Problemen met web-toepassingsproxy oplossen
Dit artikel is relevant voor de on-premises versie van Web toepassingsproxy. Als u beveiligde toegang tot on-premises toepassingen via de cloud wilt inschakelen, raadpleegt u de Microsoft Entra toepassingsproxy inhoud.
Van toepassing op: Windows Server 2022, Windows Server 2019, Windows Server 2016
In deze sectie vindt u procedures voor probleemoplossing voor web-toepassingsproxy, inclusief uitleg en oplossingen voor gebeurtenissen. Er zijn drie plaatsen waar fouten worden weergegeven:
In de web-toepassingsproxy-beheerconsole
Elke gebeurtenis-id die in de beheerconsole wordt vermeld, kan worden weergegeven in de Windows-Logboeken en de bijbehorende beschrijvingen en oplossingen vindt u hieronder.
Open Logboeken en zoek naar gebeurtenissen met betrekking tot web toepassingsproxy onder Logboeken> van toepassingen en servicesMicrosoft>Windows>Web toepassingsproxy>Beheer.
Indien nodig zijn gedetailleerde logboeken beschikbaar door analyse- en foutopsporingslogboeken in te schakelen en het web-toepassingsproxy sessielogboek in te schakelen, te vinden in de Windows-Logboeken onder \Microsoft\Windows\Web toepassingsproxy\Beheer.
In PowerShell-fouten
Gebeurtenissen voor problemen die tijdens de configuratie zijn opgetreden, worden weergegeven in PowerShell.
Alle fouten worden aan de PowerShell-gebruiker gepresenteerd met behulp van standaard PowerShell-foutprompts. Alle PowerShell-cmdlets worden geregistreerd als gebeurtenissen. Alle gebeurtenissen die zich in PowerShell voordoen, worden vermeld in de Windows-Logboeken met id-nummer 12016 en worden hieronder gedefinieerd in de sectie PowerShell.
In de Best Practices Analyzer
Deze gebeurtenissen worden beschreven in best practices analyzer voor web-toepassingsproxy.
PowerShell-berichten
| Gebeurtenis of symptoom | Mogelijke oorzaak | Oplossing |
|---|---|---|
| Het vertrouwenscertificaat (ADFS ProxyTrust - <WAP-computernaam>) is niet geldig | Dit kan worden veroorzaakt door een van de volgende oorzaken: - De toepassingsproxy machine is te lang uitgeschakeld. |
Zorg ervoor dat de klokken zijn gesynchroniseerd. Voer de Install-WebApplicationProxy cmdlet uit. |
| Configuratiegegevens zijn niet gevonden in AD FS | Dit kan komen doordat web-toepassingsproxy nog niet volledig is geïnstalleerd of vanwege wijzigingen in de AD FS-database of een beschadiging van de database. |
Install-WebApplicationProxy De cmdlet uitvoeren |
| Er is een fout opgetreden toen web-toepassingsproxy de configuratie van AD FS probeerde te lezen. | Dit kan erop wijzen dat AD FS niet bereikbaar is of dat AD FS een intern probleem heeft ondervonden bij het lezen van de configuratie uit de AD FS-database. | Controleer of AD FS bereikbaar is en goed werkt. |
| De configuratiegegevens die zijn opgeslagen in AD FS, zijn beschadigd of de web-toepassingsproxy kon deze niet parseren. OF Web toepassingsproxy kan de lijst met Relying Party's niet ophalen uit AD FS. |
Dit kan gebeuren als de configuratiegegevens zijn gewijzigd in AD FS. | Start de web-toepassingsproxy-service opnieuw. Als het probleem zich blijft voordoen, voert u de Install-WebApplicationProxy cmdlet uit. |
Beheerconsole-gebeurtenissen
De volgende beheerdersconsolegebeurtenissen duiden op verificatiefouten, ongeldige tokens of verlopen cookies.
| Gebeurtenis of symptoom | Mogelijke oorzaak | Oplossing |
|---|---|---|
| 11005 Web toepassingsproxy kan de cookieversleutelingssleutel niet maken met behulp van het geheim uit de configuratie. |
De globale configuratieparameter AccessCookiesEncryptionKey is gewijzigd door de PowerShell-cmdlet: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
U hoeft geen actie te ondernemen. De problematische cookie is verwijderd en de gebruiker is omgeleid naar STS voor verificatie. |
| 12000 Web toepassingsproxy kon gedurende ten minste 60 minuten niet controleren op configuratiewijzigingen |
Web toepassingsproxy heeft geen toegang tot de configuratie van het web toepassingsproxy met behulp van de cmdlet Get-WebApplicationProxyConfiguration/Application. Dit wordt veroorzaakt door een gebrek aan connectiviteit met AD FS of de noodzaak om het vertrouwen met AD FS te vernieuwen. |
Controleer de connectiviteit met AD FS. U kunt dit doen met behulp van de koppeling https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Zorg ervoor dat er een vertrouwensrelatie tot stand is gebracht tussen de AD FS en de web-toepassingsproxy. Als deze oplossingen niet werken, voert u de Install-WebApplicationProxy cmdlet uit. |
| 12003 Web toepassingsproxy kan de toegangscooky niet parseren. |
Dit kan erop wijzen dat de web-toepassingsproxy en de AD FS niet zijn verbonden of dat ze niet dezelfde configuratie ontvangen. | Controleer de connectiviteit met AD FS. U kunt dit doen met behulp van de koppeling https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Zorg ervoor dat er een vertrouwensrelatie tot stand is gebracht tussen de AD FS en de web-toepassingsproxy. Als deze oplossingen niet werken, voert u de Install-WebApplicationProxy cmdlet uit. |
| 12004 Web toepassingsproxy een aanvraag ontvangen met een cookie voor ongeldige toegang. |
Deze gebeurtenis kan erop wijzen dat de web-toepassingsproxy en de AD FS niet zijn verbonden of dat ze niet dezelfde configuratie ontvangen. Als u de parameter is gewijzigd door |
Controleer de connectiviteit met AD FS. U kunt dit doen met behulp van de koppeling https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Zorg ervoor dat er een vertrouwensrelatie tot stand is gebracht tussen de AD FS en de web-toepassingsproxy. Als deze oplossingen niet werken, voert u de Install-WebApplicationProxy cmdlet uit. |
| 12008 Web toepassingsproxy het maximum aantal toegestane Kerberos-verificatiepogingen voor de back-endserver overschreden. |
Deze gebeurtenis kan duiden op een onjuiste configuratie tussen web-toepassingsproxy en de back-endtoepassingsserver, of op een probleem in de tijd- en datumconfiguratie op beide computers. | De back-endserver heeft het Kerberos-ticket dat is gemaakt door web-toepassingsproxy geweigerd. Controleer of de configuratie van de web-toepassingsproxy en de back-endtoepassingsserver correct zijn geconfigureerd. Zorg ervoor dat de tijd- en datumconfiguratie op het web toepassingsproxy en de back-endtoepassingsserver zijn gesynchroniseerd. |
| 12011 Web toepassingsproxy een aanvraag met een ongeldige cookiehandtekening voor toegang ontvangen. |
Deze gebeurtenis kan erop wijzen dat de web-toepassingsproxy en de AD FS niet zijn verbonden of dat ze niet dezelfde configuratie ontvangen. Als u de parameter is gewijzigd door Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey de AccessCookiesEncryptionKey PowerShell-cmdlet hebt uitgevoerd, is deze gebeurtenis normaal en vereist geen oplossingsstappen. |
Controleer de connectiviteit met AD FS. U kunt dit doen met behulp van de koppeling https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Zorg ervoor dat er een vertrouwensrelatie tot stand is gebracht tussen de AD FS en de web-toepassingsproxy. Als deze oplossingen niet werken, voert u de Install-WebApplicationProxy cmdlet uit. |
| 12027 Er is een onverwachte fout opgetreden tijdens het verwerken van de aanvraag. De opgegeven naam is geen correct opgemaakte accountnaam. |
Deze gebeurtenis kan duiden op een onjuiste configuratie tussen web-toepassingsproxy en de domeincontrollerserver, of op een probleem in de tijd- en datumconfiguratie op beide computers. | De domeincontroller heeft het Kerberos-ticket geweigerd dat is gemaakt door web-toepassingsproxy. Controleer of de configuratie van de web-toepassingsproxy en de back-endtoepassingsserver correct zijn geconfigureerd, met name de SPN-configuratie. Zorg ervoor dat de web-toepassingsproxy lid is van hetzelfde domein als de domeincontroller om ervoor te zorgen dat de domeincontroller een vertrouwensrelatie tot stand brengt met Web toepassingsproxy. Zorg ervoor dat de tijd- en datumconfiguratie op de web-toepassingsproxy en de domeincontroller zijn gesynchroniseerd. |
| 13012 Web-toepassingsproxy een ongeldige edge-tokenhandtekening ontvangen |
Zorg ervoor dat u web-toepassingsproxy hebt bijgewerkt met Web toepassingsproxy het bijgewerkte certificaat niet kunt detecteren nadat het automatisch is bijgewerkt op Windows Server 2012 R2. | |
| 13013 Web toepassingsproxy een aanvraag ontvangen die een verlopen edge-token bevat. |
Web toepassingsproxy en AD FS hebben geen gesynchroniseerde klokken. | Synchroniseer de klokken tussen web toepassingsproxy en AD FS. |
| 13014 Web toepassingsproxy een aanvraag met een ongeldig edge-token ontvangen. Het token is niet geldig omdat het niet kan worden geparseerd. |
Dit kan duiden op een probleem met de AD FS-configuratie. | Controleer uw AD FS-configuratie en herstel indien nodig de standaardconfiguratie. |
| 13015 Web toepassingsproxy een aanvraag met een verlopen toegangscooky ontvangen. |
Dit kan duiden op klokken die niet zijn gesynchroniseerd. | Als u met een cluster van web- toepassingsproxy machines werkt, controleert u of de tijd en datum van de computers zijn gesynchroniseerd. |
| 13016 Web toepassingsproxy kan geen Kerberos-ticket ophalen namens de gebruiker omdat er geen UPN in het edge-token of in de toegangscooky staat. |
Er is een probleem met de STS-configuratie. | Herstel de UPN-claimconfiguratie in de STS. |
| 13019 Web toepassingsproxy kan geen Kerberos-ticket ophalen namens de gebruiker vanwege de volgende algemene API-fout |
Deze gebeurtenis kan duiden op een onjuiste configuratie tussen web-toepassingsproxy en de domeincontrollerserver, of op een probleem in de tijd- en datumconfiguratie op beide computers. | De domeincontroller heeft het Kerberos-ticket geweigerd dat is gemaakt door web-toepassingsproxy. Controleer of de configuratie van de web-toepassingsproxy en de back-endtoepassingsserver correct zijn geconfigureerd, met name de SPN-configuratie. Zorg ervoor dat de web-toepassingsproxy lid is van hetzelfde domein als de domeincontroller om ervoor te zorgen dat de domeincontroller een vertrouwensrelatie tot stand brengt met Web toepassingsproxy. Zorg ervoor dat de tijd- en datumconfiguratie op de web-toepassingsproxy en de domeincontroller zijn gesynchroniseerd. |
| 13020 Web toepassingsproxy kan geen Kerberos-ticket namens de gebruiker ophalen omdat de SPN van de back-endserver niet is gedefinieerd. |
Deze gebeurtenis kan duiden op een onjuiste configuratie tussen web-toepassingsproxy en de domeincontrollerserver, of op een probleem in de tijd- en datumconfiguratie op beide computers. | De domeincontroller heeft het Kerberos-ticket geweigerd dat is gemaakt door web-toepassingsproxy. Controleer of de configuratie van de web-toepassingsproxy en de back-endtoepassingsserver correct zijn geconfigureerd, met name de SPN-configuratie. Zorg ervoor dat de web-toepassingsproxy lid is van hetzelfde domein als de domeincontroller om ervoor te zorgen dat de domeincontroller een vertrouwensrelatie tot stand brengt met Web toepassingsproxy. Zorg ervoor dat de tijd- en datumconfiguratie op de web-toepassingsproxy en de domeincontroller zijn gesynchroniseerd. |
| 13022 Web toepassingsproxy kan de gebruiker niet verifiëren omdat de back-endserver reageert op Kerberos-verificatiepogingen met een HTTP 401-fout. |
Deze gebeurtenis kan duiden op een onjuiste configuratie tussen web-toepassingsproxy en de back-endtoepassingsserver, of op een probleem in de tijd- en datumconfiguratie op beide computers. | De back-endserver heeft het Kerberos-ticket dat is gemaakt door web-toepassingsproxy geweigerd. Controleer of de configuratie van de web-toepassingsproxy en de back-endtoepassingsserver correct zijn geconfigureerd. Zorg ervoor dat de tijd- en datumconfiguratie op het web toepassingsproxy en de back-endtoepassingsserver zijn gesynchroniseerd. |
| 13025 De client heeft geen SSL-certificaat aan web-toepassingsproxy. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en dat de tijd en datum van de web-toepassingsproxy en de AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de web-toepassingsproxy de juiste is. |
| 13026 De client heeft een SSL-certificaat gepresenteerd aan web toepassingsproxy, maar het certificaat is niet geldig: het certificaat komt niet overeen met de vingerafdruk. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en dat de tijd en datum van de web-toepassingsproxy en de AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de web-toepassingsproxy de juiste is. |
| 13028 Web toepassingsproxy een aanvraag ontvangen met een edge-token dat nog niet geldig is. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en dat de tijd en datum van de web-toepassingsproxy en de AD FS worden gesynchroniseerd. |
| 13030 De client heeft een SSL-certificaat gepresenteerd aan web toepassingsproxy, maar de vertrouwensprovider vertrouwt de certificeringsinstantie die het clientcertificaat heeft uitgegeven niet. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en dat de tijd en datum van de web-toepassingsproxy en de AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de web-toepassingsproxy de juiste is. |
| 13031 De client heeft een SSL-certificaat gepresenteerd aan web toepassingsproxy, maar de certificaatketen is beëindigd in een basiscertificaat dat niet wordt vertrouwd door de vertrouwensprovider. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en dat de tijd en datum van de web-toepassingsproxy en de AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de web-toepassingsproxy de juiste is. |
| 13032 De client heeft een SSL-certificaat gepresenteerd aan web toepassingsproxy, maar het certificaat was niet geldig voor het aangevraagde gebruik. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en dat de tijd en datum van de web-toepassingsproxy en de AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de web-toepassingsproxy de juiste is. |
| 13033 De client heeft een SSL-certificaat gepresenteerd aan web-toepassingsproxy, maar het certificaat lag niet binnen de geldigheidsperiode bij het verifiëren op basis van de huidige systeemklok of de tijdstempel in het ondertekende bestand. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en dat de tijd en datum van de web-toepassingsproxy en de AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de web-toepassingsproxy de juiste is. |
| 13034 De client heeft een SSL-certificaat gepresenteerd aan web toepassingsproxy, maar het certificaat is ongeldig. |
Deze gebeurtenis kan duiden op een probleem in de tijd- en datumconfiguratie. | Zorg ervoor dat de certificaatinfrastructuur geldig is en dat de tijd en datum van de web-toepassingsproxy en de AD FS worden gesynchroniseerd. Zorg ervoor dat de vingerafdruk die is geconfigureerd voor de web-toepassingsproxy de juiste is. |
De volgende beheerconsolegebeurtenissen wijzen op problemen met de configuratie, zoals inrichting, aanvragen die niet zijn geslaagd, back-endservers die onbereikbaar zijn en bufferoverloop.
| Gebeurtenis of symptoom | Mogelijke oorzaak | Oplossing |
|---|---|---|
| 12019 Web toepassingsproxy kan geen listener maken voor de volgende URL. |
Een mogelijke oorzaak van de gebeurtenis is dat een andere service naar dezelfde URL luistert. | De beheerder moet ervoor zorgen dat niemand luistert of bindt aan dezelfde URL's. Voer de opdracht uit om dit te controleren: netsh http show urlacl. Als deze URL wordt gebruikt door een ander onderdeel dat wordt uitgevoerd op de web-toepassingsproxy computer, verwijdert u deze of gebruikt u een andere URL om de toepassingen te publiceren via Web toepassingsproxy. |
| 12020 Web toepassingsproxy kan geen reservering maken voor de volgende URL. |
Een mogelijke oorzaak van de gebeurtenis is dat een andere service een reservering heeft op dezelfde URL. | De beheerder moet ervoor zorgen dat niemand zich verbindt met dezelfde URL's. Voer de opdracht uit om dit te controleren: netsh http show urlacl. Als deze URL wordt gebruikt door een ander onderdeel dat wordt uitgevoerd op de web-toepassingsproxy computer, verwijdert u deze of gebruikt u een andere URL om de toepassingen te publiceren via Web toepassingsproxy. |
| 12021 Web toepassingsproxy kan het SSL-servercertificaat niet binden. Alle andere configuratie-instellingen zijn toegepast. |
Kan geen configuratierecord met SSL-certificaatgegevens maken en instellen. | Zorg ervoor dat de certificaatvingerafdrukken die zijn geconfigureerd voor web-toepassingsproxy-toepassingen, zijn geïnstalleerd op alle web-toepassingsproxy-machines met een persoonlijke sleutel in het lokale computerarchief. |
| 13001 Het SSL-servercertificaat dat door de back-endserver aan het web wordt gepresenteerd toepassingsproxy, is niet geldig. Het certificaat wordt niet vertrouwd. |
Er zijn een of meer fouten gevonden in het SSL-certificaat (Secure Sockets Layer) dat is verzonden door de server. Dit kan erop wijzen dat de back-endserver een SSL heeft opgegeven die niet geldig is of dat er geen vertrouwen is tussen de web-toepassingsproxy en de back-endserver. | Valideer een SSL-certificaat van een back-endserver. Zorg ervoor dat de web-toepassingsproxy-machine is geconfigureerd met de juiste basis-CA's om het back-endservercertificaat te vertrouwen. |
| 13006 | Wanneer de foutcode wordt 0x80072ee7, wordt de fout veroorzaakt door het onvermogen om de URL van de back-endserver op te lossen. Andere foutcodes worden beschreven in de functie WinHttpSendRequest (winhttp.h) | Controleer of de URL van de back-endserver juist is en of de naam correct kan worden omgezet vanaf de web-toepassingsproxy machine. |
| 13007 Het HTTP-antwoord van de back-endserver is niet binnen het verwachte interval ontvangen. |
Er is een time-out opgetreden voor de aanvraag van de back-endserver of is traag of reageert niet. | Controleer de configuratie van de back-endserver. Als deze traag is, controleert u de connectiviteit met de back-endserver en kunt u ook de cmdlet web-toepassingsproxy globale configuratieparameter wijzigen voor InactiveTransactionsTimeoutSec. |