Résoudre les problèmes de Proxy d'application web
Cet article s’applique à la version locale de Web Proxy d'application. Pour activer l’accès sécurisé aux applications locales sur le cloud, consultez le contenu Microsoft Entra Proxy d'application.
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Cette section fournit des procédures de résolution des problèmes pour les Proxy d'application web, notamment des explications et des solutions d’événements. Les erreurs sont affichées à trois endroits :
Dans la console Administrateur web Proxy d'application
Chaque ID d’événement répertorié dans la console administrateur peut être affiché dans le observateur d'événements Windows et les descriptions et solutions correspondantes sont disponibles ci-dessous.
Ouvrez observateur d'événements et recherchez les événements liés aux Proxy d'application web sous Journaux >des applications et des servicesMicrosoft>Windows>Web Proxy d'application> Administration.
Si nécessaire, des journaux détaillés sont disponibles en activant les journaux d’analyse et de débogage et en activant le journal de session web Proxy d'application, qui se trouve dans le observateur d'événements Windows sous \Microsoft\Windows\Web Proxy d'application\Administration.
Erreurs dans PowerShell
Les événements pour les problèmes rencontrés pendant la configuration sont affichés dans PowerShell.
Toutes les erreurs sont présentées à l’utilisateur PowerShell à l’aide des invites d’erreur PowerShell standard. Toutes les applets de commande PowerShell sont enregistrées en tant qu’événements. Tous les événements qui se produisent dans PowerShell sont répertoriés dans le observateur d'événements Windows avec le numéro d’identification 12016 et sont définis ci-dessous dans la section PowerShell.
Dans Best Practices Analyzer
Ces événements sont décrits dans Best Practices Analyzer for Web Proxy d'application.
Messages PowerShell
| Événement ou symptôme | Cause possible | Résolution |
|---|---|---|
| Le certificat d’approbation (« ADFS ProxyTrust - <nom> de la machine WAP ») n’est pas valide | Cela peut être dû à l’une des causes suivantes : - La machine Proxy d'application a été en panne pendant trop longtemps. |
Assurez-vous que les horloges sont synchronisées. Exécutez l’applet de Install-WebApplicationProxy commande . |
| Les données de configuration sont introuvables dans AD FS | Cela peut être dû au fait que web Proxy d'application n’a pas encore été entièrement installé, ou en raison de modifications apportées à la base de données AD FS ou d’une altération de la base de données. | Exécuter l’applet de Install-WebApplicationProxy commande |
| Une erreur s’est produite lorsque web Proxy d'application essayé de lire la configuration à partir d’AD FS. | Cela peut indiquer qu’AD FS n’est pas accessible ou qu’AD FS a rencontré un problème interne lors de la tentative de lecture de la configuration à partir de la base de données AD FS. | Vérifiez qu’AD FS est accessible et fonctionne correctement. |
| Les données de configuration stockées dans AD FS sont endommagées ou web Proxy d'application n’a pas pu les analyser. OR Web Proxy d'application n’a pas pu récupérer la liste des parties de confiance à partir d’AD FS. |
Cela peut se produire si les données de configuration ont été modifiées dans AD FS. | Redémarrez le service web Proxy d'application. Si le problème persiste, exécutez l’applet de Install-WebApplicationProxy commande . |
Événements de la console Administrateur
Les événements de la console Administrateur suivants indiquent des erreurs d’authentification, des jetons non valides ou des cookies arrivés à expiration.
| Événement ou symptôme | Cause possible | Résolution |
|---|---|---|
| 11005 Web Proxy d'application n’a pas pu créer la clé de chiffrement de cookie à l’aide du secret de la configuration. |
Le paramètre de configuration AccessCookiesEncryptionKey globale a été modifié par l’applet de commande PowerShell : Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
Aucune action n’est requise. Le cookie problématique a été supprimé et l’utilisateur a été redirigé vers STS pour l’authentification. |
| 12000 Le Proxy d'application web n’a pas pu case activée pour les modifications de configuration pendant au moins 60 minutes |
Les Proxy d'application web ne peuvent pas accéder à la configuration du Proxy d'application Web à l’aide de l’applet de commande Get-WebApplicationProxyConfiguration/Application. Cela est dû à un manque de connectivité avec AD FS ou à la nécessité de renouveler la confiance avec AD FS. |
Vérifiez la connectivité avec AD FS. Pour ce faire, utilisez le lien https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Assurez-vous qu’une relation de confiance est établie entre AD FS et le Proxy d'application web. Si ces solutions ne fonctionnent pas, exécutez l’applet de Install-WebApplicationProxy commande . |
| 12003 Web Proxy d'application n’a pas pu analyser le cookie d’accès. |
Cela peut indiquer que les Proxy d'application web et AD FS ne sont pas connectés ou qu’ils ne reçoivent pas la même configuration. | Vérifiez la connectivité avec AD FS. Pour ce faire, utilisez le lien https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Assurez-vous qu’une relation de confiance est établie entre AD FS et le Proxy d'application web. Si ces solutions ne fonctionnent pas, exécutez l’applet de Install-WebApplicationProxy commande . |
| 12004 Web Proxy d'application reçu une requête avec un cookie d’accès non validé. |
Cet événement peut indiquer que les Proxy d'application web et AD FS ne sont pas connectés ou qu’ils ne reçoivent pas la même configuration. Si vous avez exécuté le |
Vérifiez la connectivité avec AD FS. Pour ce faire, utilisez le lien https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Assurez-vous qu’une relation de confiance est établie entre AD FS et le Proxy d'application web. Si ces solutions ne fonctionnent pas, exécutez l’applet de Install-WebApplicationProxy commande . |
| 12008 Les Proxy d'application web ont dépassé le nombre maximal de tentatives d’authentification Kerberos autorisées sur le serveur principal. |
Cet événement peut indiquer une configuration incorrecte entre web Proxy d'application et le serveur d’applications back-end, ou un problème de configuration de l’heure et de la date sur les deux ordinateurs. | Le serveur principal a refusé le ticket Kerberos créé par web Proxy d'application. Vérifiez que la configuration du Proxy d'application web et du serveur d’applications back-end est correctement configurée. Assurez-vous que la configuration de l’heure et de la date sur le Proxy d'application web et le serveur d’applications back-end sont synchronisées. |
| 12011 Web Proxy d'application reçu une demande avec une signature de cookie d’accès non valide. |
Cet événement peut indiquer que les Proxy d'application web et AD FS ne sont pas connectés ou qu’ils ne reçoivent pas la même configuration. Si vous avez exécuté le AccessCookiesEncryptionKey paramètre a été modifié par Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey l’applet de commande PowerShell, cet événement est normal et ne nécessite aucune étape de résolution. |
Vérifiez la connectivité avec AD FS. Pour ce faire, utilisez le lien https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Assurez-vous qu’une relation de confiance est établie entre AD FS et le Proxy d'application web. Si ces solutions ne fonctionnent pas, exécutez l’applet de Install-WebApplicationProxy commande . |
| 12027 Le proxy a rencontré une erreur inattendue lors du traitement de la demande. Le nom fourni n’est pas un nom de compte correctement formé. |
Cet événement peut indiquer une configuration incorrecte entre web Proxy d'application et le serveur du contrôleur de domaine, ou un problème de configuration d’heure et de date sur les deux ordinateurs. | Le contrôleur de domaine a refusé le ticket Kerberos créé par web Proxy d'application. Vérifiez que la configuration du Proxy d'application web et du serveur d’applications back-end sont correctement configurées, en particulier la configuration du SPN. Assurez-vous que le Proxy d'application web est joint au même domaine que le contrôleur de domaine pour vous assurer que le contrôleur de domaine établit une approbation avec web Proxy d'application. Assurez-vous que la configuration de l’heure et de la date sur le Proxy d'application web et le contrôleur de domaine sont synchronisées. |
| 13012 Les Proxy d'application web ont reçu une signature de jeton edge non valide |
Assurez-vous que vous avez mis à jour Proxy d'application web avec web Proxy d'application ne pouvez pas détecter le certificat mis à jour après sa mise à jour automatique sur Windows Server 2012 R2. | |
| 13013 Les Proxy d'application web ont reçu une requête qui contenait un jeton edge expiré. |
Les Proxy d'application web et AD FS n’ont pas d’horloge synchronisée. | Synchronisez les horloges entre web Proxy d'application et AD FS. |
| 13014 Les Proxy d'application web ont reçu une requête avec un jeton edge non validé. Le jeton n’est pas valide, car il n’a pas pu être analysé. |
Cela peut indiquer un problème avec la configuration AD FS. | Vérifiez votre configuration AD FS et, si nécessaire, restaurez la configuration par défaut. |
| 13015 Web Proxy d'application reçu une demande avec un cookie d’accès expiré. |
Cela peut indiquer des horloges qui ne sont pas synchronisées. | Si vous travaillez avec un cluster de machines web Proxy d'application, assurez-vous que l’heure et la date des machines sont synchronisées. |
| 13016 Les Proxy d'application web ne peuvent pas récupérer un ticket Kerberos au nom de l’utilisateur, car il n’y a pas d’UPN dans le jeton de périphérie ou dans le cookie d’accès. |
Il y a un problème avec la configuration STS. | Corrigez la configuration de la revendication UPN dans le sts. |
| 13019 Les Proxy d'application web ne peuvent pas récupérer un ticket Kerberos pour le compte de l’utilisateur en raison de l’erreur d’API générale suivante |
Cet événement peut indiquer une configuration incorrecte entre web Proxy d'application et le serveur du contrôleur de domaine, ou un problème de configuration d’heure et de date sur les deux ordinateurs. | Le contrôleur de domaine a refusé le ticket Kerberos créé par web Proxy d'application. Vérifiez que la configuration du Proxy d'application web et du serveur d’applications back-end sont correctement configurées, en particulier la configuration du SPN. Assurez-vous que le Proxy d'application web est joint au même domaine que le contrôleur de domaine pour vous assurer que le contrôleur de domaine établit une approbation avec web Proxy d'application. Assurez-vous que la configuration de l’heure et de la date sur le Proxy d'application web et le contrôleur de domaine sont synchronisées. |
| 13020 Les Proxy d'application web ne peuvent pas récupérer un ticket Kerberos pour le compte de l’utilisateur, car le SPN du serveur principal n’est pas défini. |
Cet événement peut indiquer une configuration incorrecte entre web Proxy d'application et le serveur du contrôleur de domaine, ou un problème de configuration d’heure et de date sur les deux ordinateurs. | Le contrôleur de domaine a refusé le ticket Kerberos créé par web Proxy d'application. Vérifiez que la configuration du Proxy d'application web et du serveur d’applications back-end sont correctement configurées, en particulier la configuration du SPN. Assurez-vous que le Proxy d'application web est joint au même domaine que le contrôleur de domaine pour vous assurer que le contrôleur de domaine établit une approbation avec web Proxy d'application. Assurez-vous que la configuration de l’heure et de la date sur le Proxy d'application web et le contrôleur de domaine sont synchronisées. |
| 13022 Les Proxy d'application web ne peuvent pas authentifier l’utilisateur, car le serveur principal répond aux tentatives d’authentification Kerberos avec une erreur HTTP 401. |
Cet événement peut indiquer une configuration incorrecte entre web Proxy d'application et le serveur d’applications back-end, ou un problème de configuration de l’heure et de la date sur les deux ordinateurs. | Le serveur principal a refusé le ticket Kerberos créé par web Proxy d'application. Vérifiez que la configuration du Proxy d'application web et du serveur d’applications back-end est correctement configurée. Assurez-vous que la configuration de l’heure et de la date sur le Proxy d'application web et le serveur d’applications back-end sont synchronisées. |
| 13025 Le client n’a pas présenté de certificat SSL à web Proxy d'application. |
Cet événement peut indiquer un problème dans la configuration de l’heure et de la date. | Assurez-vous que l’infrastructure de certificat est valide et que l’heure et la date de l’Proxy d'application web et des services AD FS sont synchronisées. Assurez-vous que l’empreinte numérique configurée pour le Proxy d'application Web est correcte. |
| 13026 Le client a présenté un certificat SSL à web Proxy d'application, mais le certificat n’est pas valide : le certificat ne correspond pas à l’empreinte numérique. |
Cet événement peut indiquer un problème dans la configuration de l’heure et de la date. | Assurez-vous que l’infrastructure de certificat est valide et que l’heure et la date de l’Proxy d'application web et des services AD FS sont synchronisées. Assurez-vous que l’empreinte numérique configurée pour le Proxy d'application Web est correcte. |
| 13028 Les Proxy d'application web ont reçu une requête qui contenait un jeton d’arête qui n’est pas encore valide. |
Cet événement peut indiquer un problème dans la configuration de l’heure et de la date. | Assurez-vous que l’infrastructure de certificat est valide et que l’heure et la date de l’Proxy d'application web et des services AD FS sont synchronisées. |
| 13030 Le client a présenté un certificat SSL à Web Proxy d'application, mais le fournisseur d’approbation n’approuve pas l’autorité de certification qui a émis le certificat client. |
Cet événement peut indiquer un problème dans la configuration de l’heure et de la date. | Assurez-vous que l’infrastructure de certificat est valide et que l’heure et la date de l’Proxy d'application web et des services AD FS sont synchronisées. Assurez-vous que l’empreinte numérique configurée pour le Proxy d'application Web est correcte. |
| 13031 Le client a présenté un certificat SSL à web Proxy d'application, mais la chaîne de certificats s’est terminée dans un certificat racine qui n’est pas approuvé par le fournisseur d’approbation. |
Cet événement peut indiquer un problème dans la configuration de l’heure et de la date. | Assurez-vous que l’infrastructure de certificat est valide et que l’heure et la date de l’Proxy d'application web et des services AD FS sont synchronisées. Assurez-vous que l’empreinte numérique configurée pour le Proxy d'application Web est correcte. |
| 13032 Le client a présenté un certificat SSL à web Proxy d'application, mais le certificat n’était pas valide pour l’utilisation demandée. |
Cet événement peut indiquer un problème dans la configuration de l’heure et de la date. | Assurez-vous que l’infrastructure de certificat est valide et que l’heure et la date de l’Proxy d'application web et des services AD FS sont synchronisées. Assurez-vous que l’empreinte numérique configurée pour le Proxy d'application Web est correcte. |
| 13033 Le client a présenté un certificat SSL à web Proxy d'application, mais le certificat n’était pas dans sa période de validité lors de la vérification par rapport à l’horloge système actuelle ou à l’horodatage dans le fichier signé. |
Cet événement peut indiquer un problème dans la configuration de l’heure et de la date. | Assurez-vous que l’infrastructure de certificat est valide et que l’heure et la date de l’Proxy d'application web et des services AD FS sont synchronisées. Assurez-vous que l’empreinte numérique configurée pour le Proxy d'application Web est correcte. |
| 13034 Le client a présenté un certificat SSL à web Proxy d'application, mais le certificat n’était pas valide. |
Cet événement peut indiquer un problème dans la configuration de l’heure et de la date. | Assurez-vous que l’infrastructure de certificat est valide et que l’heure et la date de l’Proxy d'application web et des services AD FS sont synchronisées. Assurez-vous que l’empreinte numérique configurée pour le Proxy d'application Web est correcte. |
Les événements de console administrateur suivants indiquent des problèmes liés à la configuration, tels que l’approvisionnement, les demandes qui ne réussissent pas, les serveurs principaux inaccessibles et les dépassements de capacité de mémoire tampon.
| Événement ou symptôme | Cause possible | Résolution |
|---|---|---|
| 12019 Web Proxy d'application n’a pas pu créer d’écouteur pour l’URL suivante. |
L’événement peut être dû au fait qu’un autre service écoute la même URL. | L’administrateur doit s’assurer que personne n’écoute ou ne lie les mêmes URL. Pour case activée cela, exécutez la commande : netsh http show urlacl. Si cette URL est utilisée par un autre composant s’exécutant sur l’ordinateur web Proxy d'application, supprimez-la ou utilisez une AUTRE URL pour publier les applications via web Proxy d'application. |
| 12020 Web Proxy d'application n’a pas pu créer de réservation pour l’URL suivante. |
L’événement peut être dû au fait qu’un autre service a une réservation sur la même URL. | L’administrateur doit s’assurer que personne ne se lie aux mêmes URL. Pour case activée cela, exécutez la commande : netsh http show urlacl. Si cette URL est utilisée par un autre composant s’exécutant sur l’ordinateur web Proxy d'application, supprimez-la ou utilisez une AUTRE URL pour publier les applications via web Proxy d'application. |
| 12021 Les Proxy d'application web n’ont pas pu lier le certificat de serveur SSL. Tous les autres paramètres de configuration ont été appliqués. |
Impossible de créer et de définir un enregistrement de configuration des données de certificat SSL. | Assurez-vous que les empreintes de certificat configurées pour les applications web Proxy d'application sont installées sur tous les ordinateurs web Proxy d'application avec une clé privée dans le magasin de l’ordinateur local. |
| 13001 Le certificat de serveur SSL présenté à Web Proxy d'application par le serveur principal n’est pas valide ; le certificat n’est pas approuvé. |
Une ou plusieurs erreurs ont été détectées dans le certificat SSL (Secure Sockets Layer) envoyé par le serveur. Cela peut indiquer que le serveur principal a fourni un protocole SSL qui n’était pas valide ou qu’il n’existe aucune approbation entre le Proxy d'application web et le serveur principal. | Valider un certificat SSL de serveur principal. Assurez-vous que l’ordinateur web Proxy d'application est configuré avec les autorités de certification racine appropriées pour approuver le certificat du serveur principal. |
| 13006 | Lorsque le code d’erreur est 0x80072ee7, l’échec est dû à l’impossibilité de résoudre l’URL du serveur principal. D’autres codes d’erreur sont décrits dans la fonction WinHttpSendRequest (winhttp.h) | Vérifiez que l’URL du serveur principal est correcte et que son nom peut être résolu correctement à partir de l’ordinateur web Proxy d'application. |
| 13007 La réponse HTTP du serveur principal n’a pas été reçue dans l’intervalle attendu. |
La requête du serveur principal a expiré ou est lente ou ne répond pas. | Vérifiez la configuration du serveur principal. S’il est lent, case activée la connectivité au serveur principal et envisagez également de modifier l’applet de commande de paramètre de configuration globale web Proxy d'application pour InactiveTransactionsTimeoutSec. |
References
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour