웹 애플리케이션 프록시 문제 해결
이 문서는 웹 애플리케이션 프록시 온-프레미스 버전과 관련이 있습니다. 클라우드를 통해 온-프레미스 애플리케이션에 안전하게 액세스할 수 있도록 하려면 Microsoft Entra 애플리케이션 프록시 콘텐츠를 참조하세요.
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
이 섹션에서는 이벤트 설명 및 솔루션을 포함하여 웹 애플리케이션 프록시 대한 문제 해결 절차를 제공합니다. 오류가 표시되는 3개의 위치는 다음과 같습니다.
웹 애플리케이션 프록시 관리자 콘솔에서
관리자 콘솔에 나열된 각 이벤트 ID는 Windows 이벤트 뷰어 볼 수 있으며 해당 설명 및 솔루션은 아래에 있습니다.
이벤트 뷰어 열고 애플리케이션 및 서비스 로그>Microsoft>Windows> 웹 애플리케이션 프록시관리 웹애플리케이션 프록시> 관련된 이벤트를 찾습니다.
필요한 경우 분석 및 디버깅 로그를 켜고 Windows 이벤트 뷰어 \Microsoft\Windows\ 웹 애플리케이션 프록시관리 있는 웹애플리케이션 프록시\ 세션 로그를 켜서 자세한 로그를 사용할 수 있습니다.
PowerShell 오류
구성 중에 발생하는 문제에 대한 이벤트는 PowerShell에 표시됩니다.
모든 오류는 표준 PowerShell 오류 프롬프트를 사용하여 PowerShell 사용자에게 표시됩니다. 모든 PowerShell cmdlet은 이벤트로 기록됩니다. PowerShell에서 발생하는 모든 이벤트는 ID 번호가 12016인 Windows 이벤트 뷰어 나열되며 PowerShell 섹션에서 아래에 정의되어 있습니다.
모범 사례 분석기에서
이러한 이벤트는 웹용 모범 사례 분석기 애플리케이션 프록시 설명되어 있습니다.
PowerShell 메시지
| 이벤트 또는 증상 | 가능한 원인 | 해결 방법 |
|---|---|---|
| 트러스트 인증서("ADFS ProxyTrust - <WAP 컴퓨터 이름>")가 잘못되었습니다. | 이 문제는 다음 중 한 가지로 인해 발생할 수 있습니다. - 애플리케이션 프록시 컴퓨터가 너무 오래 다운되었습니다. |
시계가 동기화되었는지 확인합니다. cmdlet을 Install-WebApplicationProxy 실행합니다. |
| 구성 데이터가 AD FS에서 찾을 수 없음 | 이는 웹 애플리케이션 프록시 아직 완전히 설치되지 않았거나 AD FS 데이터베이스의 변경 또는 데이터베이스 손상 때문일 수 있습니다. | Install-WebApplicationProxy cmdlet 실행 |
| 웹 애플리케이션 프록시 AD FS에서 구성을 읽으려고 할 때 오류가 발생했습니다. | 이는 AD FS에 연결할 수 없거나 AD FS 데이터베이스에서 구성을 읽으려는 내부 문제가 발생했음을 나타낼 수 있습니다. | AD FS에 연결할 수 있고 제대로 작동하는지 확인합니다. |
| AD FS에 저장된 구성 데이터가 손상되었거나 웹 애플리케이션 프록시 구문 분석할 수 없습니다. 또는 웹 애플리케이션 프록시 AD FS에서 신뢰 당사자 목록을 검색할 수 없습니다. |
이 문제는 구성 데이터가 AD FS에서 수정된 경우에 발생할 수 있습니다. | 웹 애플리케이션 프록시 서비스를 다시 시작합니다. 문제가 지속되면 cmdlet을 Install-WebApplicationProxy 실행합니다. |
관리자 콘솔 이벤트
다음 관리자 콘솔 이벤트는 인증 오류, 잘못된 토큰 또는 만료된 쿠키를 나타냅니다.
| 이벤트 또는 증상 | 가능한 원인 | 해결 방법 |
|---|---|---|
| 11005 웹 애플리케이션 프록시 구성의 비밀을 사용하여 쿠키 암호화 키를 만들 수 없습니다. |
전역 구성 AccessCookiesEncryptionKey 매개 변수는 PowerShell cmdlet에 의해 변경되었습니다. Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
아무 조치도 필요하지 않습니다. 문제가 있는 쿠키가 제거되었고 인증을 위해 사용자가 STS로 리디렉션되었습니다. |
| 12000 웹 애플리케이션 프록시 60분 이상 구성 변경에 대해 검사 수 없습니다. |
웹 애플리케이션 프록시 cmdletGet-WebApplicationProxyConfiguration/Application을 사용하여 웹 애플리케이션 프록시 구성에 액세스할 수 없습니다. 이는 AD FS와의 연결이 부족하거나 AD FS와의 신뢰를 갱신해야 하기 때문에 발생합니다. |
AD FS와의 연결을 확인합니다. 링크를 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml사용하여 이 작업을 수행할 수 있습니다. AD FS와 웹 애플리케이션 프록시 간에 트러스트가 설정되었는지 확인합니다. 이러한 솔루션이 작동하지 않으면 cmdlet을 Install-WebApplicationProxy 실행합니다. |
| 12003 웹 애플리케이션 프록시 액세스 쿠키를 구문 분석할 수 없습니다. |
이는 웹 애플리케이션 프록시 및 AD FS가 연결되지 않았거나 동일한 구성을 받지 못함을 나타낼 수 있습니다. | AD FS와의 연결을 확인합니다. 링크를 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml사용하여 이 작업을 수행할 수 있습니다. AD FS와 웹 애플리케이션 프록시 간에 트러스트가 설정되었는지 확인합니다. 이러한 솔루션이 작동하지 않으면 cmdlet을 Install-WebApplicationProxy 실행합니다. |
| 12004 웹 애플리케이션 프록시 유효성이 검사되지 않은 액세스 쿠키가 있는 요청을 받았습니다. |
이 이벤트는 웹 애플리케이션 프록시 및 AD FS가 연결되지 않았거나 동일한 구성을 받지 못함을 나타낼 수 있습니다. PowerShell cmdlet에서 |
AD FS와의 연결을 확인합니다. 링크를 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml사용하여 이 작업을 수행할 수 있습니다. AD FS와 웹 애플리케이션 프록시 간에 트러스트가 설정되었는지 확인합니다. 이러한 솔루션이 작동하지 않으면 cmdlet을 Install-WebApplicationProxy 실행합니다. |
| 12008 웹 애플리케이션 프록시 백 엔드 서버에 허용되는 Kerberos 인증 시도의 최대 수를 초과했습니다. |
이 이벤트는 웹 애플리케이션 프록시 백 엔드 애플리케이션 서버 간의 잘못된 구성 또는 두 컴퓨터의 시간 및 날짜 구성 문제를 나타낼 수 있습니다. | 백 엔드 서버가 웹 애플리케이션 프록시 만든 Kerberos 티켓을 거부했습니다. 웹 애플리케이션 프록시 및 백 엔드 애플리케이션 서버의 구성이 올바르게 구성되었는지 확인합니다. 웹 애플리케이션 프록시 및 백 엔드 애플리케이션 서버의 시간 및 날짜 구성이 동기화되었는지 확인합니다. |
| 12011 웹 애플리케이션 프록시 유효하지 않은 액세스 쿠키 서명이 있는 요청을 받았습니다. |
이 이벤트는 웹 애플리케이션 프록시 및 AD FS가 연결되지 않았거나 동일한 구성을 받지 못함을 나타낼 수 있습니다. PowerShell cmdlet에서 AccessCookiesEncryptionKey 매개 변수를 변경한 Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey 경우 이 이벤트는 정상이며 해결 단계가 필요하지 않습니다. |
AD FS와의 연결을 확인합니다. 링크를 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml사용하여 이 작업을 수행할 수 있습니다. AD FS와 웹 애플리케이션 프록시 간에 트러스트가 설정되었는지 확인합니다. 이러한 솔루션이 작동하지 않으면 cmdlet을 Install-WebApplicationProxy 실행합니다. |
| 12027 프록시에서 요청을 처리하는 동안 예기치 않은 오류가 발생했습니다. 제공된 이름이 올바르게 구성된 계정 이름이 아닙니다. |
이 이벤트는 웹 애플리케이션 프록시 도메인 컨트롤러 서버 간의 잘못된 구성 또는 두 컴퓨터의 시간 및 날짜 구성 문제를 나타낼 수 있습니다. | 도메인 컨트롤러는 웹 애플리케이션 프록시 만든 Kerberos 티켓을 거부했습니다. 웹 애플리케이션 프록시 및 백 엔드 애플리케이션 서버의 구성, 특히 SPN 구성이 올바르게 구성되었는지 확인합니다. 도메인 컨트롤러가 웹 애플리케이션 프록시 대한 신뢰를 설정하도록 웹 애플리케이션 프록시 도메인 컨트롤러와 동일한 도메인에 가입되어 있는지 확인합니다. 웹 애플리케이션 프록시 및 도메인 컨트롤러의 시간 및 날짜 구성이 동기화되었는지 확인합니다. |
| 13012 웹 애플리케이션 프록시 유효성이 검사되지 않은 에지 토큰 서명을 받았습니다. |
웹 애플리케이션 프록시 사용하여 웹 애플리케이션 프록시 업데이트한 후 업데이트된 인증서가 Windows Server 2012 R2에서 자동으로 업데이트된 인증서를 검색할 수 없는지 확인합니다. | |
| 13013 웹 애플리케이션 프록시 만료된 에지 토큰이 포함된 요청을 받았습니다. |
웹 애플리케이션 프록시 및 AD FS에는 동기화된 클록이 없습니다. | 웹 애플리케이션 프록시 AD FS 간에 클록을 동기화합니다. |
| 13014 웹 애플리케이션 프록시 유효성이 검사되지 않은 에지 토큰이 있는 요청을 받았습니다. 토큰을 구문 분석할 수 없기 때문에 유효하지 않습니다. |
이는 AD FS 구성에 문제가 있음을 나타낼 수 있습니다. | AD FS 구성을 확인하고 필요한 경우 기본 구성을 복원합니다. |
| 13015 웹 애플리케이션 프록시 만료된 액세스 쿠키로 요청을 받았습니다. |
동기화되지 않은 클록을 나타낼 수 있습니다. | 웹 애플리케이션 프록시 컴퓨터 클러스터로 작업하는 경우 컴퓨터의 시간과 날짜가 동기화되었는지 확인합니다. |
| 13016 웹 애플리케이션 프록시 에지 토큰 또는 액세스 쿠키에 UPN이 없기 때문에 사용자를 대신하여 Kerberos 티켓을 검색할 수 없습니다. |
STS 구성에 문제가 있습니다. | STS에서 UPN 클레임 구성을 수정합니다. |
| 13019 웹 애플리케이션 프록시 다음 일반 API 오류로 인해 사용자를 대신하여 Kerberos 티켓을 검색할 수 없습니다. |
이 이벤트는 웹 애플리케이션 프록시 도메인 컨트롤러 서버 간의 잘못된 구성 또는 두 컴퓨터의 시간 및 날짜 구성 문제를 나타낼 수 있습니다. | 도메인 컨트롤러는 웹 애플리케이션 프록시 만든 Kerberos 티켓을 거부했습니다. 웹 애플리케이션 프록시 및 백 엔드 애플리케이션 서버의 구성, 특히 SPN 구성이 올바르게 구성되었는지 확인합니다. 도메인 컨트롤러가 웹 애플리케이션 프록시 대한 신뢰를 설정하도록 웹 애플리케이션 프록시 도메인 컨트롤러와 동일한 도메인에 가입되어 있는지 확인합니다. 웹 애플리케이션 프록시 및 도메인 컨트롤러의 시간 및 날짜 구성이 동기화되었는지 확인합니다. |
| 13020 백 엔드 서버 SPN이 정의되지 않았기 때문에 웹 애플리케이션 프록시 사용자를 대신하여 Kerberos 티켓을 검색할 수 없습니다. |
이 이벤트는 웹 애플리케이션 프록시 도메인 컨트롤러 서버 간의 잘못된 구성 또는 두 컴퓨터의 시간 및 날짜 구성 문제를 나타낼 수 있습니다. | 도메인 컨트롤러는 웹 애플리케이션 프록시 만든 Kerberos 티켓을 거부했습니다. 웹 애플리케이션 프록시 및 백 엔드 애플리케이션 서버의 구성, 특히 SPN 구성이 올바르게 구성되었는지 확인합니다. 도메인 컨트롤러가 웹 애플리케이션 프록시 대한 신뢰를 설정하도록 웹 애플리케이션 프록시 도메인 컨트롤러와 동일한 도메인에 가입되어 있는지 확인합니다. 웹 애플리케이션 프록시 및 도메인 컨트롤러의 시간 및 날짜 구성이 동기화되었는지 확인합니다. |
| 13022 백 엔드 서버가 HTTP 401 오류로 Kerberos 인증 시도에 응답하므로 웹 애플리케이션 프록시 사용자를 인증할 수 없습니다. |
이 이벤트는 웹 애플리케이션 프록시 백 엔드 애플리케이션 서버 간의 잘못된 구성 또는 두 컴퓨터의 시간 및 날짜 구성 문제를 나타낼 수 있습니다. | 백 엔드 서버가 웹 애플리케이션 프록시 만든 Kerberos 티켓을 거부했습니다. 웹 애플리케이션 프록시 및 백 엔드 애플리케이션 서버의 구성이 올바르게 구성되었는지 확인합니다. 웹 애플리케이션 프록시 및 백 엔드 애플리케이션 서버의 시간 및 날짜 구성이 동기화되었는지 확인합니다. |
| 13025 클라이언트가 웹 애플리케이션 프록시 SSL 인증서를 제시하지 않았습니다. |
이 이벤트는 시간 및 날짜 구성에 문제가 있음을 나타낼 수 있습니다. | 인증서 인프라가 유효하고 웹 애플리케이션 프록시 및 AD FS의 시간과 날짜가 동기화되었는지 확인합니다. 웹 애플리케이션 프록시 구성된 지문이 올바른지 확인합니다. |
| 13026 클라이언트가 웹 애플리케이션 프록시 SSL 인증서를 제공했지만 인증서가 유효하지 않습니다. 인증서가 지문과 일치하지 않습니다. |
이 이벤트는 시간 및 날짜 구성에 문제가 있음을 나타낼 수 있습니다. | 인증서 인프라가 유효하고 웹 애플리케이션 프록시 및 AD FS의 시간과 날짜가 동기화되었는지 확인합니다. 웹 애플리케이션 프록시 구성된 지문이 올바른지 확인합니다. |
| 13028 웹 애플리케이션 프록시 아직 유효하지 않은 에지 토큰이 포함된 요청을 받았습니다. |
이 이벤트는 시간 및 날짜 구성에 문제가 있음을 나타낼 수 있습니다. | 인증서 인프라가 유효하고 웹 애플리케이션 프록시 및 AD FS의 시간과 날짜가 동기화되었는지 확인합니다. |
| 13030 클라이언트가 웹 애플리케이션 프록시 SSL 인증서를 제공했지만 신뢰 공급자는 클라이언트 인증서를 발급한 인증 기관을 신뢰하지 않습니다. |
이 이벤트는 시간 및 날짜 구성에 문제가 있음을 나타낼 수 있습니다. | 인증서 인프라가 유효하고 웹 애플리케이션 프록시 및 AD FS의 시간과 날짜가 동기화되었는지 확인합니다. 웹 애플리케이션 프록시 구성된 지문이 올바른지 확인합니다. |
| 13031 클라이언트가 웹 애플리케이션 프록시 SSL 인증서를 제공했지만 인증서 체인은 트러스트 공급자가 신뢰하지 않는 루트 인증서에서 종료되었습니다. |
이 이벤트는 시간 및 날짜 구성에 문제가 있음을 나타낼 수 있습니다. | 인증서 인프라가 유효하고 웹 애플리케이션 프록시 및 AD FS의 시간과 날짜가 동기화되었는지 확인합니다. 웹 애플리케이션 프록시 구성된 지문이 올바른지 확인합니다. |
| 13032 클라이언트가 웹 애플리케이션 프록시 SSL 인증서를 제공했지만 인증서가 요청된 사용에 유효하지 않았습니다. |
이 이벤트는 시간 및 날짜 구성에 문제가 있음을 나타낼 수 있습니다. | 인증서 인프라가 유효하고 웹 애플리케이션 프록시 및 AD FS의 시간과 날짜가 동기화되었는지 확인합니다. 웹 애플리케이션 프록시 구성된 지문이 올바른지 확인합니다. |
| 13033 클라이언트는 웹 애플리케이션 프록시 SSL 인증서를 제공했지만 현재 시스템 클록 또는 서명된 파일의 타임스탬프에 대해 확인할 때 인증서가 유효 기간 내에 있지 않았습니다. |
이 이벤트는 시간 및 날짜 구성에 문제가 있음을 나타낼 수 있습니다. | 인증서 인프라가 유효하고 웹 애플리케이션 프록시 및 AD FS의 시간과 날짜가 동기화되었는지 확인합니다. 웹 애플리케이션 프록시 구성된 지문이 올바른지 확인합니다. |
| 13034 클라이언트가 웹 애플리케이션 프록시 SSL 인증서를 제공했지만 인증서가 잘못되었습니다. |
이 이벤트는 시간 및 날짜 구성에 문제가 있음을 나타낼 수 있습니다. | 인증서 인프라가 유효하고 웹 애플리케이션 프록시 및 AD FS의 시간과 날짜가 동기화되었는지 확인합니다. 웹 애플리케이션 프록시 구성된 지문이 올바른지 확인합니다. |
다음 관리자 콘솔 이벤트는 프로비전, 성공하지 못한 요청, 연결할 수 없는 백 엔드 서버 및 버퍼 오버플로와 같은 구성과 관련된 문제를 나타냅니다.
| 이벤트 또는 증상 | 가능한 원인 | 해결 방법 |
|---|---|---|
| 12019 웹 애플리케이션 프록시 다음 URL에 대한 수신기를 만들 수 없습니다. |
이벤트의 가능한 원인은 다른 서비스가 동일한 URL을 수신 대기하는 것입니다. | 관리자는 아무도 동일한 URL을 수신하거나 바인딩하지 않도록 해야 합니다. 이를 검사 명령을 실행합니다netsh http show urlacl. 웹 애플리케이션 프록시 컴퓨터에서 실행되는 다른 구성 요소에서 이 URL을 사용하는 경우 해당 URL을 제거하거나 다른 URL을 사용하여 웹 애플리케이션 프록시 통해 애플리케이션을 게시합니다. |
| 12020 웹 애플리케이션 프록시 다음 URL에 대한 예약을 만들 수 없습니다. |
이벤트에 대한 가능한 원인은 다른 서비스에 동일한 URL에 예약이 있기 때문에 발생합니다. | 관리자는 아무도 동일한 URL에 바인딩되지 않도록 해야 합니다. 이를 검사 명령을 실행합니다netsh http show urlacl. 웹 애플리케이션 프록시 컴퓨터에서 실행되는 다른 구성 요소에서 이 URL을 사용하는 경우 해당 URL을 제거하거나 다른 URL을 사용하여 웹 애플리케이션 프록시 통해 애플리케이션을 게시합니다. |
| 12021 웹 애플리케이션 프록시 SSL 서버 인증서를 바인딩할 수 없습니다. 다른 모든 구성 설정이 적용되었습니다. |
SSL 인증서 데이터의 구성 레코드를 만들고 설정할 수 없습니다. | 웹 애플리케이션 프록시 애플리케이션에 대해 구성된 인증서 지문이 로컬 컴퓨터 저장소에 프라이빗 키가 있는 모든 웹 애플리케이션 프록시 컴퓨터에 설치되어 있는지 확인합니다. |
| 13001 백 엔드 서버에서 웹 애플리케이션 프록시 제공하는 SSL 서버 인증서가 잘못되었습니다. 인증서를 신뢰할 수 없습니다. |
서버에서 보낸 SSL(Secure Sockets Layer) 인증서에서 하나 이상의 오류가 발견되었습니다. 이는 백 엔드 서버가 유효하지 않은 SSL을 제공했거나 웹 애플리케이션 프록시 백 엔드 서버 간에 트러스트가 없음을 나타낼 수 있습니다. | 백 엔드 서버 SSL 인증서의 유효성을 검사합니다. 웹 애플리케이션 프록시 컴퓨터가 백 엔드 서버 인증서를 신뢰하도록 올바른 루트 CA로 구성되어 있는지 확인합니다. |
| 13006 | 오류 코드가 0x80072ee7 경우 백 엔드 서버 URL을 resolve 못하여 오류가 발생합니다. 다른 오류 코드는 WinHttpSendRequest 함수(winhttp.h)에 설명되어 있습니다. | 백 엔드 서버 URL이 올바르고 웹 애플리케이션 프록시 컴퓨터에서 해당 이름을 올바르게 확인할 수 있는지 확인합니다. |
| 13007 백 엔드 서버의 HTTP 응답은 예상된 간격 내에 수신되지 않았습니다. |
백 엔드 서버 요청 시간이 초과되거나 느리거나 응답하지 않습니다. | 백 엔드 서버 구성을 확인합니다. 속도가 느린 경우 백 엔드 서버에 대한 연결을 검사 에 대한 InactiveTransactionsTimeoutSec웹 애플리케이션 프록시 전역 구성 매개 변수 cmdlet을 변경하는 것도 고려합니다. |
참조
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기