Web アプリケーション プロキシのトラブルシューティング
この記事は、オンプレミスバージョンの Web アプリケーション プロキシに関連しています。 クラウド経由でオンプレミス アプリケーションへのセキュリティで保護されたアクセスを有効にするには、Microsoft Entra アプリケーション プロキシコンテンツを参照してください。
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
このセクションでは、イベントの説明や解決策など、Web アプリケーション プロキシのトラブルシューティング手順について説明します。 エラーが表示される場所には、次の 3 つがあります。
Web アプリケーション プロキシの管理者コンソール内
管理コンソールに一覧表示されている各イベント ID は、Windows イベント ビューアーに表示されます。対応する説明と解決策については、以下を参照してください。
イベント ビューアーを開き、Web アプリケーション プロキシに関連するイベントを Applications and Services Logs>Microsoft>Windows>Web アプリケーション プロキシ>Admin で探します。
必要に応じて、分析ログとデバッグ ログを有効にし、Windows イベント ビューアーの \Microsoft\Windows\Web アプリケーション プロキシ\Admin にある Web アプリケーション プロキシ セッション ログを有効にすることで、詳細なログを使用できます。
PowerShell エラー内
構成中に発生した問題に関するイベントは、PowerShell に表示されます。
すべてのエラーは、標準の PowerShell エラー プロンプトを使用して、PowerShell ユーザーに提示されます。 すべての PowerShell コマンドレットはイベントとしてログに記録されます。 PowerShell で発生するすべてのイベントは、ID 番号 12016 として、Windows イベント ビューアーに一覧表示され、PowerShell セクションでは、以下のように定義されます。
ベスト プラクティス アナライザー
これらのイベントについては、「Best Practices Analyzer for Web アプリケーション プロキシ」を参照してください。
PowerShell メッセージ
| イベントまたは症状 | 考えられる原因 | 解決方法 |
|---|---|---|
| 信頼証明書 ("ADFS ProxyTrust - <WAP machine name>") が有効になっていません。 | これは、次のうちのいずれかが原因と考えられます。 - アプリケーション プロキシ コンピューターのダウン時間が長すぎた。 |
クロックが同期されていることを確認します。 Install-WebApplicationProxy コマンドレットを実行します。 |
| 構成データが AD FS で見つかりませんでした。 | これは、Web アプリケーション プロキシがまだ完全にインストールされていないためか、AD FS データベース内での変更やデータベースの破損が原因の可能性があります。 | Install-WebApplicationProxy コマンドレットを実行する |
| Web アプリケーション プロキシを使用して AD FS から構成を読み取ろうとしたときにエラーが発生しました。 | これは、AD FS に到達不可能であること、または AD FS データベースから構成を読み取ろうとしているときに AD FS で内部の問題が発生したことを示している可能性があります。 | AD FS が到達可能であり、正常に動作していることを確認します。 |
| AD FS に格納されている構成データが壊れているか、Web アプリケーション プロキシを使用して解析することができませんでした。 OR Web アプリケーション プロキシを使用して、証明書利用者の一覧を AD FS から取得することができませんでした。 |
これは、AD FS 内で構成データが変更された場合に発生する可能性があります。 | Web アプリケーション プロキシ サーバーを再起動します。 問題が解決しない場合は、 Install-WebApplicationProxy コマンドレットを実行します。 |
管理者コンソールのイベント
次の管理者コンソール イベントは、認証エラー、無効なトークン、または有効期限が切れた Cookie を示します。
| イベントまたは症状 | 考えられる原因 | 解決方法 |
|---|---|---|
| 11005 Web アプリケーション プロキシを使用して、構成からシークレットを使用して Cookie 暗号化キーを作成できませんでした。 |
グローバル構成 AccessCookiesEncryptionKey パラメーターは、PowerShell コマンドレットによって変更されました。 Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
必要な操作はありません。 問題のある Cookie は削除され、ユーザーは認証のために STS にリダイレクトされました。 |
| 12000 Web アプリケーション プロキシを使用して、構成の変更が 60 分以上確認できませんでした。 |
Web アプリケーション プロキシは、コマンドレット Get-WebApplicationProxyConfiguration/Applicationを使用して Web アプリケーション プロキシ構成にアクセスできません。 これは、AD FS との接続が欠如しているか、AD FS との信頼を更新する必要があることが原因です。 |
AD FS との接続を確認してください。 これを行うには、リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml を参照してください。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、 Install-WebApplicationProxy コマンドレットを実行します。 |
| 12003 Web アプリケーション プロキシを使用して、アクセス Cookie を解析できませんでした。 |
これは、Web アプリケーション プロキシと AD FS が接続されていないか、同じ構成を受信していないことを示している可能性があります。 | AD FS との接続を確認してください。 これを行うには、リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml を参照してください。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、 Install-WebApplicationProxy コマンドレットを実行します。 |
| 12004 Web アプリケーション プロキシが、無効なアクセス Cookie を含む要求を受信しました。 |
このイベントは、Web アプリケーション プロキシと AD FS が接続されていないか、同じ構成を受信していないことを示している可能性があります。
|
AD FS との接続を確認してください。 これを行うには、リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml を参照してください。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、 Install-WebApplicationProxy コマンドレットを実行します。 |
| 12008 Web アプリケーション プロキシによるバックエンド サーバーに対する Kerberos 認証の試行が、許可されている最大回数を超えました。 |
このイベントが発生した場合、Web アプリケーション プロキシとバックエンド アプリケーション サーバーの間の構成が正しくないか、両方のコンピューターで日付と時刻の構成に問題がある可能性を示しています。 | バックエンド サーバーでは、Web アプリケーション プロキシによって作成された Kerberos チケットが拒否されました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーが正しく構成されていることを確認します。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーで日付と時刻の構成が同期していることを確認します。 |
| 12011 Web アプリケーション プロキシが、無効な署名付きアクセス Cookie を含む要求を受信しました。 |
このイベントは、Web アプリケーション プロキシと AD FS が接続されていないか、同じ構成を受信していないことを示している可能性があります。 AccessCookiesEncryptionKey パラメーターSet-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey PowerShell コマンドレットによって変更された場合、このイベントは正常であり、解決手順は必要ありません。 |
AD FS との接続を確認してください。 これを行うには、リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml を参照してください。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、 Install-WebApplicationProxy コマンドレットを実行します。 |
| 12027 要求を処理する際に、プロキシで予期しないエラーが発生しました。 指定された名前は正しい形式のアカウント名ではありません。 |
このイベントが発生した場合、Web アプリケーション プロキシとドメイン コントローラー サーバーの間の構成が正しくないか、両方のコンピューターで日付と時刻の構成に問題がある可能性を示しています。 | ドメイン コントローラー サーバーでは、Web アプリケーション プロキシによって作成された Kerberos チケットが拒否されました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーが正しく構成されていることを確認します (特に SPN 構成)。 メイン コントローラーと Web アプリケーション プロキシとの間に信頼関係が確実に確立されるようにするため、Web アプリケーション プロキシがドメイン コントローラーと同じドメインに参加していることを確認します。 Web アプリケーション プロキシとドメイン コントローラーで日付と時刻の構成が同期していることを確認してください。 |
| 13012 Web アプリケーション プロキシが、無効なエッジ トークン署名を受信しました |
Windows Server 2012 R2 で更新された証明書が自動的に更新された後、Web アプリケーション プロキシで更新された Web アプリケーション プロキシが検出できないことを確認します。 | |
| 13013 Web アプリケーション プロキシが、有効期限切れのエッジ トークンが含まれる要求を受信しました。 |
Web アプリケーション プロキシと AD FS には、同期されたクロックがありません。 | Web アプリケーション プロキシと AD FS の間で、クロックを同期させます。 |
| 13014 Web アプリケーション プロキシが、無効なエッジ トークンを含む要求を受信しました。 トークンは解析できなかったため、無効です。 |
これは、AD FS 構成に問題があることを示している可能性があります。 | AD FS 構成を確認し、必要に応じて、既定の構成に復元します。 |
| 13015 Web アプリケーション プロキシが、有効期限切れのアクセス Cookie を含む要求を受信しました。 |
これは、同期されていないクロックを示している可能性があります。 | Web アプリケーション プロキシ コンピューターのクラスターを使用している場合は、コンピューターの日付と時刻が同期されていることを確認してください。 |
| 13016 エッジ トークンまたはアクセス Cookie 内に UPN が指定されていないため、Web アプリケーション プロキシを使用して、ユーザーの代わりに Kerberos チケットを取得することはできません。 |
STS 構成の問題があります。 | STS の UPN 要求の構成を修正してください。 |
| 13019 次のような一般的な API エラーにより、Web アプリケーション プロキシを使用して、ユーザーの代わりに Kerberos チケットを取得することができません。 |
このイベントが発生した場合、Web アプリケーション プロキシとドメイン コントローラー サーバーの間の構成が正しくないか、両方のコンピューターで日付と時刻の構成に問題がある可能性を示しています。 | ドメイン コントローラー サーバーでは、Web アプリケーション プロキシによって作成された Kerberos チケットが拒否されました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーが正しく構成されていることを確認します (特に SPN 構成)。 メイン コントローラーと Web アプリケーション プロキシとの間に信頼関係が確実に確立されるようにするため、Web アプリケーション プロキシがドメイン コントローラーと同じドメインに参加していることを確認します。 Web アプリケーション プロキシとドメイン コントローラーで日付と時刻の構成が同期していることを確認してください。 |
| 13020 バックエンド サーバー SPN が定義されていないため、Web アプリケーション プロキシを使用して、ユーザーの代わりに Kerberos チケットを取得することができません。 |
このイベントが発生した場合、Web アプリケーション プロキシとドメイン コントローラー サーバーの間の構成が正しくないか、両方のコンピューターで日付と時刻の構成に問題がある可能性を示しています。 | ドメイン コントローラー サーバーでは、Web アプリケーション プロキシによって作成された Kerberos チケットが拒否されました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーが正しく構成されていることを確認します (特に SPN 構成)。 メイン コントローラーと Web アプリケーション プロキシとの間に信頼関係が確実に確立されるようにするため、Web アプリケーション プロキシがドメイン コントローラーと同じドメインに参加していることを確認します。 Web アプリケーション プロキシとドメイン コントローラーで日付と時刻の構成が同期していることを確認してください。 |
| 13022 Kerberos 認証試行に対するバックエンド サーバーからの応答が HTTP 401 エラーであるため、Web アプリケーション プロキシを使用して、ユーザーを認証することができません。 |
このイベントが発生した場合、Web アプリケーション プロキシとバックエンド アプリケーション サーバーの間の構成が正しくないか、両方のコンピューターで日付と時刻の構成に問題がある可能性を示しています。 | バックエンド サーバーでは、Web アプリケーション プロキシによって作成された Kerberos チケットが拒否されました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーが正しく構成されていることを確認します。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーで日付と時刻の構成が同期していることを確認します。 |
| 13025 クライアントによって、SSL 証明書が Web アプリケーション プロキシに提示されませんでした。 |
このイベントが発生した場合、日付と時刻の構成に問題がある可能性を示しています。 | 証明書インフラストラクチャが有効であること、および Web アプリケーション プロキシと AD FS で日付と時刻の構成が同期していることを確認します。 Web アプリケーション プロキシ用に構成されたサムプリントが正しいものであることを確認します。 |
| 13026 クライアントによって SSL 証明書が Web アプリケーション プロキシに提示されましたが、証明書は有効ではなく、サムプリントに一致していません。 |
このイベントが発生した場合、日付と時刻の構成に問題がある可能性を示しています。 | 証明書インフラストラクチャが有効であること、および Web アプリケーション プロキシと AD FS で日付と時刻の構成が同期していることを確認します。 Web アプリケーション プロキシ用に構成されたサムプリントが正しいものであることを確認します。 |
| 13028 Web アプリケーション プロキシが、まだ有効ではないエッジ トークンが含まれる要求を受信しました。 |
このイベントが発生した場合、日付と時刻の構成に問題がある可能性を示しています。 | 証明書インフラストラクチャが有効であること、および Web アプリケーション プロキシと AD FS で日付と時刻の構成が同期していることを確認します。 |
| 13030 クライアントによって SSL 証明書が Web アプリケーション プロキシに提示されましたが、信頼プロバイダーはクライアント証明書を発行した証明機関を信頼していません。 |
このイベントが発生した場合、日付と時刻の構成に問題がある可能性を示しています。 | 証明書インフラストラクチャが有効であること、および Web アプリケーション プロキシと AD FS で日付と時刻の構成が同期していることを確認します。 Web アプリケーション プロキシ用に構成されたサムプリントが正しいものであることを確認します。 |
| 13031 クライアントによって SSL 証明書が Web アプリケーション プロキシに提示されましたが、証明書チェーンは、信頼プロバイダーによって信頼されていないルート証明書で終了しました。 |
このイベントが発生した場合、日付と時刻の構成に問題がある可能性を示しています。 | 証明書インフラストラクチャが有効であること、および Web アプリケーション プロキシと AD FS で日付と時刻の構成が同期していることを確認します。 Web アプリケーション プロキシ用に構成されたサムプリントが正しいものであることを確認します。 |
| 13032 クライアントによって SSL 証明書が Web アプリケーション プロキシに提示されましたが、証明書は、要求された使用に対して無効でした。 |
このイベントが発生した場合、日付と時刻の構成に問題がある可能性を示しています。 | 証明書インフラストラクチャが有効であること、および Web アプリケーション プロキシと AD FS で日付と時刻の構成が同期していることを確認します。 Web アプリケーション プロキシ用に構成されたサムプリントが正しいものであることを確認します。 |
| 13033 クライアントによって SSL 証明書が Web アプリケーション プロキシに提示されましたが、現在のシステム クロックまたは署名済みファイルのタイムスタンプに照らして確認したところ、証明書が有効期間内ではありませんでした。 |
このイベントが発生した場合、日付と時刻の構成に問題がある可能性を示しています。 | 証明書インフラストラクチャが有効であること、および Web アプリケーション プロキシと AD FS で日付と時刻の構成が同期していることを確認します。 Web アプリケーション プロキシ用に構成されたサムプリントが正しいものであることを確認します。 |
| 13034 クライアントによって SSL 証明書が Web アプリケーション プロキシに提示されましたが、証明書が無効でした。 |
このイベントが発生した場合、日付と時刻の構成に問題がある可能性を示しています。 | 証明書インフラストラクチャが有効であること、および Web アプリケーション プロキシと AD FS で日付と時刻の構成が同期していることを確認します。 Web アプリケーション プロキシ用に構成されたサムプリントが正しいものであることを確認します。 |
次の管理者コンソール イベントは、プロビジョニング、成功しない要求、到達不可能なバックエンド サーバー、バッファー オーバーフローなど、構成への対処が必要な問題があることを示しています。
| イベントまたは症状 | 考えられる原因 | 解決方法 |
|---|---|---|
| 12019 Web アプリケーション プロキシを使用して、次の URL のリスナーを作成できませんでした。 |
イベントの原因としては、別のサービスが同じ URL をリッスンしていることが考えられます。 | 管理者は、同じ URL をリッスンまたはバインドしているユーザーがいないことを確認する必要があります。 これを確認するには、次のコマンドを実行します: netsh http show urlacl。 この URL が、Web アプリケーション プロキシ コンピューター上で実行されている別のコンポーネントによって使用されている場合は、それを削除するか、別の URL を使用して Web アプリケーション プロキシ経由でアプリケーションを発行します。 |
| 12020 Web アプリケーション プロキシを使用して、次の URL の予約を作成できませんでした。 |
このイベントの原因には、別のサービスで同じ URL に予約が設定されていることが考えられます。 | 管理者は、同じ URL をバインドしているユーザーがいないことを確認する必要があります。 これを確認するには、次のコマンドを実行します: netsh http show urlacl。 この URL が、Web アプリケーション プロキシ コンピューター上で実行されている別のコンポーネントによって使用されている場合は、それを削除するか、別の URL を使用して Web アプリケーション プロキシ経由でアプリケーションを発行します。 |
| 12021 Web アプリケーション プロキシを使用して、SSL サーバー証明書をバインドできませんでした。 その他のすべての構成設定は、適用されました。 |
SSL 証明書データの構成レコードを、作成および設定することができません。 | Web アプリケーション プロキシ アプリケーション用に構成された証明書のサムプリントが、ローカル コンピューター ストア内にある、プライベート キーを持つすべての Web アプリケーション プロキシ コンピューターにインストールされていることを確認します。 |
| 13001 バックエンド サーバーによって Web アプリケーション プロキシに提示された SSL サーバー証明書が有効ではなく、信頼されていません。 |
サーバーから送信された Secure Sockets Layer (SSL) 証明書で、1 つ以上のエラーが見つかりました。 これは、バックエンド サーバーによって有効ではない SSL が指定されたか、Web アプリケーション プロキシとバックエンド サーバーの間に信頼が確立されていないことを示しています。 | バックエンド サーバーの SSL 証明書を検証します。 バックエンド サーバー証明書を信頼するために、Web アプリケーション プロキシ コンピューターに適切なルート CA が構成されていることを確認します。 |
| 13006 | エラー コードが 0x80072ee7 の場合、そのエラーは、バックエンド サーバー URL を解決できないことが原因で発生します。 その他のエラー コードについては、 WinHttpSendRequest 関数 (winhttp.h) を参照してください。 | バックエンド サーバーの URL が正しく、その名前が Web アプリケーション プロキシ コンピューターから正しく解決できることを確認します。 |
| 13007 バックエンド サーバーからの HTTP 応答が、想定される間隔内で受信されませんでした。 |
バックエンド サーバーの要求がタイムアウトしたか、遅いか、応答がありません。 | バックエンド サーバーの構成を確認します。 低速な場合は、バックエンド サーバーへの接続を確認し、InactiveTransactionsTimeoutSecの Web アプリケーション プロキシ グローバル構成パラメーター コマンドレットを変更することも検討してください。 |