Устранение неполадок прокси веб-приложения
Эта статья относится к локальной версии прокси веб-приложения. Чтобы обеспечить безопасный доступ к локальным приложениям по всему облаку, см . содержимое прокси приложения Microsoft Entra.
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этом разделе приведены процедуры устранения неполадок для прокси-сервера веб-приложения, включая объяснения событий и решения. В трех местах отображаются ошибки:
В консоли администрирования прокси-сервера веб-приложения
Каждый идентификатор события, указанный в консоли администрирования, можно просмотреть в Просмотр событий Windows, а соответствующие описания и решения приведены ниже.
Откройте Просмотр событий и найдите события, связанные с прокси-сервером веб-приложения в разделе "Приложения и службы" администратор>прокси> веб-приложения Microsoft>Windows.>
При необходимости подробные журналы доступны, включив аналитику и отладку журналов и включив журнал сеансов прокси веб-приложения, найденный в Просмотр событий Windows в разделе \\Microsoft Windows\Web Application Proxy\Admin.
В ошибках PowerShell
События, возникающие во время настройки, отображаются в PowerShell.
Все ошибки отображаются пользователю PowerShell с помощью стандартных запросов ошибок PowerShell. Все командлеты PowerShell регистрируются как события. Все события, происходящие в PowerShell, перечислены в Просмотр событий Windows с идентификатором 12016 и определены ниже в разделе PowerShell.
В анализаторе рекомендаций
Эти события описаны в анализаторе рекомендаций для прокси веб-приложения.
Сообщения PowerShell
| Событие или симптом | Возможная причина | Решение |
|---|---|---|
| Сертификат доверия ("ADFS ProxyTrust — <имя> компьютера WAP") недействителен | Это может быть вызвано следующим: — Компьютер прокси приложения был слишком длинным. |
Убедитесь, что часы синхронизированы. Запустите командлет Install-WebApplicationProxy. |
| Данные конфигурации не найдены в AD FS | Это может быть связано с тем, что прокси-сервер веб-приложения еще не установлен или из-за изменений в базе данных AD FS или повреждения базы данных. | Запуск командлета Install-WebApplicationProxy |
| Произошла ошибка, когда прокси-сервер веб-приложения пытался считывать конфигурацию из AD FS. | Это может указывать на то, что AD FS недоступен или что AD FS столкнулась с внутренней проблемой, пытающейся считывать конфигурацию из базы данных AD FS. | Убедитесь, что AD FS доступен и работает правильно. |
| Данные конфигурации, хранящиеся в AD FS, повреждены или прокси-сервер веб-приложения не смог проанализировать его. ИЛИ Прокси веб-приложения не удалось получить список проверяющих сторон из AD FS. |
Это может произойти, если данные конфигурации были изменены в AD FS. | Перезапустите службу прокси веб-приложения. Если проблема сохранится, запустите Install-WebApplicationProxy командлет. |
События консоли администрирования
Следующие события консоли администрирования указывают на ошибки проверки подлинности, недопустимые маркеры или файлы cookie с истекшим сроком действия.
| Событие или симптом | Возможная причина | Решение |
|---|---|---|
| 11005 Прокси веб-приложения не удалось создать ключ шифрования файлов cookie с помощью секрета из конфигурации. |
Глобальный параметр конфигурации AccessCookiesEncryptionKey был изменен командлетом PowerShell: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
Предпринимать какие-либо действия не требуется. Проблематичный файл cookie был удален, и пользователь был перенаправлен на stS для проверки подлинности. |
| 12 000 Прокси веб-приложения не удалось проверить наличие изменений конфигурации по крайней мере на 60 минут |
Прокси веб-приложения не может получить доступ к конфигурации прокси-сервера веб-приложения с помощью командлета Get-WebApplicationProxyConfiguration/Application. Это вызвано отсутствием подключения к AD FS или необходимостью продления доверия с AD FS. |
Проверьте подключение с помощью AD FS. Это можно сделать с помощью ссылки https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Убедитесь, что между AD FS и прокси-сервером веб-приложения установлено доверие. Если эти решения не работают, запустите Install-WebApplicationProxy командлет. |
| 12003 Прокси веб-приложения не удалось проанализировать файл cookie доступа. |
Это может указывать на то, что прокси веб-приложения и AD FS не подключены или что они не получают ту же конфигурацию. | Проверьте подключение с помощью AD FS. Это можно сделать с помощью ссылки https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Убедитесь, что между AD FS и прокси-сервером веб-приложения установлено доверие. Если эти решения не работают, запустите Install-WebApplicationProxy командлет. |
| 12004 Прокси-сервер веб-приложения получил запрос с файлом cookie невалидного доступа. |
Это событие может указывать на то, что прокси веб-приложения и AD FS не подключены или что они не получают ту же конфигурацию. Если параметр |
Проверьте подключение с помощью AD FS. Это можно сделать с помощью ссылки https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Убедитесь, что между AD FS и прокси-сервером веб-приложения установлено доверие. Если эти решения не работают, запустите Install-WebApplicationProxy командлет. |
| 12008 Прокси-сервер веб-приложения превысил максимально допустимое количество разрешенных попыток проверки подлинности Kerberos на серверной части. |
Это событие может указывать на неправильную конфигурацию между прокси-сервером веб-приложения и сервером внутренних приложений, а также проблема во времени и конфигурации даты на обоих компьютерах. | Сервер сервер отказался от билета Kerberos, созданного прокси-сервером веб-приложения. Убедитесь, что конфигурация прокси веб-приложения и сервер серверного приложения настроены правильно. Убедитесь, что конфигурация времени и даты на прокси-сервере веб-приложения и сервере серверного приложения синхронизируются. |
| 12011 Прокси веб-приложения получил запрос с недействительной подписью файла cookie доступа. |
Это событие может указывать на то, что прокси веб-приложения и AD FS не подключены или что они не получают ту же конфигурацию. Если параметр AccessCookiesEncryptionKey был изменен командлетом Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey PowerShell, это событие нормально и не требует действий по разрешению. |
Проверьте подключение с помощью AD FS. Это можно сделать с помощью ссылки https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Убедитесь, что между AD FS и прокси-сервером веб-приложения установлено доверие. Если эти решения не работают, запустите Install-WebApplicationProxy командлет. |
| 12027 Прокси-сервер столкнулся с неожиданной ошибкой при обработке запроса. Предоставленное имя не является правильным именем учетной записи. |
Это событие может указывать на неправильную конфигурацию между прокси-сервером веб-приложения и сервером контроллера домена или проблемой во времени и конфигурации даты на обоих компьютерах. | Контроллер домена отказался от билета Kerberos, созданного прокси-сервером веб-приложения. Убедитесь, что конфигурация прокси веб-приложения и сервер серверного приложения настроены правильно, особенно конфигурация субъекта-службы. Убедитесь, что прокси-сервер веб-приложения присоединен к тому же домену, что и контроллер домена, чтобы убедиться, что контроллер домена устанавливает доверие с прокси веб-приложениями. Убедитесь, что конфигурация времени и даты на прокси-сервере веб-приложения и контроллере домена синхронизируются. |
| 13012 Прокси веб-приложения получил сигнатуру маркера, не назначаемого пограничным маркером |
Убедитесь, что обновленный прокси-сервер веб-приложения с помощью прокси веб-приложения не может обнаружить обновленный сертификат после автоматического обновления в Windows Server 2012 R2. | |
| 13013 Прокси веб-приложения получил запрос, содержащий истекший срок действия пограничного маркера. |
Прокси веб-приложения и AD FS не синхронизированы часы. | Синхронизация часов между прокси-сервером веб-приложения и AD FS. |
| 13014 Прокси-сервер веб-приложения получил запрос с маркером, невредимным пограничным маркером. Маркер недействителен, так как его не удалось проанализировать. |
Это может указывать на проблему с конфигурацией AD FS. | Проверьте конфигурацию AD FS и при необходимости восстановите конфигурацию по умолчанию. |
| 13015 Прокси веб-приложения получил запрос с файлом cookie с истекшим сроком действия. |
Это может указывать на часы, которые не синхронизированы. | Если вы работаете с кластером компьютеров прокси веб-приложения, убедитесь, что время и дата компьютеров синхронизированы. |
| 13016 Прокси веб-приложения не может получить билет Kerberos от имени пользователя, так как в маркере edge или в файле cookie доступа нет имени участника-пользователя. |
Возникла проблема с конфигурацией STS. | Исправьте конфигурацию утверждения UPN в службе маркеров безопасности. |
| 13019 Прокси веб-приложения не может получить билет Kerberos от имени пользователя из-за следующей общей ошибки API |
Это событие может указывать на неправильную конфигурацию между прокси-сервером веб-приложения и сервером контроллера домена или проблемой во времени и конфигурации даты на обоих компьютерах. | Контроллер домена отказался от билета Kerberos, созданного прокси-сервером веб-приложения. Убедитесь, что конфигурация прокси веб-приложения и сервер серверного приложения настроены правильно, особенно конфигурация субъекта-службы. Убедитесь, что прокси-сервер веб-приложения присоединен к тому же домену, что и контроллер домена, чтобы убедиться, что контроллер домена устанавливает доверие с прокси веб-приложениями. Убедитесь, что конфигурация времени и даты на прокси-сервере веб-приложения и контроллере домена синхронизируются. |
| 13020 Прокси веб-приложения не может получить билет Kerberos от имени пользователя, так как серверный сервер не определен. |
Это событие может указывать на неправильную конфигурацию между прокси-сервером веб-приложения и сервером контроллера домена или проблемой во времени и конфигурации даты на обоих компьютерах. | Контроллер домена отказался от билета Kerberos, созданного прокси-сервером веб-приложения. Убедитесь, что конфигурация прокси веб-приложения и сервер серверного приложения настроены правильно, особенно конфигурация субъекта-службы. Убедитесь, что прокси-сервер веб-приложения присоединен к тому же домену, что и контроллер домена, чтобы убедиться, что контроллер домена устанавливает доверие с прокси веб-приложениями. Убедитесь, что конфигурация времени и даты на прокси-сервере веб-приложения и контроллере домена синхронизируются. |
| 13022 Прокси веб-приложения не может пройти проверку подлинности пользователя, так как сервер сервер отвечает на попытки проверки подлинности Kerberos с ошибкой HTTP 401. |
Это событие может указывать на неправильную конфигурацию между прокси-сервером веб-приложения и сервером внутренних приложений, а также проблема во времени и конфигурации даты на обоих компьютерах. | Сервер сервер отказался от билета Kerberos, созданного прокси-сервером веб-приложения. Убедитесь, что конфигурация прокси веб-приложения и сервер серверного приложения настроены правильно. Убедитесь, что конфигурация времени и даты на прокси-сервере веб-приложения и сервере серверного приложения синхронизируются. |
| 13025 Клиент не присутствовал на SSL-сертификате прокси веб-приложения. |
Это событие может указывать на проблему во времени и конфигурации даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата прокси-сервера веб-приложения и AD FS синхронизируются. Убедитесь, что отпечаток, настроенный для прокси веб-приложения, является правильным. |
| 13026 Клиент представил SSL-сертификат в прокси веб-приложения, но сертификат недействителен: сертификат не соответствует отпечатку. |
Это событие может указывать на проблему во времени и конфигурации даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата прокси-сервера веб-приложения и AD FS синхронизируются. Убедитесь, что отпечаток, настроенный для прокси веб-приложения, является правильным. |
| 13028 Прокси веб-приложения получил запрос, содержащий маркер edge, который еще не действителен. |
Это событие может указывать на проблему во времени и конфигурации даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата прокси-сервера веб-приложения и AD FS синхронизируются. |
| 13030 Клиент представил SSL-сертификат прокси веб-приложения, но поставщик доверия не доверяет центру сертификации, выдаваемого сертификатом клиента. |
Это событие может указывать на проблему во времени и конфигурации даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата прокси-сервера веб-приложения и AD FS синхронизируются. Убедитесь, что отпечаток, настроенный для прокси веб-приложения, является правильным. |
| 13031 Клиент представил SSL-сертификат прокси веб-приложения, но цепочка сертификатов завершается в корневом сертификате, который не является доверенным поставщиком доверия. |
Это событие может указывать на проблему во времени и конфигурации даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата прокси-сервера веб-приложения и AD FS синхронизируются. Убедитесь, что отпечаток, настроенный для прокси веб-приложения, является правильным. |
| 13032 Клиент представил SSL-сертификат прокси веб-приложения, но сертификат не был допустимым для запрошенного использования. |
Это событие может указывать на проблему во времени и конфигурации даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата прокси-сервера веб-приложения и AD FS синхронизируются. Убедитесь, что отпечаток, настроенный для прокси веб-приложения, является правильным. |
| 13033 Клиент представил SSL-сертификат прокси веб-приложения, но сертификат не был в течение срока действия при проверке текущих системных часов или метки времени в подписанном файле. |
Это событие может указывать на проблему во времени и конфигурации даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата прокси-сервера веб-приложения и AD FS синхронизируются. Убедитесь, что отпечаток, настроенный для прокси веб-приложения, является правильным. |
| 13034 Клиент представил SSL-сертификат прокси веб-приложения, но сертификат недействителен. |
Это событие может указывать на проблему во времени и конфигурации даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата прокси-сервера веб-приложения и AD FS синхронизируются. Убедитесь, что отпечаток, настроенный для прокси веб-приложения, является правильным. |
Следующие события консоли администрирования свидетельствуют о проблемах, связанных с конфигурацией, такой как подготовка, запросы, которые не являются успешными, серверными серверами, которые недоступны и переполнения буферов.
| Событие или симптом | Возможная причина | Решение |
|---|---|---|
| 12019 Прокси веб-приложения не удалось создать прослушиватель для следующего URL-адреса. |
Возможно, причиной события является то, что другая служба прослушивает тот же URL-адрес. | Администратор должен убедиться, что никто не прослушивает или не привязывается к тем же URL-адресам. Чтобы проверить это, выполните команду: netsh http show urlacl Если этот URL-адрес используется другим компонентом, работающим на компьютере прокси веб-приложения, удалите его или используйте другой URL-адрес для публикации приложений через прокси веб-приложения. |
| 12020 Прокси веб-приложения не удалось создать резервирование для следующего URL-адреса. |
Возможно, причиной события является то, что у другой службы есть резервирование по одному URL-адресу. | Администратор должен убедиться, что никто не привязывается к тем же URL-адресам. Чтобы проверить это, выполните команду: netsh http show urlacl Если этот URL-адрес используется другим компонентом, работающим на компьютере прокси веб-приложения, удалите его или используйте другой URL-адрес для публикации приложений через прокси веб-приложения. |
| 12021 Прокси-сервер веб-приложения не мог привязать сертификат SSL-сервера. Применены все остальные параметры конфигурации. |
Не удалось создать и задать запись конфигурации данных SSL-сертификата. | Убедитесь, что отпечатки сертификата, настроенные для приложений прокси веб-приложения, устанавливаются на всех компьютерах прокси веб-приложения с закрытым ключом в локальном хранилище компьютеров. |
| 13001 Сертификат SSL-сервера, представленный прокси-сервером веб-приложения сервером, недействителен; Сертификат не является доверенным. |
Одна или несколько ошибок были обнаружены в SSL-сертификате, отправленном сервером. Это может указывать на то, что внутренний сервер предоставил ssl, который не был допустимым или что между прокси-сервером веб-приложения и сервером серверной части нет доверия. | Проверьте SSL-сертификат внутреннего сервера. Убедитесь, что компьютер прокси веб-приложения настроен с правильным корневым ЦС для доверия к сертификату внутреннего сервера. |
| 13006 | Если код ошибки 0x80072ee7, ошибка возникает из-за невозможности разрешения URL-адреса внутреннего сервера. Другие коды ошибок описаны в функции WinHttpSendRequest (winhttp.h) | Проверьте правильность URL-адреса серверного сервера и правильность разрешения его имени с компьютера прокси-сервера веб-приложения. |
| 13007 Http-ответ от внутреннего сервера не был получен в течение ожидаемого интервала. |
Время ожидания запроса серверного сервера истекло или не отвечает. | Проверьте конфигурацию внутреннего сервера. Если это медленно, проверьте подключение к внутреннему серверу, а также рассмотрите возможность изменения командлета глобального параметра конфигурации прокси веб-приложения для InactiveTransactionsTimeoutSec. |