Rozwiązywanie problemów z serwer proxy aplikacji sieci Web
Ten artykuł jest odpowiedni dla lokalnej wersji serwer proxy aplikacji sieci Web. Aby umożliwić bezpieczny dostęp do aplikacji lokalnych w chmurze, zobacz zawartość microsoft Entra serwer proxy aplikacji.
Dotyczy: Windows Server 2022, Windows Server 2019, Windows Server 2016
Ta sekcja zawiera procedury dotyczące rozwiązywania problemów z serwerem proxy aplikacji internetowej, w tym objaśnienia zdarzeń i rozwiązania. Istnieją trzy miejsca, w którym są wyświetlane błędy:
W konsoli administratora serwera proxy aplikacji internetowej
Każdy identyfikator zdarzenia wyświetlane w konsoli administratora programu widoczną w Podglądzie zdarzeń systemu Windows i opisy odpowiedniego i rozwiązań znajdują się poniżej.
Otwórz Podgląd zdarzeń i poszukaj zdarzeń związanych z serwer proxy aplikacji sieci Web w obszarze Dzienniki>aplikacji i usług Microsoft>Windows>Web serwer proxy aplikacji> Admin.
W razie potrzeby szczegółowe dzienniki są dostępne przez włączenie dzienników analitycznych i debugowania oraz włączenie dziennika sesji serwer proxy aplikacji sieci Web znajdującego się w Podgląd zdarzeń systemu Windows w obszarze \Microsoft\Windows\Web serwer proxy aplikacji\ Admin.
Błędy programu PowerShell
Zdarzenia dla problemów napotykanych podczas konfigurowania są wyświetlane w programie PowerShell.
Wszystkie błędy są prezentowane użytkownikowi programu PowerShell przy użyciu programu PowerShell standardowe komunikaty o błędach. Wszystkie polecenia cmdlet programu PowerShell są rejestrowane jako zdarzenia. Wszystkie zdarzenia, które występują w programie PowerShell są wymienione w Podglądzie zdarzeń systemu Windows z identyfikatorem 12016 i są zdefiniowane poniżej w sekcji programu PowerShell.
W narzędziu Analizator najlepszych rozwiązań
Te zdarzenia opisano w analizatorze najlepszych rozwiązań dla serwer proxy aplikacji sieci Web.
Komunikaty programu PowerShell
| Zdarzenia lub objawem | Możliwa przyczyna | Rozwiązanie |
|---|---|---|
| Certyfikat zaufania ("ADFS ProxyTrust — <nazwa> maszyny WAP") jest nieprawidłowy | Może to być spowodowane przez jedną z następujących czynności: -Machine serwera Proxy aplikacji nie działał zbyt długo. |
Upewnij się, że zegary są synchronizowane. Install-WebApplicationProxy Uruchom polecenie cmdlet . |
| Nie można odnaleźć danych konfiguracji w usługach AD FS | Może to być spowodowane tym, że serwer proxy aplikacji sieci Web nie została jeszcze w pełni zainstalowana lub ze względu na zmiany w bazie danych usług AD FS lub uszkodzenie bazy danych. | Install-WebApplicationProxy Uruchamianie polecenia cmdlet |
| Wystąpił błąd podczas próby odczytu konfiguracji z usług AD FS przez serwer proxy aplikacji internetowej. | Może to wskazywać, że usługi AD FS nie są osiągalne lub że usługi AD FS napotkały wewnętrzny problem podczas próby odczytu konfiguracji z bazy danych usług AD FS. | Sprawdź, czy usługi AD FS jest osiągalny i działa prawidłowo. |
| Dane konfiguracji przechowywane w usługach AD FS są uszkodzone lub serwer proxy aplikacji internetowej nie może ich przeanalizować. LUB Usługa Web serwer proxy aplikacji nie mogła pobrać listy jednostek uzależnionych z usług AD FS. |
Może to nastąpić, jeśli dane konfiguracji został zmodyfikowany w usługach AD FS. | Uruchom ponownie usługę serwer proxy aplikacji sieci Web. Jeśli problem będzie się powtarzać, uruchom Install-WebApplicationProxy polecenie cmdlet . |
Zdarzenia konsoli administratora
Następujące zdarzenia konsoli administratora wskazują na błędy uwierzytelniania, nieprawidłowe tokeny lub wygasłe pliki cookie.
| Zdarzenia lub objawem | Możliwa przyczyna | Rozwiązanie |
|---|---|---|
| 11005 Usługa Web serwer proxy aplikacji nie mogła utworzyć klucza szyfrowania plików cookie przy użyciu wpisu tajnego z konfiguracji. |
Globalny parametr konfiguracji AccessCookiesEncryptionKey został zmieniony przez polecenie cmdlet programu PowerShell: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
Nie trzeba podejmować żadnych działań. Problematyczne plik cookie został usunięty, a użytkownik został przekierowany do usługi STS do uwierzytelniania. |
| 12000 Usługa Web serwer proxy aplikacji nie może sprawdzić zmian konfiguracji przez co najmniej 60 minut |
Usługa Web serwer proxy aplikacji nie może uzyskać dostępu do konfiguracji serwer proxy aplikacji sieci Web przy użyciu polecenia cmdlet Get-WebApplicationProxyConfiguration/Application. Jest to spowodowane brakiem łączności z usługami AD FS lub koniecznością odnowienia zaufania z usługami AD FS. |
Sprawdź łączność z usługami AD FS. Możesz to zrobić za pomocą linku https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Upewnij się, że istnieje relacja zaufania między usługami AD FS i serwer proxy aplikacji sieci Web. Jeśli te rozwiązania nie działają, uruchom Install-WebApplicationProxy polecenie cmdlet . |
| 12003 Usługa Web serwer proxy aplikacji nie może przeanalizować pliku cookie dostępu. |
Może to wskazywać, że serwer proxy aplikacji sieci Web i usług AD FS nie są połączone lub że nie otrzymują tej samej konfiguracji. | Sprawdź łączność z usługami AD FS. Możesz to zrobić za pomocą linku https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Upewnij się, że istnieje relacja zaufania między usługami AD FS i serwer proxy aplikacji sieci Web. Jeśli te rozwiązania nie działają, uruchom Install-WebApplicationProxy polecenie cmdlet . |
| 12004 Serwer proxy aplikacji internetowej odebrał żądanie z nieprawidłowym plikiem cookie dostępu. |
To zdarzenie może wskazywać, że serwer proxy aplikacji sieci Web i usług AD FS nie są połączone lub że nie otrzymują tej samej konfiguracji. Jeśli uruchomiono |
Sprawdź łączność z usługami AD FS. Możesz to zrobić za pomocą linku https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Upewnij się, że istnieje relacja zaufania między usługami AD FS i serwer proxy aplikacji sieci Web. Jeśli te rozwiązania nie działają, uruchom Install-WebApplicationProxy polecenie cmdlet . |
| 12008 Serwer proxy aplikacji internetowej przekroczył maksymalną liczbę dozwolonych prób uwierzytelniania protokołu Kerberos dla serwera zaplecza. |
To zdarzenie może wskazywać na niepoprawną konfigurację serwera proxy aplikacji internetowej i serwera aplikacji zaplecza lub problem z konfiguracją godziny i daty na obu maszynach. | Serwer zaplecza odrzucił bilet protokołu Kerberos utworzony przez serwer proxy aplikacji internetowej. Sprawdź, czy konfiguracja serwera proxy aplikacji internetowej i serwera aplikacji zaplecza jest poprawna. Upewnij się, że konfiguracja daty i godziny na serwerze proxy aplikacji internetowej i na serwerze aplikacji zaplecza jest zsynchronizowana. |
| 12011 Serwer proxy aplikacji internetowej odebrał żądanie z nieprawidłowym podpisem pliku cookie dostępu. |
To zdarzenie może wskazywać, że serwer proxy aplikacji sieci Web i usług AD FS nie są połączone lub że nie otrzymują tej samej konfiguracji. Jeśli uruchomiono AccessCookiesEncryptionKey parametr został zmieniony przez Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey polecenie cmdlet programu PowerShell, to zdarzenie jest normalne i nie wymaga kroków rozwiązania. |
Sprawdź łączność z usługami AD FS. Możesz to zrobić za pomocą linku https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Upewnij się, że istnieje relacja zaufania między usługami AD FS i serwer proxy aplikacji sieci Web. Jeśli te rozwiązania nie działają, uruchom Install-WebApplicationProxy polecenie cmdlet . |
| 12027 Serwer proxy napotkał nieoczekiwany błąd podczas przetwarzania żądania. Podana nazwa nie jest poprawnie sformułowaną nazwą konta. |
To zdarzenie może wskazywać na niepoprawną konfigurację serwera proxy aplikacji internetowej i serwera kontrolera domeny lub problem z konfiguracją godziny i daty na obu maszynach. | Kontroler domeny odrzucił bilet protokołu Kerberos utworzony przez serwer proxy aplikacji internetowej. Sprawdź, czy konfiguracja serwera proxy aplikacji internetowej i serwera aplikacji zaplecza jest poprawna, a szczególnie konfiguracja nazw SPN. Upewnij się, że serwer proxy aplikacji sieci Web jest przyłączona do tej samej domeny co kontroler domeny, aby upewnić się, że kontroler domeny ustanawia zaufanie z serwer proxy aplikacji sieci Web. Upewnij się, że konfiguracja godziny i daty w serwer proxy aplikacji sieci Web i kontroler domeny są zsynchronizowane. |
| 13012 Serwer proxy aplikacji internetowej odebrał nieprawidłowy podpis tokenu granicznego |
Upewnij się, że zaktualizowano serwer proxy aplikacji sieci Web przy użyciu serwer proxy aplikacji sieci Web nie można wykryć zaktualizowanego certyfikatu po automatycznym zaktualizowaniu go w systemie Windows Server 2012 R2. | |
| 13013 Serwer proxy aplikacji internetowej odebrał żądanie zawierające wygasły token graniczny. |
Serwer proxy aplikacji sieci Web i usługi AD FS nie mają zsynchronizowanych zegarów. | Zsynchronizuj zegary między serwerem proxy aplikacji internetowej i usługami AD FS. |
| 13014 Serwer proxy aplikacji internetowej odebrał żądanie z nieprawidłowym tokenem granicznym. Token jest nieprawidłowy, ponieważ nie można go przeanalizować. |
Może to oznaczać problemu z konfiguracją usług AD FS. | Sprawdź konfigurację usług AD FS i, jeśli to konieczne, należy przywrócić konfigurację domyślną. |
| 13015 Serwer proxy aplikacji internetowej odebrał żądanie z wygasłym plikiem cookie dostępu. |
Może to wskazywać zegary, które nie są zsynchronizowane. | Jeśli pracujesz z klastrem maszyn serwer proxy aplikacji sieci Web, upewnij się, że godzina i data maszyn są zsynchronizowane. |
| 13016 Usługa Web serwer proxy aplikacji nie może pobrać biletu protokołu Kerberos w imieniu użytkownika, ponieważ nie ma nazwy UPN w tokenie brzegowym ani w pliku cookie dostępu. |
Wystąpił problem z konfiguracją usługi STS. | Napraw Konfiguracja oświadczenia nazwy UPN w usłudze STS. |
| 13019 Usługa Web serwer proxy aplikacji nie może pobrać biletu protokołu Kerberos w imieniu użytkownika z powodu następującego ogólnego błędu interfejsu API |
To zdarzenie może wskazywać na niepoprawną konfigurację serwera proxy aplikacji internetowej i serwera kontrolera domeny lub problem z konfiguracją godziny i daty na obu maszynach. | Kontroler domeny odrzucił bilet protokołu Kerberos utworzony przez serwer proxy aplikacji internetowej. Sprawdź, czy konfiguracja serwera proxy aplikacji internetowej i serwera aplikacji zaplecza jest poprawna, a szczególnie konfiguracja nazw SPN. Upewnij się, że serwer proxy aplikacji sieci Web jest przyłączona do tej samej domeny co kontroler domeny, aby upewnić się, że kontroler domeny ustanawia zaufanie z serwer proxy aplikacji sieci Web. Upewnij się, że konfiguracja godziny i daty w serwer proxy aplikacji sieci Web i kontroler domeny są zsynchronizowane. |
| 13020 Usługa Web serwer proxy aplikacji nie może pobrać biletu protokołu Kerberos w imieniu użytkownika, ponieważ nazwa SPN serwera zaplecza nie jest zdefiniowana. |
To zdarzenie może wskazywać na niepoprawną konfigurację serwera proxy aplikacji internetowej i serwera kontrolera domeny lub problem z konfiguracją godziny i daty na obu maszynach. | Kontroler domeny odrzucił bilet protokołu Kerberos utworzony przez serwer proxy aplikacji internetowej. Sprawdź, czy konfiguracja serwera proxy aplikacji internetowej i serwera aplikacji zaplecza jest poprawna, a szczególnie konfiguracja nazw SPN. Upewnij się, że serwer proxy aplikacji sieci Web jest przyłączona do tej samej domeny co kontroler domeny, aby upewnić się, że kontroler domeny ustanawia zaufanie z serwer proxy aplikacji sieci Web. Upewnij się, że konfiguracja godziny i daty w serwer proxy aplikacji sieci Web i kontroler domeny są zsynchronizowane. |
| 13022 Usługa Web serwer proxy aplikacji nie może uwierzytelnić użytkownika, ponieważ serwer zaplecza odpowiada na próby uwierzytelniania Kerberos z powodu błędu HTTP 401. |
To zdarzenie może wskazywać na niepoprawną konfigurację serwera proxy aplikacji internetowej i serwera aplikacji zaplecza lub problem z konfiguracją godziny i daty na obu maszynach. | Serwer zaplecza odrzucił bilet protokołu Kerberos utworzony przez serwer proxy aplikacji internetowej. Sprawdź, czy konfiguracja serwera proxy aplikacji internetowej i serwera aplikacji zaplecza jest poprawna. Upewnij się, że konfiguracja daty i godziny na serwerze proxy aplikacji internetowej i na serwerze aplikacji zaplecza jest zsynchronizowana. |
| 13025 Klient nie przedstawił certyfikatu SSL serwer proxy aplikacji sieci Web. |
To zdarzenie może wskazywać na problem w konfiguracji datę i godzinę. | Upewnij się, że infrastruktura certyfikatu jest prawidłowa i że godzina oraz data na serwerze proxy aplikacji internetowej i w usługach AD FS są zsynchronizowane. Upewnij się, że odcisk palca skonfigurowany dla serwera proxy aplikacji internetowej jest poprawny. |
| 13026 Klient przedstawił certyfikat SSL serwer proxy aplikacji sieci Web, ale certyfikat jest nieprawidłowy: certyfikat nie jest zgodny z odciskiem palca. |
To zdarzenie może wskazywać na problem w konfiguracji datę i godzinę. | Upewnij się, że infrastruktura certyfikatu jest prawidłowa i że godzina oraz data na serwerze proxy aplikacji internetowej i w usługach AD FS są zsynchronizowane. Upewnij się, że odcisk palca skonfigurowany dla serwera proxy aplikacji internetowej jest poprawny. |
| 13028 Usługa Web serwer proxy aplikacji odebrała żądanie zawierające token brzegowy, który nie jest jeszcze prawidłowy. |
To zdarzenie może wskazywać na problem w konfiguracji datę i godzinę. | Upewnij się, że infrastruktura certyfikatu jest prawidłowa i że godzina oraz data na serwerze proxy aplikacji internetowej i w usługach AD FS są zsynchronizowane. |
| 13030 Klient przedstawił certyfikat SSL serwer proxy aplikacji sieci Web, ale dostawca zaufania nie ufa urzędowi certyfikacji, który wystawił certyfikat klienta. |
To zdarzenie może wskazywać na problem w konfiguracji datę i godzinę. | Upewnij się, że infrastruktura certyfikatu jest prawidłowa i że godzina oraz data na serwerze proxy aplikacji internetowej i w usługach AD FS są zsynchronizowane. Upewnij się, że odcisk palca skonfigurowany dla serwera proxy aplikacji internetowej jest poprawny. |
| 13031 Klient przedstawił certyfikat SSL serwer proxy aplikacji sieci Web, ale łańcuch certyfikatów został zakończony w certyfikacie głównym, który nie jest zaufany przez dostawcę zaufania. |
To zdarzenie może wskazywać na problem w konfiguracji datę i godzinę. | Upewnij się, że infrastruktura certyfikatu jest prawidłowa i że godzina oraz data na serwerze proxy aplikacji internetowej i w usługach AD FS są zsynchronizowane. Upewnij się, że odcisk palca skonfigurowany dla serwera proxy aplikacji internetowej jest poprawny. |
| 13032 Klient przedstawił certyfikat SSL serwer proxy aplikacji sieci Web, ale certyfikat nie był prawidłowy dla żądanego użycia. |
To zdarzenie może wskazywać na problem w konfiguracji datę i godzinę. | Upewnij się, że infrastruktura certyfikatu jest prawidłowa i że godzina oraz data na serwerze proxy aplikacji internetowej i w usługach AD FS są zsynchronizowane. Upewnij się, że odcisk palca skonfigurowany dla serwera proxy aplikacji internetowej jest poprawny. |
| 13033 Klient przedstawił certyfikat SSL serwer proxy aplikacji sieci Web, ale certyfikat nie był w okresie ważności podczas sprawdzania względem bieżącego zegara systemowego lub sygnatury czasowej w podpisanym pliku. |
To zdarzenie może wskazywać na problem w konfiguracji datę i godzinę. | Upewnij się, że infrastruktura certyfikatu jest prawidłowa i że godzina oraz data na serwerze proxy aplikacji internetowej i w usługach AD FS są zsynchronizowane. Upewnij się, że odcisk palca skonfigurowany dla serwera proxy aplikacji internetowej jest poprawny. |
| 13034 Klient przedstawił certyfikat SSL serwer proxy aplikacji sieci Web, ale certyfikat nie był prawidłowy. |
To zdarzenie może wskazywać na problem w konfiguracji datę i godzinę. | Upewnij się, że infrastruktura certyfikatu jest prawidłowa i że godzina oraz data na serwerze proxy aplikacji internetowej i w usługach AD FS są zsynchronizowane. Upewnij się, że odcisk palca skonfigurowany dla serwera proxy aplikacji internetowej jest poprawny. |
Następujące zdarzenia konsoli administratora wskazują na problemy związane z konfiguracją, taką jak aprowizowanie, żądania, które nie powiodły się, serwery zaplecza, które są nieosiągalne i przepełnienia buforu.
| Zdarzenia lub objawem | Możliwa przyczyna | Rozwiązanie |
|---|---|---|
| 12019 Usługa Web serwer proxy aplikacji nie może utworzyć odbiornika dla następującego adresu URL. |
Możliwe przyczyny zdarzenia jest inna usługa słucha tego samego adresu URL. | Administrator należy upewnić się, nie nasłuchuje lub wiąże tych samych adresów URL. Aby to sprawdzić, uruchom polecenie : netsh http show urlacl. Jeśli ten adres URL jest używany przez inny składnik działający na maszynie serwera proxy aplikacji internetowej, usuń go lub użyj innego adresu URL do opublikowania aplikacji za pośrednictwem serwera proxy aplikacji internetowej. |
| 12020 Usługa Web serwer proxy aplikacji nie może utworzyć rezerwacji dla następującego adresu URL. |
Możliwe przyczyny zdarzenia jest, czy innej usługi ma zastrzeżenie na ten sam adres URL. | Administrator należy upewnić się, że nikt nie wiąże się z tych samych adresów URL. Aby to sprawdzić, uruchom polecenie : netsh http show urlacl. Jeśli ten adres URL jest używany przez inny składnik działający na maszynie serwera proxy aplikacji internetowej, usuń go lub użyj innego adresu URL do opublikowania aplikacji za pośrednictwem serwera proxy aplikacji internetowej. |
| 12021 Usługa Web serwer proxy aplikacji nie może powiązać certyfikatu serwera SSL. Wszystkie ustawienia konfiguracji zostały zastosowane. |
Nie można utworzyć i ustawić konfiguracji rekord danych certyfikatu SSL. | Upewnij się, że odciski palca certyfikatu skonfigurowane dla aplikacji serwer proxy aplikacji sieci Web są zainstalowane na wszystkich maszynach serwer proxy aplikacji sieci Web z kluczem prywatnym w magazynie komputerów lokalnych. |
| 13001 Certyfikat serwera SSL przedstawiony serwer proxy aplikacji sieci Web przez serwer zaplecza jest nieprawidłowy; certyfikat nie jest zaufany. |
Znaleziono co najmniej jeden błąd w certyfikat Secure Sockets Layer (SSL), wysłanych przez serwer. Może to oznaczać, że serwer zaplecza dostarczył nieprawidłowy protokół SSL lub nie ma zaufania między serwer proxy aplikacji sieci Web a serwerem zaplecza. | Sprawdź poprawność certyfikatu SSL serwera wewnętrznej bazy danych. Upewnij się, że maszyna serwer proxy aplikacji sieci Web jest skonfigurowana z odpowiednimi głównymi urzędami certyfikacji, aby ufać certyfikatowi serwera zaplecza. |
| 13006 | Gdy kod błędu jest 0x80072ee7, błąd jest spowodowany brakiem możliwości rozpoznania adresu URL serwera zaplecza. Inne kody błędów są opisane w funkcji WinHttpSendRequest (winhttp.h) | Sprawdź, czy adres URL serwera zaplecza jest poprawny i czy jego nazwa może być poprawnie rozpoznana z maszyny serwera proxy aplikacji internetowej. |
| 13007 Odpowiedź HTTP z serwera zaplecza nie została odebrana w oczekiwanym interwale. |
Upłynął limit czasu żądania serwera zaplecza lub jest on powolny lub nie odpowiada. | Sprawdź konfigurację serwera wewnętrznej bazy danych. Jeśli działa to wolno, sprawdź łączność z serwerem zaplecza, a także rozważ zmianę polecenia cmdlet parametru konfiguracji globalnej serwer proxy aplikacji sieci Web dla programu InactiveTransactionsTimeoutSec. |