Risolvere i problemi relativi ai Application Proxy Web
Questo articolo è pertinente per la versione locale di Web Application Proxy. Per abilitare l'accesso sicuro alle applicazioni locali nel cloud, vedere il contenuto Microsoft Entra Application Proxy.
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Questa sezione illustra le procedure di risoluzione dei problemi per Application Proxy Web, incluse le spiegazioni degli eventi e le soluzioni. Sono disponibili tre posizioni in cui vengono visualizzati gli errori:
Nella console di amministrazione Application Proxy Web
Ogni ID evento elencato nella console di amministrazione può essere visualizzato in Windows Visualizzatore eventi e le descrizioni e le soluzioni corrispondenti sono disponibili di seguito.
Aprire Visualizzatore eventi e cercare gli eventi correlati alle Application Proxy Web in Registri> applicazioni e servizimicrosoft>Windows>Web Application Proxy> Amministrazione.
Se necessario, i log dettagliati sono disponibili attivando i log di analisi e debug e attivando il log della sessione Application Proxy Web, disponibile in Windows Visualizzatore eventi in \Microsoft\Windows\Web Application Proxy\Amministrazione.
In Errori di PowerShell
Gli eventi per i problemi rilevati durante la configurazione vengono visualizzati in PowerShell.
Tutti gli errori vengono presentati all'utente di PowerShell usando le richieste di errore standard di PowerShell. Tutti i cmdlet di PowerShell vengono registrati come eventi. Tutti gli eventi che si verificano in PowerShell sono elencati in Windows Visualizzatore eventi con l'ID numero 12016 e sono definiti di seguito nella sezione PowerShell.
In the Best Practices Analyzer
Questi eventi sono descritti in Best Practices Analyzer per Application Proxy Web.
Messaggi di PowerShell
| Evento o sintomo | Possibile causa | Risoluzione |
|---|---|---|
| Il certificato di attendibilità ("ADFS ProxyTrust - <nome> computer WAP") non è valido | Questo problema può essere causato da uno dei seguenti elementi: - La macchina Application Proxy era inattiva per troppo tempo. |
Assicurarsi che gli orologi siano sincronizzati. Eseguire il Install-WebApplicationProxy cmdlet . |
| I dati di configurazione non sono stati trovati in AD FS | Ciò può essere dovuto al fatto che Application Proxy Web non è ancora stato installato completamente o a causa di modifiche nel database AD FS o del danneggiamento del database. | Eseguire il Install-WebApplicationProxy cmdlet |
| Si è verificato un errore quando Web Application Proxy provato a leggere la configurazione da AD FS. | Questo potrebbe indicare che AD FS non è raggiungibile o che AD FS ha riscontrato un problema interno durante il tentativo di leggere la configurazione dal database AD FS. | Verificare che AD FS sia raggiungibile e funzioni correttamente. |
| I dati di configurazione archiviati in AD FS sono danneggiati o Application Proxy Web non è stato in grado di analizzarli. OPPURE Web Application Proxy non è riuscito a recuperare l'elenco delle relying party da AD FS. |
Ciò può verificarsi se i dati di configurazione sono stati modificati in AD FS. | Riavviare il servizio Application Proxy Web. Se il problema persiste, eseguire il Install-WebApplicationProxy cmdlet . |
Eventi della console di amministrazione
Gli eventi della console di amministrazione seguenti sono indicativi di errori di autenticazione, token non validi o cookie scaduti.
| Evento o sintomo | Possibile causa | Risoluzione |
|---|---|---|
| 11005 Il web Application Proxy non è riuscito a creare la chiave di crittografia dei cookie usando il segreto della configurazione. |
Il parametro di configurazione AccessCookiesEncryptionKey globale è stato modificato dal cmdlet di PowerShell: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
Non è richiesta alcuna azione. Il cookie problematico è stato rimosso e l'utente è stato reindirizzato al servizio token di sicurezza per l'autenticazione. |
| 12000 Web Application Proxy non è riuscito a verificare la presenza di modifiche alla configurazione per almeno 60 minuti |
I Application Proxy Web non possono accedere alla configurazione Application Proxy Web usando il cmdlet Get-WebApplicationProxyConfiguration/Application. Ciò è causato dalla mancanza di connettività con AD FS o dalla necessità di rinnovare l'attendibilità con AD FS. |
Controllare la connettività con AD FS. A tale scopo, è possibile usare il collegamento https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Assicurarsi che sia stata stabilita un'attendibilità tra AD FS e il Application Proxy Web. Se queste soluzioni non funzionano, eseguire il Install-WebApplicationProxy cmdlet . |
| 12003 Web Application Proxy non è riuscito ad analizzare il cookie di accesso. |
Ciò può indicare che i Application Proxy Web e AD FS non sono connessi o che non ricevono la stessa configurazione. | Controllare la connettività con AD FS. A tale scopo, è possibile usare il collegamento https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Assicurarsi che sia stata stabilita un'attendibilità tra AD FS e il Application Proxy Web. Se queste soluzioni non funzionano, eseguire il Install-WebApplicationProxy cmdlet . |
| 12004 Web Application Proxy ricevuto una richiesta con un cookie di accesso non valido. |
Questo evento può indicare che i Application Proxy Web e AD FS non sono connessi o che non ricevono la stessa configurazione. Se il |
Controllare la connettività con AD FS. A tale scopo, è possibile usare il collegamento https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Assicurarsi che sia stata stabilita un'attendibilità tra AD FS e il Application Proxy Web. Se queste soluzioni non funzionano, eseguire il Install-WebApplicationProxy cmdlet . |
| 12008 Il Application Proxy Web ha superato il numero massimo di tentativi di autenticazione Kerberos consentiti al server back-end. |
Questo evento può indicare una configurazione non corretta tra Application Proxy Web e il server applicazioni back-end oppure un problema nella configurazione di data e ora in entrambi i computer. | Il server back-end ha rifiutato il ticket Kerberos creato da Web Application Proxy. Verificare che la configurazione del Application Proxy Web e del server applicazioni back-end sia configurata correttamente. Assicurarsi che la configurazione di data e ora nel Application Proxy Web e nel server applicazioni back-end sia sincronizzata. |
| 12011 Web Application Proxy ricevuto una richiesta con una firma di cookie di accesso non valida. |
Questo evento può indicare che i Application Proxy Web e AD FS non sono connessi o che non ricevono la stessa configurazione. Se il AccessCookiesEncryptionKey parametro è stato eseguito è stato modificato dal Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey cmdlet di PowerShell, questo evento è normale e non richiede passaggi di risoluzione. |
Controllare la connettività con AD FS. A tale scopo, è possibile usare il collegamento https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Assicurarsi che sia stata stabilita un'attendibilità tra AD FS e il Application Proxy Web. Se queste soluzioni non funzionano, eseguire il Install-WebApplicationProxy cmdlet . |
| 12027 Errore imprevisto durante l'elaborazione della richiesta. Il nome specificato non è un nome di account formato correttamente. |
Questo evento può indicare una configurazione non corretta tra Application Proxy Web e il server controller di dominio oppure un problema nella configurazione di data e ora in entrambi i computer. | Il controller di dominio ha rifiutato il ticket Kerberos creato da Web Application Proxy. Verificare che la configurazione del Application Proxy Web e del server applicazioni back-end sia configurata correttamente, in particolare la configurazione SPN. Assicurarsi che il Application Proxy Web sia aggiunto allo stesso dominio del controller di dominio per assicurarsi che il controller di dominio stabilisca l'attendibilità con Application Proxy Web. Assicurarsi che la configurazione dell'ora e della data nel Application Proxy Web e nel controller di dominio sia sincronizzata. |
| 13012 Web Application Proxy ricevuto una firma di token perimetrale non valida |
Assicurarsi di aver aggiornato Application Proxy Web con Web Application Proxy non è in grado di rilevare il certificato aggiornato dopo l'aggiornamento automatico in Windows Server 2012 R2. | |
| 13013 Web Application Proxy ricevuto una richiesta che conteneva un token perimetrale scaduto. |
I Application Proxy Web e AD FS non hanno orologi sincronizzati. | Sincronizzare gli orologi tra Application Proxy Web e AD FS. |
| 13014 Web Application Proxy ricevuto una richiesta con un token perimetrale non valido. Il token non è valido perché non è stato possibile analizzarlo. |
Questo potrebbe indicare un problema con la configurazione di AD FS. | Controllare la configurazione di AD FS e, se necessario, ripristinare la configurazione predefinita. |
| 13015 Web Application Proxy ricevuto una richiesta con un cookie di accesso scaduto. |
Ciò potrebbe indicare orologi non sincronizzati. | Se si usa un cluster di computer Application Proxy Web, assicurarsi che l'ora e la data dei computer siano sincronizzate. |
| 13016 Application Proxy Web non è in grado di recuperare un ticket Kerberos per conto dell'utente perché non esiste un UPN nel token perimetrale o nel cookie di accesso. |
Si è verificato un problema con la configurazione del servizio token di sicurezza. | Correggere la configurazione dell'attestazione UPN nel servizio token di sicurezza. |
| 13019 Application Proxy Web non è in grado di recuperare un ticket Kerberos per conto dell'utente a causa dell'errore api generale seguente |
Questo evento può indicare una configurazione non corretta tra Application Proxy Web e il server controller di dominio oppure un problema nella configurazione di data e ora in entrambi i computer. | Il controller di dominio ha rifiutato il ticket Kerberos creato da Web Application Proxy. Verificare che la configurazione del Application Proxy Web e del server applicazioni back-end sia configurata correttamente, in particolare la configurazione SPN. Assicurarsi che il Application Proxy Web sia aggiunto allo stesso dominio del controller di dominio per assicurarsi che il controller di dominio stabilisca l'attendibilità con Application Proxy Web. Assicurarsi che la configurazione dell'ora e della data nel Application Proxy Web e nel controller di dominio sia sincronizzata. |
| 13020 I Application Proxy Web non possono recuperare un ticket Kerberos per conto dell'utente perché il server back-end SPN non è definito. |
Questo evento può indicare una configurazione non corretta tra Application Proxy Web e il server controller di dominio oppure un problema nella configurazione di data e ora in entrambi i computer. | Il controller di dominio ha rifiutato il ticket Kerberos creato da Web Application Proxy. Verificare che la configurazione del Application Proxy Web e del server applicazioni back-end sia configurata correttamente, in particolare la configurazione SPN. Assicurarsi che il Application Proxy Web sia aggiunto allo stesso dominio del controller di dominio per assicurarsi che il controller di dominio stabilisca l'attendibilità con Application Proxy Web. Assicurarsi che la configurazione dell'ora e della data nel Application Proxy Web e nel controller di dominio sia sincronizzata. |
| 13022 I Application Proxy Web non possono autenticare l'utente perché il server back-end risponde ai tentativi di autenticazione Kerberos con un errore HTTP 401. |
Questo evento può indicare una configurazione non corretta tra Application Proxy Web e il server applicazioni back-end oppure un problema nella configurazione di data e ora in entrambi i computer. | Il server back-end ha rifiutato il ticket Kerberos creato da Web Application Proxy. Verificare che la configurazione del Application Proxy Web e del server applicazioni back-end sia configurata correttamente. Assicurarsi che la configurazione di data e ora nel Application Proxy Web e nel server applicazioni back-end sia sincronizzata. |
| 13025 Il client non ha presentato un certificato SSL alla Application Proxy Web. |
Questo evento può indicare un problema nella configurazione di data e ora. | Assicurarsi che l'infrastruttura del certificato sia valida e che l'ora e la data del Application Proxy Web e di AD FS siano sincronizzate. Assicurarsi che l'identificazione personale configurata per il Application Proxy Web sia quella corretta. |
| 13026 Il client ha presentato un certificato SSL al Application Proxy Web, ma il certificato non è valido: il certificato non corrisponde all'identificazione personale. |
Questo evento può indicare un problema nella configurazione di data e ora. | Assicurarsi che l'infrastruttura del certificato sia valida e che l'ora e la data del Application Proxy Web e di AD FS siano sincronizzate. Assicurarsi che l'identificazione personale configurata per il Application Proxy Web sia quella corretta. |
| 13028 Web Application Proxy ricevuto una richiesta che contiene un token perimetrale non ancora valido. |
Questo evento può indicare un problema nella configurazione di data e ora. | Assicurarsi che l'infrastruttura del certificato sia valida e che l'ora e la data del Application Proxy Web e di AD FS siano sincronizzate. |
| 13030 Il client ha presentato un certificato SSL al Application Proxy Web, ma il provider di attendibilità non considera attendibile l'autorità di certificazione che ha emesso il certificato client. |
Questo evento può indicare un problema nella configurazione di data e ora. | Assicurarsi che l'infrastruttura del certificato sia valida e che l'ora e la data del Application Proxy Web e di AD FS siano sincronizzate. Assicurarsi che l'identificazione personale configurata per il Application Proxy Web sia quella corretta. |
| 13031 Il client ha presentato un certificato SSL al Application Proxy Web, ma la catena di certificati terminata in un certificato radice non considerato attendibile dal provider di attendibilità. |
Questo evento può indicare un problema nella configurazione di data e ora. | Assicurarsi che l'infrastruttura del certificato sia valida e che l'ora e la data del Application Proxy Web e di AD FS siano sincronizzate. Assicurarsi che l'identificazione personale configurata per il Application Proxy Web sia quella corretta. |
| 13032 Il client ha presentato un certificato SSL al Application Proxy Web, ma il certificato non era valido per l'utilizzo richiesto. |
Questo evento può indicare un problema nella configurazione di data e ora. | Assicurarsi che l'infrastruttura del certificato sia valida e che l'ora e la data del Application Proxy Web e di AD FS siano sincronizzate. Assicurarsi che l'identificazione personale configurata per il Application Proxy Web sia quella corretta. |
| 13033 Il client ha presentato un certificato SSL al Application Proxy Web, ma il certificato non rientrava nel periodo di validità durante la verifica rispetto all'orologio di sistema corrente o al timestamp nel file firmato. |
Questo evento può indicare un problema nella configurazione di data e ora. | Assicurarsi che l'infrastruttura del certificato sia valida e che l'ora e la data del Application Proxy Web e di AD FS siano sincronizzate. Assicurarsi che l'identificazione personale configurata per il Application Proxy Web sia quella corretta. |
| 13034 Il client ha presentato un certificato SSL al Application Proxy Web, ma il certificato non era valido. |
Questo evento può indicare un problema nella configurazione di data e ora. | Assicurarsi che l'infrastruttura del certificato sia valida e che l'ora e la data del Application Proxy Web e di AD FS siano sincronizzate. Assicurarsi che l'identificazione personale configurata per il Application Proxy Web sia quella corretta. |
Gli eventi della console di amministrazione seguenti sono indicativi di problemi relativi alla configurazione, ad esempio il provisioning, le richieste che non hanno esito positivo, i server back-end non raggiungibili e gli overflow del buffer.
| Evento o sintomo | Possibile causa | Risoluzione |
|---|---|---|
| 12019 Web Application Proxy non è riuscito a creare un listener per l'URL seguente. |
Una possibile causa dell'evento è che un altro servizio è in ascolto dello stesso URL. | L'amministratore deve assicurarsi che nessuno sia in ascolto o associato agli stessi URL. Per verificarlo, eseguire il comando : netsh http show urlacl. Se questo URL viene usato da un altro componente in esecuzione nel computer Application Proxy Web, rimuoverlo o usare un URL diverso per pubblicare le applicazioni tramite Application Proxy Web. |
| 12020 Application Proxy Web non è riuscito a creare una prenotazione per l'URL seguente. |
Una possibile causa dell'evento è che un altro servizio ha una prenotazione sullo stesso URL. | L'amministratore deve assicurarsi che nessuno si associa agli stessi URL. Per verificarlo, eseguire il comando : netsh http show urlacl. Se questo URL viene usato da un altro componente in esecuzione nel computer Application Proxy Web, rimuoverlo o usare un URL diverso per pubblicare le applicazioni tramite Application Proxy Web. |
| 12021 Il Application Proxy Web non è riuscito a associare il certificato del server SSL. Sono state applicate tutte le altre impostazioni di configurazione. |
Impossibile creare e impostare un record di configurazione dei dati del certificato SSL. | Assicurarsi che le identificazioni personali del certificato configurate per le applicazioni Application Proxy Web siano installate in tutti i computer Application Proxy Web con una chiave privata nell'archivio computer locale. |
| 13001 Il certificato del server SSL presentato al Application Proxy Web dal server back-end non è valido. Il certificato non è attendibile. |
Sono stati rilevati uno o più errori nel certificato SSL (Secure Sockets Layer) inviato dal server. Questo potrebbe indicare che il server back-end ha fornito un SSL non valido o che non esiste alcuna relazione di trust tra il Application Proxy Web e il server back-end. | Convalidare un certificato SSL del server back-end. Assicurarsi che il computer Application Proxy Web sia configurato con le ca radice corrette per considerare attendibile il certificato del server back-end. |
| 13006 | Quando il codice di errore viene 0x80072ee7, l'errore è causato dall'impossibilità di risolvere l'URL del server back-end. Altri codici di errore sono descritti nella funzione WinHttpSendRequest (winhttp.h) | Verificare che l'URL del server back-end sia corretto e che il relativo nome possa essere risolto correttamente dal computer Application Proxy Web. |
| 13007 La risposta HTTP dal server back-end non è stata ricevuta entro l'intervallo previsto. |
La richiesta del server back-end è scadita o è lenta o non risponde.The back-end server requestd timed out or is slow or unresponssive. | Controllare la configurazione del server back-end. Se è lento, controllare la connettività al server back-end e valutare anche la possibilità di modificare il cmdlet del parametro di configurazione globale Application Proxy Web per InactiveTransactionsTimeoutSec. |
Riferimenti
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per