Solucionar problemas de Proxy de Aplicativo Web
Este artigo é relevante para a versão local do Proxy de Aplicativo Web. Para habilitar o acesso seguro a aplicativos locais na nuvem, consulte o conteúdo do Proxy de Aplicativo do Microsoft Entra.
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Esta seção fornece procedimentos para solucionar problemas do Proxy de aplicativo Web, inclusive explicações e soluções de eventos. Os erros são exibidos em três locais:
No console de administrador do Proxy de aplicativo Web
Cada ID de evento listada no console de administrador pode ser exibida no Visualizador de Eventos do Windows e as descrições e soluções correspondentes são encontradas abaixo.
Abra o Visualizador de Eventos e procure eventos relacionados ao Proxy de Aplicativo Web em Logs>de Aplicativos e Serviços Administrador do Proxy de Aplicativo>Web do Microsoft>Windows.>
Se necessário, logs detalhados estão disponíveis ativando os logs de análise e depuração e ativando o log de sessão do Proxy de Aplicativo Web, encontrado no Visualizador de Eventos do Windows em \Microsoft\Windows\Web Application Proxy\Admin.
Em erros do PowerShell
Os eventos para problemas encontrados durante a configuração são exibidos no PowerShell.
Todos os erros são apresentados ao usuário do PowerShell usando prompts de erro padrão do PowerShell. Todos os cmdlets do PowerShell são registrados como eventos. Todos os eventos que ocorrem no PowerShell são listados no Visualizador de Eventos do Windows com a ID número 12016 e são definidos abaixo na seção do PowerShell.
No Analisador de Práticas Recomendadas
Esses eventos são descritos no Analisador de Práticas Recomendadas para Proxy de Aplicativo Web.
Mensagens do PowerShell
| Evento ou sintoma | Causa possível | Solução |
|---|---|---|
| O certificado de confiança ("ADFS ProxyTrust – <nome do computador WAP>") não é válido | Isso pode ser provocado por qualquer um dos seguintes: – A máquina Proxy de aplicativo ficou inativa por muito tempo. |
Verifique se os relógios estão sincronizados. Execute o cmdlet Install-WebApplicationProxy. |
| Os dados de configuração não foram encontrados no AD FS | Isso pode ocorrer porque o Proxy de Aplicativo Web ainda não foi totalmente instalado ou devido a alterações no banco de dados do AD FS ou corrupção do banco de dados. | Execute o cmdlet Install-WebApplicationProxy |
| Ocorreu um erro quando o Proxy de aplicativo da Web tentou ler a configuração do AD FS. | Isso pode indicar que o AD FS não é acessível ou que o AD FS encontrou um problema interno ao tentar ler a configuração do banco de dados do AD FS. | Verifique se o AD FS está acessível e funcionando corretamente. |
| Os dados armazenados de configuração no AD FS estão corrompidos ou o Proxy de aplicativo Web não pôde analisá-los. OU O Proxy de aplicativo Web não pôde recuperar a lista de terceiras partes confiáveis do AD FS. |
Isso poderá ocorrer se os dados de configuração tiverem sido modificados no AD FS. | Reiniciar o serviço do Proxy de aplicativo Web. Se o problema persistir, execute o Install-WebApplicationProxy cmdlet. |
Eventos do Console do administrador
Os eventos de console de administrador a seguir são indicativos de erros de autenticação, tokens inválidos ou cookies expirados.
| Evento ou sintoma | Causa possível | Resolução |
|---|---|---|
| 11005 O Proxy de Aplicativo Web não pôde criar a chave de criptografia de cookie usando o segredo da configuração. |
O parâmetro de configuração AccessCookiesEncryptionKey global foi alterado pelo cmdlet do PowerShell: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
Nenhuma ação é necessária. O cookie problemático foi removido e o usuário foi redirecionado ao STS para autenticação. |
| 12000 O Proxy de Aplicativo Web não pôde verificar se há alterações de configuração por pelo menos 60 minutos |
O Proxy de Aplicativo Web não pode acessar a configuração do Proxy de Aplicativo Web usando o cmdlet Get-WebApplicationProxyConfiguration/Application. Isso é causado pela falta de conectividade com o AD FS ou pela necessidade de renovar a confiança com o AD FS. |
Verificar a conectividade com o AD FS. Você pode fazer isso usando o link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Verifique se há confiança estabelecida entre o AD FS e o Proxy de Aplicativo Web. Se essas soluções não funcionarem, execute o Install-WebApplicationProxy cmdlet. |
| 12003 O Proxy de Aplicativo Web não pôde analisar o cookie de acesso. |
Isso pode indicar que o Proxy de Aplicativo Web e o AD FS não estão conectados ou que não recebem a mesma configuração. | Verificar a conectividade com o AD FS. Você pode fazer isso usando o link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Verifique se há confiança estabelecida entre o AD FS e o Proxy de Aplicativo Web. Se essas soluções não funcionarem, execute o Install-WebApplicationProxy cmdlet. |
| 12004 O Proxy de aplicativo Web recebeu uma solicitação com um cookie de acesso inválido. |
Esse evento pode indicar que o Proxy de Aplicativo Web e o AD FS não estão conectados ou que não recebem a mesma configuração. Se você executou o |
Verificar a conectividade com o AD FS. Você pode fazer isso usando o link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Verifique se há confiança estabelecida entre o AD FS e o Proxy de Aplicativo Web. Se essas soluções não funcionarem, execute o Install-WebApplicationProxy cmdlet. |
| 12008 O Proxy de aplicativo Web excedeu o número máximo de tentativas de autenticação do Kerberos permitidas para o servidor de back-end. |
Esse evento pode indicar uma configuração incorreta entre o Proxy de aplicativo Web e o servidor de aplicativos back-end ou um problema na configuração de data e hora nos dois computadores. | O servidor de back-end recusou o tíquete Kerberos criado pelo Proxy de aplicativo Web. Verifique se as configurações do Proxy de aplicativo Web e do servidor de aplicativos back-end foram definidas corretamente. Verifique se as configurações de data e hora no Proxy de aplicativo Web e no servidor de aplicativos back-end estão sincronizadas. |
| 12011 O Proxy de aplicativo Web recebeu uma solicitação com uma assinatura de cookie de acesso inválido. |
Esse evento pode indicar que o Proxy de Aplicativo Web e o AD FS não estão conectados ou que não recebem a mesma configuração. Se você executou o AccessCookiesEncryptionKey parâmetro foi alterado pelo Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey cmdlet do PowerShell, esse evento é normal e não requer etapas de resolução. |
Verificar a conectividade com o AD FS. Você pode fazer isso usando o link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Verifique se há confiança estabelecida entre o AD FS e o Proxy de Aplicativo Web. Se essas soluções não funcionarem, execute o Install-WebApplicationProxy cmdlet. |
| 12027 O proxy encontrou um erro inesperado ao processar a solicitação. O nome fornecido não é um nome de conta formado corretamente. |
Esse evento pode indicar uma configuração incorreta entre o Proxy de aplicativo Web e o servidor do controlador de domínio, ou indicar um problema nas configurações de data e hora dos dois computadores. | O controlador de domínio recusou o tíquete Kerberos criado pelo Proxy de aplicativo Web. Verifique se as configurações do Proxy de aplicativo Web e do servidor de aplicativos back-end foram definidas corretamente, especialmente a configuração de SPN. Verifique se o Proxy de aplicativo Web foi ingressado no mesmo domínio que o controlador de domínio para garantir que o controlador de domínio estabeleça a relação de confiança com o Proxy de aplicativo Web. Verifique se as configurações de data e hora no Proxy de aplicativo Web e no controlador de domínio estão sincronizadas. |
| 13012 O Proxy de Aplicativo Web recebeu uma assinatura de token de borda inválida |
Verifique se você atualizou o Proxy de Aplicativo Web com o Proxy de Aplicativo Web não pode detectar o certificado atualizado depois que ele for atualizado automaticamente no Windows Server 2012 R2. | |
| 13013 O Proxy de aplicativo Web recebeu uma solicitação que continha um token de borda expirado. |
O Proxy de Aplicativo Web e o AD FS não têm relógios sincronizados. | Sincronizar os relógios entre o Proxy de aplicativo Web e o AD FS. |
| 13014 O Proxy de aplicativo Web recebeu uma solicitação com um token de borda inválido. O token não é válido porque não pôde ser analisado. |
Isso pode indicar um problema na configuração do AD FS. | Verifique a configuração do AD FS e, se necessário, restaure a configuração padrão. |
| 13015 O Proxy de aplicativo Web recebeu uma solicitação com um cookie de acesso expirado. |
Isso pode indicar relógios que não estão sincronizados. | Se você estiver trabalhando com um cluster de computadores Proxy de Aplicativo Web, verifique se a hora e a data dos computadores estão sincronizadas. |
| 13016 O Proxy de Aplicativo Web não pode recuperar um tíquete Kerberos em nome do usuário porque não há UPN no token de borda ou no cookie de acesso. |
Há um problema com a configuração do STS. | Corrija a configuração de declaração UPN no STS. |
| 13019 O Proxy de Aplicativo Web não pode recuperar um tíquete Kerberos em nome do usuário devido ao seguinte erro geral de API |
Esse evento pode indicar uma configuração incorreta entre o Proxy de aplicativo Web e o servidor do controlador de domínio, ou indicar um problema nas configurações de data e hora dos dois computadores. | O controlador de domínio recusou o tíquete Kerberos criado pelo Proxy de aplicativo Web. Verifique se as configurações do Proxy de aplicativo Web e do servidor de aplicativos back-end foram definidas corretamente, especialmente a configuração de SPN. Verifique se o Proxy de aplicativo Web foi ingressado no mesmo domínio que o controlador de domínio para garantir que o controlador de domínio estabeleça a relação de confiança com o Proxy de aplicativo Web. Verifique se as configurações de data e hora no Proxy de aplicativo Web e no controlador de domínio estão sincronizadas. |
| 13020 O Proxy de Aplicativo Web não pode recuperar um tíquete Kerberos em nome do usuário porque o SPN do servidor de back-end não está definido. |
Esse evento pode indicar uma configuração incorreta entre o Proxy de aplicativo Web e o servidor do controlador de domínio, ou indicar um problema nas configurações de data e hora dos dois computadores. | O controlador de domínio recusou o tíquete Kerberos criado pelo Proxy de aplicativo Web. Verifique se as configurações do Proxy de aplicativo Web e do servidor de aplicativos back-end foram definidas corretamente, especialmente a configuração de SPN. Verifique se o Proxy de aplicativo Web foi ingressado no mesmo domínio que o controlador de domínio para garantir que o controlador de domínio estabeleça a relação de confiança com o Proxy de aplicativo Web. Verifique se as configurações de data e hora no Proxy de aplicativo Web e no controlador de domínio estão sincronizadas. |
| 13022 O Proxy de Aplicativo Web não pode autenticar o usuário porque o servidor de back-end responde a tentativas de autenticação Kerberos com um erro HTTP 401. |
Esse evento pode indicar uma configuração incorreta entre o Proxy de aplicativo Web e o servidor de aplicativos back-end ou um problema na configuração de data e hora nos dois computadores. | O servidor de back-end recusou o tíquete Kerberos criado pelo Proxy de aplicativo Web. Verifique se as configurações do Proxy de aplicativo Web e do servidor de aplicativos back-end foram definidas corretamente. Verifique se as configurações de data e hora no Proxy de aplicativo Web e no servidor de aplicativos back-end estão sincronizadas. |
| 13025 O cliente não apresentou um certificado SSL para o Proxy de Aplicativo Web. |
Esse evento pode indicar um problema na configuração de data e hora. | Verifique se a infraestrutura de certificado é válida e se a hora e a data do Proxy de aplicativo Web e do AD FS estão sincronizadas. Verifique se a impressão digital configurada para o Proxy de aplicativo Web é a correta. |
| 13026 O cliente apresentou um certificado SSL ao Proxy de Aplicativo Web, mas o certificado não é válido: o certificado não corresponde à impressão digital. |
Esse evento pode indicar um problema na configuração de data e hora. | Verifique se a infraestrutura de certificado é válida e se a hora e a data do Proxy de aplicativo Web e do AD FS estão sincronizadas. Verifique se a impressão digital configurada para o Proxy de aplicativo Web é a correta. |
| 13028 O Proxy de Aplicativo Web recebeu uma solicitação que continha um token de borda que ainda não é válido. |
Esse evento pode indicar um problema na configuração de data e hora. | Verifique se a infraestrutura de certificado é válida e se a hora e a data do Proxy de aplicativo Web e do AD FS estão sincronizadas. |
| 13030 O cliente apresentou um certificado SSL ao Proxy de Aplicativo Web, mas o provedor de confiança não confia na autoridade de certificação que emitiu o certificado do cliente. |
Esse evento pode indicar um problema na configuração de data e hora. | Verifique se a infraestrutura de certificado é válida e se a hora e a data do Proxy de aplicativo Web e do AD FS estão sincronizadas. Verifique se a impressão digital configurada para o Proxy de aplicativo Web é a correta. |
| 13031 O cliente apresentou um certificado SSL para o Proxy de Aplicativo Web, mas a cadeia de certificados terminou em um certificado raiz que não é confiável pelo provedor de confiança. |
Esse evento pode indicar um problema na configuração de data e hora. | Verifique se a infraestrutura de certificado é válida e se a hora e a data do Proxy de aplicativo Web e do AD FS estão sincronizadas. Verifique se a impressão digital configurada para o Proxy de aplicativo Web é a correta. |
| 13032 O cliente apresentou um certificado SSL ao Proxy de Aplicativo Web, mas o certificado não era válido para o uso solicitado. |
Esse evento pode indicar um problema na configuração de data e hora. | Verifique se a infraestrutura de certificado é válida e se a hora e a data do Proxy de aplicativo Web e do AD FS estão sincronizadas. Verifique se a impressão digital configurada para o Proxy de aplicativo Web é a correta. |
| 13033 O cliente apresentou um certificado SSL ao Proxy de Aplicativo Web, mas o certificado não estava dentro de seu período de validade ao verificar o relógio do sistema atual ou o carimbo de data/hora no arquivo assinado. |
Esse evento pode indicar um problema na configuração de data e hora. | Verifique se a infraestrutura de certificado é válida e se a hora e a data do Proxy de aplicativo Web e do AD FS estão sincronizadas. Verifique se a impressão digital configurada para o Proxy de aplicativo Web é a correta. |
| 13034 O cliente apresentou um certificado SSL ao Proxy de Aplicativo Web, mas o certificado não era válido. |
Esse evento pode indicar um problema na configuração de data e hora. | Verifique se a infraestrutura de certificado é válida e se a hora e a data do Proxy de aplicativo Web e do AD FS estão sincronizadas. Verifique se a impressão digital configurada para o Proxy de aplicativo Web é a correta. |
Os eventos de console de administrador a seguir são indicativos de problemas relacionados à configuração, como provisionamento, solicitações que não são bem-sucedidas, servidores de back-end inacessíveis e estouros de buffer.
| Evento ou sintoma | Causa possível | Resolução |
|---|---|---|
| 12019 O Proxy de Aplicativo Web não pôde criar um ouvinte para a URL a seguir. |
Uma possível causa para o evento é que outro serviço está escutando a mesma URL. | O administrador deve verificar se ninguém escuta ou associa as mesmas URLs. Para verificar isso, execute o comando: netsh http show urlacl. Se essa URL for usada por outro componente executando no computador Proxy de aplicativo Web, remova-a ou use uma URL diferente para publicar os aplicativos por meio do Proxy de aplicativo Web. |
| 12020 O Proxy de Aplicativo Web não pôde criar uma reserva para a URL a seguir. |
Uma possível causa para o evento é que outro serviço tem uma reserva na mesma URL. | O administrador deve verificar se ninguém associa as mesmas URLs. Para verificar isso, execute o comando: netsh http show urlacl. Se essa URL for usada por outro componente executando no computador Proxy de aplicativo Web, remova-a ou use uma URL diferente para publicar os aplicativos por meio do Proxy de aplicativo Web. |
| 12021 O Proxy de Aplicativo Web não pôde associar o certificado do servidor SSL. Todas as outras definições de configuração foram aplicadas. |
Não é possível criar e definir um registro de configuração de dados de certificado SSL. | Verifique se as impressões digitais do certificado configuradas para aplicativos do Proxy de aplicativo Web estão instaladas em todos os computadores do Proxy de aplicativo Web com uma chave privada no repositório de computadores local. |
| 13001 O certificado do servidor SSL apresentado ao Proxy de Aplicativo Web pelo servidor de back-end não é válido; o certificado não é confiável. |
Um ou mais erros foram encontrados no certificado SSL (protocolo SSL) enviado pelo servidor. Isso pode indicar que o servidor de back-end forneceu um SSL que não era válido ou que não há nenhuma confiança entre o Proxy de Aplicativo Web e o servidor de back-end. | Validar um certificado SSL do servidor de back-end. Verifique se o computador do Proxy de aplicativo Web está configurado com as ACs raiz certas para confiar no certificado do servidor de back-end. |
| 13006 | Quando o código de erro for 0x80072ee7, a falha foi causada pela incapacidade de resolver a URL do servidor de back-end. Outros códigos de erro são descritos na função WinHttpSendRequest (winhttp.h) | Verifique se a URL do servidor de back-end está correta e se o nome ela pode ser resolvido corretamente no computador do Proxy de aplicativo Web. |
| 13007 A resposta HTTP do servidor de back-end não foi recebida dentro do intervalo esperado. |
A solicitação do servidor de back-end atingiu o tempo limite, está lenta ou não está respondendo. | Verificar a configuração do servidor de back-end. Se estiver lento, verifique a conectividade com o servidor back-end e também considere alterar o cmdlet do parâmetro de configuração global do Proxy de Aplicativo Web para InactiveTransactionsTimeoutSec. |