Устранение неполадок веб-Application Proxy
Эта статья относится к локальной версии веб-Application Proxy. Чтобы обеспечить безопасный доступ к локальным приложениям через облако, см. Microsoft Entra Application Proxy содержимое.
Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этом разделе приведены процедуры устранения неполадок для веб-Application Proxy включая объяснения событий и решения. Ошибки отображаются в трех местах:
В консоли администрирования веб-Application Proxy
Каждый идентификатор события, указанный в консоли администрирования, можно просмотреть в Просмотр событий Windows, а соответствующие описания и решения приведены ниже.
Откройте Просмотр событий и найдите события, связанные с веб-Application Proxy, в разделе Журналы> приложений и службMicrosoft>Windows>Web Application Proxy>Администратор.
При необходимости подробные журналы доступны путем включения аналитики и отладки журналов и включения журнала сеансов веб-Application Proxy, который находится в Просмотр событий Windows в разделе \Microsoft\Windows\Web Application Proxy\Администратор.
Ошибки PowerShell
События проблем, возникающих во время настройки, отображаются в PowerShell.
Все ошибки отображаются пользователю PowerShell с помощью стандартных запросов ошибок PowerShell. Все командлеты PowerShell регистрируются как события. Все события, происходящие в PowerShell, перечислены в Просмотр событий Windows с идентификатором 12016 и определены ниже в разделе PowerShell.
В анализаторе рекомендаций
Эти события описаны в анализаторе рекомендаций для веб-Application Proxy.
Сообщения PowerShell
| Событие или симптом | Возможная причина | Разрешение |
|---|---|---|
| Сертификат доверия ("ADFS ProxyTrust — <имя> компьютера WAP") недопустим | Это может быть вызвано любым из следующих причин: - Application Proxy машина была не работает слишком долго. |
Убедитесь, что часы синхронизированы.
Install-WebApplicationProxy Запустите командлет . |
| Данные конфигурации не найдены в AD FS | Это может быть связано с тем, что веб-Application Proxy еще не полностью установлен или из-за изменений в базе данных AD FS или повреждения базы данных. | Выполнение командлета Install-WebApplicationProxy |
| Произошла ошибка при попытке веб-Application Proxy считывать конфигурацию из AD FS. | Это может указывать на то, что служба AD FS недоступна или что ad FS столкнулась с внутренней проблемой при попытке чтения конфигурации из базы данных AD FS. | Убедитесь, что AD FS доступна и работает правильно. |
| Данные конфигурации, хранящиеся в AD FS, повреждены или веб-Application Proxy не удалось проанализировать их. ИЛИ Веб-Application Proxy не удалось получить список проверяющих сторон из AD FS. |
Это может произойти, если данные конфигурации были изменены в AD FS. | Перезапустите службу веб-Application Proxy. Если проблема не исчезнет, выполните Install-WebApplicationProxy командлет . |
События консоли администрирования
Следующие события консоли администрирования указывают на ошибки проверки подлинности, недопустимые маркеры или файлы cookie с истекшим сроком действия.
| Событие или симптом | Возможная причина | Разрешение |
|---|---|---|
| 11005 Веб-Application Proxy не удалось создать ключ шифрования файлов cookie с помощью секрета из конфигурации. |
Параметр глобальной конфигурации AccessCookiesEncryptionKey был изменен командлетом PowerShell: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
Не требуется выполнять никаких действий. Проблемный файл cookie был удален, а пользователь был перенаправлен в STS для проверки подлинности. |
| 12000 Веб-Application Proxy не проверка изменения конфигурации не менее 60 минут |
Веб-Application Proxy не удается получить доступ к конфигурации веб-Application Proxy с помощью командлета Get-WebApplicationProxyConfiguration/Application. Это вызвано отсутствием подключения к AD FS или необходимостью возобновления доверия с AD FS. |
Проверьте подключение с помощью AD FS. Это можно сделать с помощью ссылки https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Убедитесь, что между AD FS и веб-Application Proxy установлено доверие. Если эти решения не работают, выполните Install-WebApplicationProxy командлет . |
| 12003 Веб-Application Proxy не удалось проанализировать файл cookie доступа. |
Это может указывать на то, что веб-Application Proxy и AD FS не подключены или что они не получают одну и ту же конфигурацию. | Проверьте подключение с помощью AD FS. Это можно сделать с помощью ссылки https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Убедитесь, что между AD FS и веб-Application Proxy установлено доверие. Если эти решения не работают, выполните Install-WebApplicationProxy командлет . |
| 12004 Веб-Application Proxy получил запрос с файлом cookie невалидного доступа. |
Это событие может указывать на то, что веб-Application Proxy и AD FS не подключены или что они не получают одну и ту же конфигурацию. Если вы запустили |
Проверьте подключение с помощью AD FS. Это можно сделать с помощью ссылки https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Убедитесь, что между AD FS и веб-Application Proxy установлено доверие. Если эти решения не работают, выполните Install-WebApplicationProxy командлет . |
| 12008 Веб-Application Proxy превышено максимальное число разрешенных попыток проверки подлинности Kerberos на внутреннем сервере. |
Это событие может указывать на неправильную конфигурацию между веб-Application Proxy и сервером внутренних приложений или проблему с настройкой времени и даты на обоих компьютерах. | Внутренний сервер отклонил билет Kerberos, созданный веб-Application Proxy. Убедитесь, что конфигурация веб-Application Proxy и внутреннего сервера приложений настроены правильно. Убедитесь, что конфигурация времени и даты на веб-Application Proxy и сервере внутренних приложений синхронизированы. |
| 12011 Веб-Application Proxy получил запрос с недопустимой подписью файла cookie для доступа. |
Это событие может указывать на то, что веб-Application Proxy и AD FS не подключены или что они не получают одну и ту же конфигурацию. Если вы запустили AccessCookiesEncryptionKey параметр, измененный командлетом PowerShell, это событие является нормальным Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey и не требует никаких действий по устранению. |
Проверьте подключение с помощью AD FS. Это можно сделать с помощью ссылки https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Убедитесь, что между AD FS и веб-Application Proxy установлено доверие. Если эти решения не работают, выполните Install-WebApplicationProxy командлет . |
| 12027 Прокси-сервер обнаружил непредвиденную ошибку при обработке запроса. Предоставленное имя не является правильно сформированным именем учетной записи. |
Это событие может указывать на неправильную конфигурацию между веб-Application Proxy и сервером контроллера домена или проблему с настройкой времени и даты на обоих компьютерах. | Контроллер домена отклонил билет Kerberos, созданный веб-Application Proxy. Убедитесь, что конфигурация веб-Application Proxy и серверного сервера приложений настроены правильно, особенно конфигурации имени субъекта-службы. Убедитесь, что веб-Application Proxy присоединен к тому же домену, что и контроллер домена, чтобы убедиться, что контроллер домена устанавливает доверие с веб-Application Proxy. Убедитесь, что конфигурация времени и даты на веб-Application Proxy и контроллере домена синхронизированы. |
| 13012 Веб-Application Proxy получил невалидную подпись пограничного маркера |
Убедитесь, что вы обновили веб-Application Proxy с помощью веб-Application Proxy не можете обнаружить обновленный сертификат после автоматического обновления на Windows Server 2012 R2. | |
| 13013 Веб-Application Proxy получил запрос, содержащий маркер границы с истекшим сроком действия. |
Веб-Application Proxy и AD FS не имеют синхронизированных часов. | Синхронизация часов между веб-Application Proxy и AD FS. |
| 13014 Веб-Application Proxy получил запрос с невалидным маркером edge. Маркер недопустим, так как его не удалось проанализировать. |
Это может указывать на проблему с конфигурацией AD FS. | Проверьте конфигурацию AD FS и при необходимости восстановите конфигурацию по умолчанию. |
| 13015 Веб-Application Proxy получил запрос с файлом cookie с истекшим сроком действия. |
Это может указывать на часы, которые не синхронизированы. | Если вы работаете с кластером веб-Application Proxy компьютеров, убедитесь, что время и дата компьютеров синхронизированы. |
| 13016 Веб-Application Proxy не может получить билет Kerberos от имени пользователя, так как в маркере edge или в файле cookie доступа нет имени участника-пользователя. |
Возникла проблема с конфигурацией STS. | Исправление конфигурации утверждений имени участника-пользователя в STS. |
| 13019 Веб-Application Proxy не удается получить билет Kerberos от имени пользователя из-за следующей общей ошибки API |
Это событие может указывать на неправильную конфигурацию между веб-Application Proxy и сервером контроллера домена или проблему с настройкой времени и даты на обоих компьютерах. | Контроллер домена отклонил билет Kerberos, созданный веб-Application Proxy. Убедитесь, что конфигурация веб-Application Proxy и серверного сервера приложений настроены правильно, особенно конфигурации имени субъекта-службы. Убедитесь, что веб-Application Proxy присоединен к тому же домену, что и контроллер домена, чтобы убедиться, что контроллер домена устанавливает доверие с веб-Application Proxy. Убедитесь, что конфигурация времени и даты на веб-Application Proxy и контроллере домена синхронизированы. |
| 13020 Веб-Application Proxy не может получить билет Kerberos от имени пользователя, так как имя субъекта-службы внутреннего сервера не определено. |
Это событие может указывать на неправильную конфигурацию между веб-Application Proxy и сервером контроллера домена или проблему с настройкой времени и даты на обоих компьютерах. | Контроллер домена отклонил билет Kerberos, созданный веб-Application Proxy. Убедитесь, что конфигурация веб-Application Proxy и серверного сервера приложений настроены правильно, особенно конфигурации имени субъекта-службы. Убедитесь, что веб-Application Proxy присоединен к тому же домену, что и контроллер домена, чтобы убедиться, что контроллер домена устанавливает доверие с веб-Application Proxy. Убедитесь, что конфигурация времени и даты на веб-Application Proxy и контроллере домена синхронизированы. |
| 13022 Веб-Application Proxy не может пройти проверку подлинности пользователя, так как внутренний сервер отвечает на попытки проверки подлинности Kerberos ошибкой HTTP 401. |
Это событие может указывать на неправильную конфигурацию между веб-Application Proxy и сервером внутренних приложений или проблему с настройкой времени и даты на обоих компьютерах. | Внутренний сервер отклонил билет Kerberos, созданный веб-Application Proxy. Убедитесь, что конфигурация веб-Application Proxy и внутреннего сервера приложений настроены правильно. Убедитесь, что конфигурация времени и даты на веб-Application Proxy и сервере внутренних приложений синхронизированы. |
| 13025 Клиент не представляет SSL-сертификат для веб-Application Proxy. |
Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что для веб-Application Proxy настроен правильный отпечаток. |
| 13026 Клиент представил SSL-сертификат веб-Application Proxy, но сертификат недопустим: сертификат не соответствует отпечатку. |
Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что для веб-Application Proxy настроен правильный отпечаток. |
| 13028 Веб-Application Proxy получил запрос, содержащий маркер edge, который еще не действителен. |
Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата веб-Application Proxy и AD FS синхронизированы. |
| 13030 Клиент представил SSL-сертификат веб-Application Proxy, но поставщик доверия не доверяет центру сертификации, выдавшего сертификат клиента. |
Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что для веб-Application Proxy настроен правильный отпечаток. |
| 13031 Клиент представил SSL-сертификат веб-Application Proxy, но цепочка сертификатов завершена в корневом сертификате, который не является доверенным поставщиком доверия. |
Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что для веб-Application Proxy настроен правильный отпечаток. |
| 13032 Клиент представил SSL-сертификат веб-Application Proxy, но он не был действителен для запрошенного использования. |
Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что для веб-Application Proxy настроен правильный отпечаток. |
| 13033 Клиент представил SSL-сертификат веб-Application Proxy, но срок действия сертификата не истек при проверке текущих системных часов или метки времени в подписанном файле. |
Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что для веб-Application Proxy настроен правильный отпечаток. |
| 13034 Клиент представил SSL-сертификат веб-Application Proxy, но сертификат был недопустимым. |
Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна, а время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что для веб-Application Proxy настроен правильный отпечаток. |
Следующие события консоли администрирования указывают на проблемы, связанные с конфигурацией, такие как подготовка, запросы, которые не являются успешными, серверные серверы, которые недоступны, и переполнение буфера.
| Событие или симптом | Возможная причина | Разрешение |
|---|---|---|
| 12019 Веб-Application Proxy не удалось создать прослушиватель для следующего URL-адреса. |
Возможная причина события заключается в том, что другая служба прослушивает тот же URL-адрес. | Администратор должен убедиться, что никто не прослушивает или не привязывает одни и те же URL-адреса. Чтобы проверка это, выполните команду : netsh http show urlacl. Если этот URL-адрес используется другим компонентом, работающим на веб-Application Proxy компьютере, удалите его или используйте другой URL-адрес для публикации приложений через веб-Application Proxy. |
| 12020 Веб-Application Proxy не удалось создать резервирование для следующего URL-адреса. |
Возможная причина события заключается в том, что другая служба имеет резервирование по тому же URL-адресу. | Администратор должен убедиться, что никто не привязывается к одним и тем же URL-адресам. Чтобы проверка это, выполните команду : netsh http show urlacl. Если этот URL-адрес используется другим компонентом, работающим на веб-Application Proxy компьютере, удалите его или используйте другой URL-адрес для публикации приложений через веб-Application Proxy. |
| 12021 Веб-Application Proxy не удалось привязать SSL-сертификат сервера. Были применены все остальные параметры конфигурации. |
Не удается создать и задать запись конфигурации данных SSL-сертификата. | Убедитесь, что отпечатки сертификатов, настроенные для веб-приложений Application Proxy, установлены на всех компьютерах веб-Application Proxy с закрытым ключом в локальном хранилище компьютеров. |
| 13001 Сертификат SSL-сервера, представленный веб-Application Proxy сервером, недопустим; сертификат не является доверенным. |
В SSL-сертификате, отправленном сервером, обнаружена одна или несколько ошибок. Это может означать, что внутренний сервер предоставил недопустимый ПРОТОКОЛ SSL или что между веб-Application Proxy и внутренним сервером нет доверия. | Проверка SSL-сертификата внутреннего сервера. Убедитесь, что на компьютере веб-Application Proxy настроены правильные корневые ЦС для доверия сертификату внутреннего сервера. |
| 13006 | Если код ошибки 0x80072ee7, сбой вызван невозможностью разрешить URL-адрес внутреннего сервера. Другие коды ошибок описаны в функции WinHttpSendRequest (winhttp.h) | Проверьте правильность URL-адреса внутреннего сервера и правильность разрешения его имени с веб-Application Proxy компьютера. |
| 13007 HTTP-ответ от внутреннего сервера не был получен в течение ожидаемого интервала. |
Истекло время ожидания запроса внутреннего сервера, медленно или не отвечает. | Проверьте конфигурацию внутреннего сервера. Если работа выполняется медленно, проверка подключение к внутреннему серверу, а также рассмотрите возможность изменения командлета параметра глобальной конфигурации веб-Application Proxy для InactiveTransactionsTimeoutSec. |