Felsöka Programproxy
Den här artikeln är relevant för den lokala versionen av Web Programproxy. Information om hur du aktiverar säker åtkomst till lokala program via molnet finns i Microsoft Entra-Programproxy innehåll.
Gäller för: Windows Server 2022, Windows Server 2019, Windows Server 2016
Det här avsnittet innehåller felsökningsprocedurer för webb Programproxy inklusive händelseförklaringar och lösningar. Det finns tre platser där fel visas:
I administratörskonsolen för web Programproxy
Varje händelse-ID som anges i administratörskonsolen kan visas i Windows-Loggboken och motsvarande beskrivningar och lösningar finns nedan.
Öppna Loggboken och leta efter händelser relaterade till webb Programproxy under Program- och tjänstloggar>Microsoft>Windows>Web Programproxy> Admin.
Vid behov är detaljerade loggar tillgängliga genom att aktivera analys- och felsökningsloggar och aktivera webb-Programproxy-sessionsloggen som finns i Windows-Loggboken under \Microsoft\Windows\Web Programproxy\ Admin.
I PowerShell-fel
Händelser för problem som uppstår under konfigurationen visas i PowerShell.
Alla fel visas för PowerShell-användaren med vanliga PowerShell-felmeddelanden. Alla PowerShell-cmdletar loggas som händelser. Alla händelser som inträffar i PowerShell visas i Windows-Loggboken med ID-numret 12016 och definieras nedan i Avsnittet PowerShell.
I Best Practices Analyzer
Dessa händelser beskrivs i Best Practices Analyzer for Web Programproxy.
PowerShell-meddelanden
| Händelse eller symptom | Möjlig orsak | Åtgärd |
|---|---|---|
| Förtroendecertifikatet ("ADFS ProxyTrust – <WAP-datornamn>") är inte giltigt | Detta kan bero på något av följande: - Den Programproxy maskinen var nere för länge. |
Kontrollera att klockorna är synkroniserade. Kör cmdleten Install-WebApplicationProxy . |
| Konfigurationsdata hittades inte i AD FS | Det kan bero på att Web Programproxy inte har installerats helt än eller på grund av ändringar i AD FS-databasen eller skadade databasen. | Kör cmdleten Install-WebApplicationProxy |
| Ett fel uppstod när Web Programproxy försökte läsa konfigurationen från AD FS. | Detta kan tyda på att AD FS inte kan nås eller att AD FS påträffade ett internt problem med att försöka läsa konfigurationen från AD FS-databasen. | Kontrollera att AD FS kan nås och fungerar korrekt. |
| Konfigurationsdata som lagras i AD FS är skadade eller webb Programproxy inte kunde parsa dem. ELLER Web Programproxy kunde inte hämta listan över förlitande parter från AD FS. |
Detta kan inträffa om konfigurationsdata har ändrats i AD FS. | Starta om tjänsten Web Programproxy. Om problemet kvarstår kör du cmdleten Install-WebApplicationProxy . |
Händelser i administratörskonsolen
Följande administratörskonsolhändelser tyder på autentiseringsfel, ogiltiga token eller förfallna cookies.
| Händelse eller symptom | Möjlig orsak | Åtgärd |
|---|---|---|
| 11005 Web Programproxy kunde inte skapa krypteringsnyckeln för cookies med hjälp av hemligheten från konfigurationen. |
Den globala konfigurationsparametern AccessCookiesEncryptionKey ändrades av PowerShell-cmdleten: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
Ingen åtgärd krävs. Den problematiska cookien togs bort och användaren omdirigerades till STS för autentisering. |
| 12000 Webb Programproxy kunde inte söka efter konfigurationsändringar på minst 60 minuter |
Web Programproxy kan inte komma åt webbkonfigurationen Programproxy med hjälp av cmdleten Get-WebApplicationProxyConfiguration/Application. Detta orsakas av bristande anslutning till AD FS eller behovet av att förnya förtroendet med AD FS. |
Kontrollera anslutningen med AD FS. Du kan göra detta med hjälp av länken https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Kontrollera att det finns förtroende mellan AD FS och web-Programproxy. Om de här lösningarna inte fungerar kör du cmdleten Install-WebApplicationProxy . |
| 12003 Webb-Programproxy kunde inte parsa åtkomstcookien. |
Detta kan tyda på att webb-Programproxy och AD FS inte är anslutna eller att de inte får samma konfiguration. | Kontrollera anslutningen med AD FS. Du kan göra detta med hjälp av länken https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Kontrollera att det finns förtroende mellan AD FS och web-Programproxy. Om de här lösningarna inte fungerar kör du cmdleten Install-WebApplicationProxy . |
| 12004 Web Programproxy tog emot en begäran med en cookie för icke-valid åtkomst. |
Den här händelsen kan tyda på att webb-Programproxy och AD FS inte är anslutna eller att de inte får samma konfiguration. Om du körde parametern |
Kontrollera anslutningen med AD FS. Du kan göra detta med hjälp av länken https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Kontrollera att det finns förtroende mellan AD FS och web-Programproxy. Om de här lösningarna inte fungerar kör du cmdleten Install-WebApplicationProxy . |
| 12008 Webb Programproxy överskridit det maximala antalet tillåtna Kerberos-autentiseringsförsök till serverdelsservern. |
Den här händelsen kan tyda på felaktig konfiguration mellan webbaserade Programproxy och serverdelsprogramservern, eller ett problem med tids- och datumkonfigurationen på båda datorerna. | Serverdelsservern avböjde Kerberos-biljetten som skapats av Web Programproxy. Kontrollera att konfigurationen av webb-Programproxy och serverdelsprogramservern är korrekt konfigurerade. Kontrollera att tids- och datumkonfigurationen på webb-Programproxy och serverdelsprogramservern är synkroniserade. |
| 12011 Web Programproxy tog emot en begäran med en cookiesignatur för icke-giltig åtkomst. |
Den här händelsen kan tyda på att webb-Programproxy och AD FS inte är anslutna eller att de inte får samma konfiguration. Om du körde parametern AccessCookiesEncryptionKey ändrades av Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey PowerShell-cmdleten är den här händelsen normal och kräver inga lösningssteg. |
Kontrollera anslutningen med AD FS. Du kan göra detta med hjälp av länken https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Kontrollera att det finns förtroende mellan AD FS och web-Programproxy. Om de här lösningarna inte fungerar kör du cmdleten Install-WebApplicationProxy . |
| 12027 Proxyn påträffade ett oväntat fel när begäran bearbetas. Det angivna namnet är inte ett korrekt format kontonamn. |
Den här händelsen kan tyda på felaktig konfiguration mellan webbaserade Programproxy och domänkontrollantservern, eller ett problem med tids- och datumkonfigurationen på båda datorerna. | Domänkontrollanten avböjde Kerberos-biljetten som skapats av Web Programproxy. Kontrollera att konfigurationen av webb-Programproxy och serverdelsprogramservern är korrekt konfigurerade, särskilt SPN-konfigurationen. Kontrollera att webb-Programproxy är domänansluten till samma domän som domänkontrollanten för att säkerställa att domänkontrollanten upprättar förtroende med Web Programproxy. Kontrollera att tids- och datumkonfigurationen på webb-Programproxy och domänkontrollanten är synkroniserade. |
| 13012 Web Programproxy tog emot en signatur för en icke-valid kanttoken |
Kontrollera att du har uppdaterat Web Programproxy med Web Programproxy inte kan identifiera det uppdaterade certifikatet när det uppdateras automatiskt på Windows Server 2012 R2. | |
| 13013 Web Programproxy tog emot en begäran som innehöll en förfallen gränstoken. |
Web Programproxy och AD FS har inte synkroniserade klockor. | Synkronisera klockorna mellan Web Programproxy och AD FS. |
| 13014 Web Programproxy tog emot en begäran med en icke-valid edge-token. Token är inte giltig eftersom den inte kunde parsas. |
Detta kan tyda på ett problem med AD FS-konfigurationen. | Kontrollera AD FS-konfigurationen och återställ standardkonfigurationen om det behövs. |
| 13015 Web Programproxy fått en begäran med en cookie för utgången åtkomst. |
Detta kan tyda på klockor som inte synkroniseras. | Om du arbetar med ett kluster med web-Programproxy datorer kontrollerar du att tid och datum för datorerna är synkroniserade. |
| 13016 Web Programproxy kan inte hämta en Kerberos-biljett för användarens räkning eftersom det inte finns något UPN i kanttoken eller i åtkomstcookien. |
Det är problem med STS-konfigurationen. | Åtgärda UPN-anspråkskonfigurationen i STS. |
| 13019 Web Programproxy kan inte hämta en Kerberos-biljett för användarens räkning på grund av följande allmänna API-fel |
Den här händelsen kan tyda på felaktig konfiguration mellan webbaserade Programproxy och domänkontrollantservern, eller ett problem med tids- och datumkonfigurationen på båda datorerna. | Domänkontrollanten avböjde Kerberos-biljetten som skapats av Web Programproxy. Kontrollera att konfigurationen av webb-Programproxy och serverdelsprogramservern är korrekt konfigurerade, särskilt SPN-konfigurationen. Kontrollera att webb-Programproxy är domänansluten till samma domän som domänkontrollanten för att säkerställa att domänkontrollanten upprättar förtroende med Web Programproxy. Kontrollera att tids- och datumkonfigurationen på webb-Programproxy och domänkontrollanten är synkroniserade. |
| 13020 Web Programproxy kan inte hämta en Kerberos-biljett för användarens räkning eftersom serverdelsserverns SPN inte har definierats. |
Den här händelsen kan tyda på felaktig konfiguration mellan webbaserade Programproxy och domänkontrollantservern, eller ett problem med tids- och datumkonfigurationen på båda datorerna. | Domänkontrollanten avböjde Kerberos-biljetten som skapats av Web Programproxy. Kontrollera att konfigurationen av webb-Programproxy och serverdelsprogramservern är korrekt konfigurerade, särskilt SPN-konfigurationen. Kontrollera att webb-Programproxy är domänansluten till samma domän som domänkontrollanten för att säkerställa att domänkontrollanten upprättar förtroende med Web Programproxy. Kontrollera att tids- och datumkonfigurationen på webb-Programproxy och domänkontrollanten är synkroniserade. |
| 13022 Webb Programproxy kan inte autentisera användaren eftersom serverdelsservern svarar på Kerberos-autentiseringsförsök med ett HTTP 401-fel. |
Den här händelsen kan tyda på felaktig konfiguration mellan webbaserade Programproxy och serverdelsprogramservern, eller ett problem med tids- och datumkonfigurationen på båda datorerna. | Serverdelsservern avböjde Kerberos-biljetten som skapats av Web Programproxy. Kontrollera att konfigurationen av webb-Programproxy och serverdelsprogramservern är korrekt konfigurerade. Kontrollera att tids- och datumkonfigurationen på webb-Programproxy och serverdelsprogramservern är synkroniserade. |
| 13025 Klienten har inte uppvisat något SSL-certifikat för Web Programproxy. |
Den här händelsen kan tyda på ett problem i tids- och datumkonfigurationen. | Kontrollera att certifikatinfrastrukturen är giltig och att tid och datum för webb-Programproxy och AD FS synkroniseras. Kontrollera att tumavtrycket som konfigurerats för web-Programproxy är rätt. |
| 13026 Klienten presenterade ett SSL-certifikat för Web Programproxy, men certifikatet är inte giltigt: certifikatet matchar inte tumavtrycket. |
Den här händelsen kan tyda på ett problem i tids- och datumkonfigurationen. | Kontrollera att certifikatinfrastrukturen är giltig och att tid och datum för webb-Programproxy och AD FS synkroniseras. Kontrollera att tumavtrycket som konfigurerats för web-Programproxy är rätt. |
| 13028 Web Programproxy tog emot en begäran som innehöll en kanttoken som ännu inte är giltig. |
Den här händelsen kan tyda på ett problem i tids- och datumkonfigurationen. | Kontrollera att certifikatinfrastrukturen är giltig och att tid och datum för webb-Programproxy och AD FS synkroniseras. |
| 13030 Klienten presenterade ett SSL-certifikat för Web Programproxy, men förtroendeprovidern litar inte på certifikatutfärdare som utfärdade klientcertifikatet. |
Den här händelsen kan tyda på ett problem i tids- och datumkonfigurationen. | Kontrollera att certifikatinfrastrukturen är giltig och att tid och datum för webb-Programproxy och AD FS synkroniseras. Kontrollera att tumavtrycket som konfigurerats för web-Programproxy är rätt. |
| 13031 Klienten presenterade ett SSL-certifikat för Web Programproxy, men certifikatkedjan avslutades i ett rotcertifikat som inte är betrott av förtroendeprovidern. |
Den här händelsen kan tyda på ett problem i tids- och datumkonfigurationen. | Kontrollera att certifikatinfrastrukturen är giltig och att tid och datum för webb-Programproxy och AD FS synkroniseras. Kontrollera att tumavtrycket som konfigurerats för web-Programproxy är rätt. |
| 13032 Klienten presenterade ett SSL-certifikat för Web Programproxy, men certifikatet var inte giltigt för den begärda användningen. |
Den här händelsen kan tyda på ett problem i tids- och datumkonfigurationen. | Kontrollera att certifikatinfrastrukturen är giltig och att tid och datum för webb-Programproxy och AD FS synkroniseras. Kontrollera att tumavtrycket som konfigurerats för web-Programproxy är rätt. |
| 13033 Klienten presenterade ett SSL-certifikat för Web Programproxy, men certifikatet var inte inom dess giltighetsperiod när det verifierades mot den aktuella systemklockan eller tidsstämpeln i den signerade filen. |
Den här händelsen kan tyda på ett problem i tids- och datumkonfigurationen. | Kontrollera att certifikatinfrastrukturen är giltig och att tid och datum för webb-Programproxy och AD FS synkroniseras. Kontrollera att tumavtrycket som konfigurerats för web-Programproxy är rätt. |
| 13034 Klienten presenterade ett SSL-certifikat för Web Programproxy, men certifikatet var inte giltigt. |
Den här händelsen kan tyda på ett problem i tids- och datumkonfigurationen. | Kontrollera att certifikatinfrastrukturen är giltig och att tid och datum för webb-Programproxy och AD FS synkroniseras. Kontrollera att tumavtrycket som konfigurerats för web-Programproxy är rätt. |
Följande administratörskonsolhändelser tyder på problem som har att göra med konfiguration, till exempel etablering, begäranden som inte lyckas, serverdelsservrar som inte kan nås och buffertspill.
| Händelse eller symptom | Möjlig orsak | Åtgärd |
|---|---|---|
| 12019 Webb Programproxy kunde inte skapa en lyssnare för följande URL. |
En möjlig orsak till händelsen är att en annan tjänst lyssnar på samma URL. | Administratören måste se till att ingen lyssnar eller binder till samma URL:er. Kontrollera detta genom att köra kommandot: netsh http show urlacl. Om den här URL:en används av en annan komponent som körs på Programproxy-datorn kan du antingen ta bort den eller använda en annan URL för att publicera programmen via webbaserade Programproxy. |
| 12020 Webb Programproxy kunde inte skapa en reservation för följande URL. |
En möjlig orsak till händelsen är att en annan tjänst har en reservation på samma URL. | Administratören måste se till att ingen binder till samma URL:er. Kontrollera detta genom att köra kommandot: netsh http show urlacl. Om den här URL:en används av en annan komponent som körs på Programproxy-datorn kan du antingen ta bort den eller använda en annan URL för att publicera programmen via webbaserade Programproxy. |
| 12021 Webb-Programproxy kunde inte binda SSL-servercertifikatet. Alla andra konfigurationsinställningar tillämpades. |
Det går inte att skapa och ange en konfigurationspost för SSL-certifikatdata. | Kontrollera att certifikatets tumavtryck som har konfigurerats för webbaserade Programproxy program är installerade på alla Programproxy datorer med en privat nyckel i det lokala datorarkivet. |
| 13001 SSL-servercertifikatet som visas för webb Programproxy av serverdelsservern är inte giltigt. Certifikatet är inte betrott. |
Ett eller flera fel hittades i SSL-certifikatet (Secure Sockets Layer) som skickades av servern. Detta kan tyda på att serverdelsservern tillhandahöll en SSL som inte var giltig eller att det inte finns något förtroende mellan webb-Programproxy och serverdelsservern. | Verifiera ett SSL-certifikat för serverdelsservern. Kontrollera att web Programproxy-datorn har konfigurerats med rätt rotcertifikatutfärdare för att lita på serverdelsservercertifikatet. |
| 13006 | När felkoden är 0x80072ee7 orsakas felet av att serverserverns URL inte kan matchas. Andra felkoder beskrivs i funktionen WinHttpSendRequest (winhttp.h) | Kontrollera att serverdelsserverns URL är korrekt och att dess namn kan matchas korrekt från Programproxy-datorn. |
| 13007 HTTP-svaret från serverdelsservern togs inte emot inom det förväntade intervallet. |
Tidsgränsen för serverdelsserverns begäran är långsam eller svarar inte. | Kontrollera serverdelsserverkonfigurationen. Om det går långsamt kontrollerar du anslutningen till serverdelsservern och överväger även att ändra cmdleten Web Programproxy global konfigurationsparameter för InactiveTransactionsTimeoutSec. |