Problemen met web-toepassingsproxy oplossen
Dit artikel is relevant voor de on-premises versie van Web toepassingsproxy. Als u beveiligde toegang tot on-premises toepassingen via de cloud wilt inschakelen, raadpleegt u de Microsoft Entra-inhoud toepassingsproxy.
Van toepassing op: Windows Server 2022, Windows Server 2019, Windows Server 2016
Deze sectie bevat procedures voor probleemoplossing voor Web Application Proxy inclusief gebeurtenis uitleg en oplossingen. Er zijn drie plaatsen waar fouten worden weergegeven:
In de beheerdersconsole Web Application Proxy
Elke gebeurtenis-id die wordt vermeld in de beheerconsole, kan worden weergegeven in de Windows-Logboeken en de bijbehorende beschrijvingen en oplossingen vindt u hieronder.
Open Logboeken en zoek naar gebeurtenissen met betrekking tot web-toepassingsproxy onder Toepassingen en Services-logboeken>Microsoft>Windows>Web toepassingsproxy> Admin.
Indien nodig zijn gedetailleerde logboeken beschikbaar door analyse- en foutopsporingslogboeken in te schakelen en het sessielogboek web toepassingsproxy in te schakelen, te vinden in de Windows-Logboeken onder \Microsoft\Windows\Web toepassingsproxy\ Admin.
In PowerShell-fouten
Gebeurtenissen voor fouten die optreden tijdens de configuratie worden weergegeven in PowerShell.
Alle fouten worden weergegeven aan de PowerShell-gebruiker met behulp van standaardfoutprompts van PowerShell. Alle PowerShell-cmdlets worden geregistreerd als gebeurtenissen. Alle gebeurtenissen die optreden in PowerShell, worden vermeld in de Windows-Logboeken met het id-nummer 12016 en worden hieronder gedefinieerd in de sectie PowerShell.
In de Best Practices Analyzer
Deze gebeurtenissen worden beschreven in best practices analyzer voor web-toepassingsproxy.
PowerShell-berichten
| Gebeurtenis of symptoom | Mogelijke oorzaak | Oplossing |
|---|---|---|
| Het vertrouwenscertificaat ('ADFS ProxyTrust - <WAP-computernaam>') is niet geldig | Dit kan worden veroorzaakt door een van de volgende oorzaken: -De machine toepassingsproxy was te lang. |
Zorg ervoor dat de klokken zijn gesynchroniseerd. Voer de cmdlet Install-WebApplicationProxy uit. |
| Configuratiegegevens zijn niet gevonden in AD FS | Dit kan zijn omdat web-toepassingsproxy nog niet volledig is geïnstalleerd of vanwege wijzigingen in de AD FS-database of beschadiging van de database. | Install-WebApplicationProxy De cmdlet uitvoeren |
| Er is een fout opgetreden bij het Web Application Proxy probeert te lezen van configuratie van AD FS. | Dit kan erop wijzen dat AD FS niet bereikbaar is of dat AD FS een intern probleem heeft opgetreden bij het lezen van de configuratie vanuit de AD FS-database. | Controleer of AD FS bereikbaar is en goed werkt. |
| De configuratiegegevens zijn opgeslagen in AD FS is beschadigd of Web Application Proxy kon niet parseren. OF Web toepassingsproxy kan de lijst met Relying Party's niet ophalen uit AD FS. |
Dit kan gebeuren als de configuratiegegevens zijn gewijzigd in AD FS. | Start de Web toepassingsproxy-service opnieuw. Als het probleem zich blijft voordoen, voert u de Install-WebApplicationProxy cmdlet uit. |
Beheerconsole-gebeurtenissen
De volgende beheerconsolegebeurtenissen wijzen op verificatiefouten, ongeldige tokens of verlopen cookies.
| Gebeurtenis of symptoom | Mogelijke oorzaak | Oplossing |
|---|---|---|
| 11005 Web toepassingsproxy kan de cookieversleutelingssleutel niet maken met behulp van het geheim uit de configuratie. |
De globale configuratieparameter AccessCookiesEncryptionKey is gewijzigd door de PowerShell-cmdlet: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
Er is geen actie vereist. De problematische cookie is verwijderd en de gebruiker is omgeleid naar STS voor verificatie. |
| 12000 Web-toepassingsproxy kan ten minste 60 minuten niet controleren op configuratiewijzigingen |
Web-toepassingsproxy heeft geen toegang tot de configuratie van het web toepassingsproxy met behulp van de cmdletGet-WebApplicationProxyConfiguration/Application. Dit wordt veroorzaakt door een gebrek aan connectiviteit met AD FS of de noodzaak om een vertrouwensrelatie met AD FS te vernieuwen. |
Controleer de connectiviteit met AD FS. U kunt dit doen met behulp van de koppeling https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Zorg ervoor dat er een vertrouwensrelatie tot stand is gebracht tussen ad fs en het web toepassingsproxy. Als deze oplossingen niet werken, voert u de Install-WebApplicationProxy cmdlet uit. |
| 12003 Web toepassingsproxy kan de toegangscooky niet parseren. |
Dit kan erop wijzen dat de web-toepassingsproxy en de AD FS niet zijn verbonden of dat ze niet dezelfde configuratie ontvangen. | Controleer de connectiviteit met AD FS. U kunt dit doen met behulp van de koppeling https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Zorg ervoor dat er een vertrouwensrelatie tot stand is gebracht tussen ad fs en het web toepassingsproxy. Als deze oplossingen niet werken, voert u de Install-WebApplicationProxy cmdlet uit. |
| 12004 Web Application Proxy heeft een aanvraag met een ongeldige toegang cookie ontvangen. |
Deze gebeurtenis kan erop wijzen dat het web toepassingsproxy en de AD FS niet zijn verbonden of dat ze niet dezelfde configuratie ontvangen. Als u de parameter hebt uitgevoerd door |
Controleer de connectiviteit met AD FS. U kunt dit doen met behulp van de koppeling https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Zorg ervoor dat er een vertrouwensrelatie tot stand is gebracht tussen ad fs en het web toepassingsproxy. Als deze oplossingen niet werken, voert u de Install-WebApplicationProxy cmdlet uit. |
| 12008 Web Application Proxy overschrijdt het maximum aantal toegestane Kerberos-verificatiepogingen om de back-endserver. |
Deze gebeurtenis kan duiden op een onjuiste configuratie tussen Web Application Proxy en de back-end-toepassingsserver of een probleem in de configuratie van datum en tijd op beide computers. | De back-endserver afgewezen het Kerberos-ticket gemaakt door Web Application Proxy. Controleer of de configuratie van de Webtoepassingsproxy en het back-end-toepassingsserver correct zijn geconfigureerd. Zorg ervoor dat de configuratie voor datum en tijd op het Web Application Proxy en de back-end-toepassingsserver zijn gesynchroniseerd. |
| 12011 Web Application Proxy heeft een aanvraag met een ongeldige cookie-toegangshandtekening ontvangen. |
Deze gebeurtenis kan erop wijzen dat het web toepassingsproxy en de AD FS niet zijn verbonden of dat ze niet dezelfde configuratie ontvangen. Als u de parameter hebt uitgevoerd door Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey de AccessCookiesEncryptionKey PowerShell-cmdlet, is deze gebeurtenis normaal en zijn er geen oplossingsstappen vereist. |
Controleer de connectiviteit met AD FS. U kunt dit doen met behulp van de koppeling https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Zorg ervoor dat er een vertrouwensrelatie tot stand is gebracht tussen ad fs en het web toepassingsproxy. Als deze oplossingen niet werken, voert u de Install-WebApplicationProxy cmdlet uit. |
| 12027 Er is een onverwachte fout opgetreden tijdens het verwerken van de aanvraag. De opgegeven naam is geen goed gevormde accountnaam. |
Deze gebeurtenis kan duiden op een onjuiste configuratie tussen Web Application Proxy en de domeincontrollerserver of een probleem in de configuratie van datum en tijd op beide computers. | De domeincontroller afgewezen het Kerberos-ticket gemaakt door Web Application Proxy. Controleer of de configuratie van de Webtoepassingsproxy en het back-end-toepassingsserver zijn correct geconfigureerd, met name de SPN-configuratie. Zorg ervoor dat het web-toepassingsproxy lid is van hetzelfde domein als de domeincontroller om ervoor te zorgen dat de domeincontroller een vertrouwensrelatie tot stand brengt met Web toepassingsproxy. Zorg ervoor dat de tijd- en datumconfiguratie op het web toepassingsproxy en de domeincontroller zijn gesynchroniseerd. |
| 13012 Web Application Proxy ontvangen een ongeldige edge token handtekening |
Zorg ervoor dat u web-toepassingsproxy hebt bijgewerkt met web toepassingsproxy het bijgewerkte certificaat niet kunt detecteren nadat het automatisch is bijgewerkt op Windows Server 2012 R2. | |
| 13013 Web Application Proxy heeft een aanvraag uit een verlopen edge token ontvangen. |
Web toepassingsproxy en AD FS hebben geen gesynchroniseerde klokken. | Synchroniseer de klokken tussen Web Application Proxy en AD FS. |
| 13014 Web Application Proxy heeft een aanvraag met een ongeldige edge token ontvangen. Het token is niet geldig omdat het niet kan worden geparseerd. |
Dit kan duiden op een probleem met de AD FS-configuratie. | Controleer uw AD FS-configuratie en herstel indien nodig de standaardconfiguratie. |
| 13015 Web Application Proxy heeft een aanvraag met een cookie verlopen toegang ontvangen. |
Dit kan duiden op klokken die niet worden gesynchroniseerd. | Als u met een cluster met web-toepassingsproxy machines werkt, moet u ervoor zorgen dat de tijd en datum van de computers worden gesynchroniseerd. |
| 13016 Web toepassingsproxy kan een Kerberos-ticket niet ophalen namens de gebruiker omdat er geen UPN in het edge-token of in de toegangscooky staat. |
Er is een probleem met de STS-configuratie. | Corrigeer de UPN-claimconfiguratie in de STS. |
| 13019 Web-toepassingsproxy kan een Kerberos-ticket niet ophalen namens de gebruiker vanwege de volgende algemene API-fout |
Deze gebeurtenis kan duiden op een onjuiste configuratie tussen Web Application Proxy en de domeincontrollerserver of een probleem in de configuratie van datum en tijd op beide computers. | De domeincontroller afgewezen het Kerberos-ticket gemaakt door Web Application Proxy. Controleer of de configuratie van de Webtoepassingsproxy en het back-end-toepassingsserver zijn correct geconfigureerd, met name de SPN-configuratie. Zorg ervoor dat het web-toepassingsproxy lid is van hetzelfde domein als de domeincontroller om ervoor te zorgen dat de domeincontroller een vertrouwensrelatie tot stand brengt met Web toepassingsproxy. Zorg ervoor dat de tijd- en datumconfiguratie op het web toepassingsproxy en de domeincontroller zijn gesynchroniseerd. |
| 13020 Web toepassingsproxy kan geen Kerberos-ticket ophalen namens de gebruiker omdat de SPN van de back-endserver niet is gedefinieerd. |
Deze gebeurtenis kan duiden op een onjuiste configuratie tussen Web Application Proxy en de domeincontrollerserver of een probleem in de configuratie van datum en tijd op beide computers. | De domeincontroller afgewezen het Kerberos-ticket gemaakt door Web Application Proxy. Controleer of de configuratie van de Webtoepassingsproxy en het back-end-toepassingsserver zijn correct geconfigureerd, met name de SPN-configuratie. Zorg ervoor dat het web-toepassingsproxy lid is van hetzelfde domein als de domeincontroller om ervoor te zorgen dat de domeincontroller een vertrouwensrelatie tot stand brengt met Web toepassingsproxy. Zorg ervoor dat de tijd- en datumconfiguratie op het web toepassingsproxy en de domeincontroller zijn gesynchroniseerd. |
| 13022 Web toepassingsproxy kan de gebruiker niet verifiëren omdat de back-endserver reageert op Kerberos-verificatiepogingen met een HTTP 401-fout. |
Deze gebeurtenis kan duiden op een onjuiste configuratie tussen Web Application Proxy en de back-end-toepassingsserver of een probleem in de configuratie van datum en tijd op beide computers. | De back-endserver afgewezen het Kerberos-ticket gemaakt door Web Application Proxy. Controleer of de configuratie van de Webtoepassingsproxy en het back-end-toepassingsserver correct zijn geconfigureerd. Zorg ervoor dat de configuratie voor datum en tijd op het Web Application Proxy en de back-end-toepassingsserver zijn gesynchroniseerd. |
| 13025 De client heeft geen SSL-certificaat voor web-toepassingsproxy weergegeven. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en de tijd en datum van de Webtoepassingsproxy en het AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de Webtoepassingsproxy is dat de juiste. |
| 13026 De client heeft een SSL-certificaat gepresenteerd aan het web toepassingsproxy, maar het certificaat is niet geldig: het certificaat komt niet overeen met de vingerafdruk. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en de tijd en datum van de Webtoepassingsproxy en het AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de Webtoepassingsproxy is dat de juiste. |
| 13028 Web toepassingsproxy een aanvraag ontvangen die een edge-token bevat dat nog niet geldig is. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en de tijd en datum van de Webtoepassingsproxy en het AD FS worden gesynchroniseerd. |
| 13030 De client heeft een SSL-certificaat gepresenteerd aan het web toepassingsproxy, maar de vertrouwensprovider vertrouwt de certificeringsinstantie die het clientcertificaat heeft uitgegeven niet. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en de tijd en datum van de Webtoepassingsproxy en het AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de Webtoepassingsproxy is dat de juiste. |
| 13031 De client heeft een SSL-certificaat gepresenteerd aan web toepassingsproxy, maar de certificaatketen is beëindigd in een basiscertificaat dat niet wordt vertrouwd door de vertrouwensprovider. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en de tijd en datum van de Webtoepassingsproxy en het AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de Webtoepassingsproxy is dat de juiste. |
| 13032 De client heeft een SSL-certificaat gepresenteerd aan web-toepassingsproxy, maar het certificaat was niet geldig voor het aangevraagde gebruik. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en de tijd en datum van de Webtoepassingsproxy en het AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de Webtoepassingsproxy is dat de juiste. |
| 13033 De client heeft een SSL-certificaat gepresenteerd aan het web toepassingsproxy, maar het certificaat was niet binnen de geldigheidsperiode bij het controleren op basis van de huidige systeemklok of de tijdstempel in het ondertekende bestand. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en de tijd en datum van de Webtoepassingsproxy en het AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de Webtoepassingsproxy is dat de juiste. |
| 13034 De client heeft een SSL-certificaat gepresenteerd aan web-toepassingsproxy, maar het certificaat is niet geldig. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en de tijd en datum van de Webtoepassingsproxy en het AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de Webtoepassingsproxy is dat de juiste. |
De volgende beheerconsolegebeurtenissen wijzen op problemen die te maken hebben met configuratie, zoals inrichten, aanvragen die niet succesvol zijn, back-endservers die onbereikbaar zijn en bufferoverschrijdingen.
| Gebeurtenis of symptoom | Mogelijke oorzaak | Oplossing |
|---|---|---|
| 12019 Web toepassingsproxy kan geen listener maken voor de volgende URL. |
Een mogelijke oorzaak voor de gebeurtenis is dat een andere service naar dezelfde URL luistert. | De beheerder moet ervoor zorgen dat niemand luistert of bindt aan dezelfde URL's. Voer de volgende opdracht uit om dit te controleren: netsh http show urlacl. Als deze URL wordt gebruikt door een ander onderdeel dat wordt uitgevoerd op de machine Web Application Proxy, verwijderen of een andere URL gebruiken de toepassingen via Webtoepassingsproxy publiceren. |
| 12020 Web toepassingsproxy kan geen reservering maken voor de volgende URL. |
Een mogelijke oorzaak voor de gebeurtenis is dat een andere service een reservering heeft op dezelfde URL. | De beheerder moet ervoor zorgen dat niemand verbinding maakt met dezelfde URL's. Voer de volgende opdracht uit om dit te controleren: netsh http show urlacl. Als deze URL wordt gebruikt door een ander onderdeel dat wordt uitgevoerd op de machine Web Application Proxy, verwijderen of een andere URL gebruiken de toepassingen via Webtoepassingsproxy publiceren. |
| 12021 Web toepassingsproxy kan het SSL-servercertificaat niet binden. Alle andere configuratie-instellingen zijn toegepast. |
Kan geen configuratierecord van SSL-certificaatgegevens maken en instellen. | Zorg ervoor dat de certificaatvingerafdrukken die zijn geconfigureerd voor Web toepassingsproxy-toepassingen zijn geïnstalleerd op alle web-toepassingsproxy machines met een persoonlijke sleutel in het lokale computerarchief. |
| 13001 Het SSL-servercertificaat dat wordt gepresenteerd aan web-toepassingsproxy door de back-endserver is niet geldig; het certificaat wordt niet vertrouwd. |
Er zijn een of meer fouten gevonden in het SSL-certificaat (Secure Sockets Layer) dat door de server is verzonden. Dit kan erop wijzen dat de back-endserver een SSL heeft opgegeven die niet geldig was of dat er geen vertrouwensrelatie is tussen de web-toepassingsproxy en de back-endserver. | Valideer een SSL-certificaat voor de back-endserver. Zorg ervoor dat de web-toepassingsproxy-machine is geconfigureerd met de juiste basis-CA's om het back-endservercertificaat te vertrouwen. |
| 13006 | Wanneer de foutcode wordt 0x80072ee7, wordt de fout veroorzaakt doordat de URL van de back-endserver niet kan worden opgelost. Andere foutcodes worden beschreven in de functie WinHttpSendRequest (winhttp.h) | Controleer of de back-end-URL juist is en dat de naam ervan opgelost correct van de machine Web Application Proxy worden kan. |
| 13007 Het HTTP-antwoord van de back-endserver is niet binnen het verwachte interval ontvangen. |
Er is een time-out opgetreden voor de back-endserveraanvraag of deze reageert traag of reageert niet. | Controleer de configuratie van de back-endserver. Als het traag is, controleert u de verbinding met de back-endserver en kunt u ook de cmdlet voor de algemene configuratieparameter voor Web toepassingsproxy wijzigen.InactiveTransactionsTimeoutSec |