back-end sont correctes, en particulier la configuration du nom du principal de service (SPN). Vérifiez que le proxy d’application web est joint au même domaine que le contrôleur de domaine pour veiller à ce que le contrôleur de domaine établisse une relation d’approbation avec le proxy d’application web. Vérifiez que la configuration du paramètre de date et heure sur le proxy d’application web et celle sur le contrôleur de domaine sont synchronisées. |
| 13020 Le proxy d’application web ne peut pas récupérer un ticket Kerberos pour le compte de l’utilisateur car le SPN du serveur back-end n’est pas défini. |
Cet événement peut indiquer une configuration incorrecte entre le proxy d’application web et le serveur du contrôleur de domaine, voire un problème dans la configuration du paramètre de date et heure des deux ordinateurs. | Le contrôleur de domaine a refusé le ticket Kerberos créé par le proxy d’application web. Vérifiez que la configuration du proxy d’application web et celle du serveur d’applications back-end sont correctes, en particulier la configuration du nom du principal de service (SPN). Vérifiez que le proxy d’application web est joint au même domaine que le contrôleur de domaine pour veiller à ce que le contrôleur de domaine établisse une relation d’approbation avec le proxy d’application web. Vérifiez que la configuration du paramètre de date et heure sur le proxy d’application web et celle sur le contrôleur de domaine sont synchronisées. |
| 13022 Le proxy d’application web ne peut pas authentifier l’utilisateur car le serveur back-end répond aux tentatives d’authentification Kerberos par une erreur HTTP 401. |
Cet événement peut indiquer une configuration incorrecte entre le proxy d’application web et le serveur d’applications back-end, voire un problème dans la configuration du paramètre de date et heure des deux ordinateurs. | Le serveur back-end a refusé le ticket Kerberos créé par le proxy d’application web. Vérifiez que la configuration du proxy d’application web et celle du serveur d’applications back-end sont correctes. Assurez-vous que la configuration du paramètre de date et heure sur le proxy d’application web et celle sur le serveur d’applications back-end sont synchronisées. |
| 13025 Le client n’a présenté aucun certificat SSL au proxy d’application web. |
Cet événement peut indiquer un problème dans la configuration du paramètre de date et heure. | Vérifiez que l’infrastructure de certificats est valide, puis que le paramètre de date et heure du proxy d’application web et celui des services ADFS sont synchronisés. Vérifiez que l’empreinte configurée pour le proxy d’application web est la bonne. |
| 13026 Le client a présenté un certificat SSL au proxy d’application web, mais ce certificat n’est pas valide : le certificat ne correspond pas à l’empreinte. |
Cet événement peut indiquer un problème dans la configuration du paramètre de date et heure. | Vérifiez que l’infrastructure de certificats est valide, puis que le paramètre de date et heure du proxy d’application web et celui des services ADFS sont synchronisés. Vérifiez que l’empreinte configurée pour le proxy d’application web est la bonne. |
| 13028 Le proxy d’application web a reçu une requête contenant un jeton edge qui n’est pas encore valide. |
Cet événement peut indiquer un problème dans la configuration du paramètre de date et heure. | Vérifiez que l’infrastructure de certificats est valide, puis que le paramètre de date et heure du proxy d’application web et celui des services ADFS sont synchronisés. |
| 13030 Le client a présenté un certificat SSL au proxy d’application web, mais le fournisseur d’approbation n’approuve pas l’autorité de certification qui a émis le certificat du client. |
Cet événement peut indiquer un problème dans la configuration du paramètre de date et heure. | Vérifiez que l’infrastructure de certificats est valide, puis que le paramètre de date et heure du proxy d’application web et celui des services ADFS sont synchronisés. Vérifiez que l’empreinte configurée pour le proxy d’application web est la bonne. |
| 13031 Le client a présenté un certificat SSL au proxy d’application web, mais la chaîne de certificats se termine par un certificat racine qui n’est pas approuvé par le fournisseur d’approbation. |
Cet événement peut indiquer un problème dans la configuration du paramètre de date et heure. | Vérifiez que l’infrastructure de certificats est valide, puis que le paramètre de date et heure du proxy d’application web et celui des services ADFS sont synchronisés. Vérifiez que l’empreinte configurée pour le proxy d’application web est la bonne. |
| 13032 Le client a présenté un certificat SSL au proxy d’application web, mais le certificat n’était pas valide pour l’utilisation demandée. |
Cet événement peut indiquer un problème dans la configuration du paramètre de date et heure. | Vérifiez que l’infrastructure de certificats est valide, puis que le paramètre de date et heure du proxy d’application web et celui des services ADFS sont synchronisés. Vérifiez que l’empreinte configurée pour le proxy d’application web est la bonne. |
| 13033 Le client a présenté un certificat SSL au proxy d’application web, mais ce certificat n’était pas dans sa période de validité lors de la vérification par rapport à l’horloge système actuelle ou à l’horodatage indiqué dans le fichier signé. |
Cet événement peut indiquer un problème dans la configuration du paramètre de date et heure. | Vérifiez que l’infrastructure de certificats est valide, puis que le paramètre de date et heure du proxy d’application web et celui des services ADFS sont synchronisés. Vérifiez que l’empreinte configurée pour le proxy d’application web est la bonne. |
| 13034 Le client a présenté un certificat SSL au proxy d’application web, mais le certificat n’était pas valide. |
Cet événement peut indiquer un problème dans la configuration du paramètre de date et heure. | Vérifiez que l’infrastructure de certificats est valide, puis que le paramètre de date et heure du proxy d’application web et celui des services ADFS sont synchronisés. Vérifiez que l’empreinte configurée pour le proxy d’application web est la bonne. |
Les événements de console administrateur suivants indiquent des problèmes liés à la configuration, notamment au provisionnement, à des requêtes infructueuses, à des serveurs back-end inaccessibles et à des dépassements de mémoire tampon.
| Événement ou symptôme | Cause possible | Résolution |
|---|---|---|
| 12019 Le proxy d’application web n’a pas pu créer un écouteur pour l’URL suivante. |
Une cause possible de cet événement est qu’un autre service écoute la même URL. | L’administrateur doit vérifier que personne n’écoute les mêmes URL et n’établit de liens vers les mêmes URL. Pour vérifier cela, exécutez la commande : netsh http show urlacl. Si cette URL est utilisée par un autre composant en cours d’exécution sur la machine du proxy d’application web, supprimez-le ou utilisez une autre URL pour publier les applications par le biais du proxy d’application web. |
| 12020 Le proxy d’application web n’a pas pu créer une réservation pour l’URL suivante. |
Une cause possible de l’événement est qu’un autre service a une réservation sur la même URL. | L’administrateur doit vérifier que personne n’établit de liens vers les mêmes URL. Pour vérifier cela, exécutez la commande : netsh http show urlacl. Si cette URL est utilisée par un autre composant en cours d’exécution sur la machine du proxy d’application web, supprimez-le ou utilisez une autre URL pour publier les applications par le biais du proxy d’application web. |
| 12021 Le proxy d’application web n’a pas pu lier le certificat de serveur SSL. Tous les autres paramètres de configuration ont été appliqués. |
Impossible de créer et de définir un enregistrement de configuration des données de certificat SSL. | Vérifiez que les empreintes de certificat configurées pour les applications du proxy d’application web sont installées sur toutes les machines du proxy d’application web avec une clé privée dans le magasin d’ordinateurs local. |
| 13001 Le certificat de serveur SSL présenté au proxy d’application web par le serveur back-end n’est pas valide ; le certificat n’est pas approuvé. |
Une ou plusieurs erreurs ont été détectées dans le certificat SSL (Secure Sockets Layer) envoyé par le serveur. Cela peut indiquer que le serveur back-end a fourni un certificat SSL qui n’était pas valide ou qu’il n’existe aucune approbation entre le proxy d’application web et le serveur back-end. | Validez un certificat SSL de serveur back-end. Vérifiez que la machine du proxy d’application web est configurée avec les autorités de certification racine appropriées pour approuver le certificat de serveur back-end. |
| 13006 | Lorsque le code d’erreur est 0x80072ee7, l’échec est dû à l’impossibilité de résoudre l’URL du serveur back-end. D’autres codes d’erreur sont décrits dans la fonction WinHttpSendRequest (winhttp.h) | Vérifiez que l’URL du serveur back-end est correcte et que son nom peut être résolu correctement à partir de la machine du proxy d’application web. |
| 13007 La réponse HTTP du serveur back-end n’a pas été reçue dans l’intervalle attendu. |
La requête du serveur back-end a expiré, elle est lente ou elle ne répond pas. | Vérifiez la configuration du serveur back-end. S’il est lent, vérifiez la connectivité au serveur principal et envisagez également de modifier l’applet de commande de paramètre de configuration globale du proxy d’application web pour InactiveTransactionsTimeoutSec. |