針對 Web 應用程式 Proxy 進行疑難解答
本文與內部部署版本的 Web 應用程式 Proxy 相關。 若要透過雲端啟用內部部署應用程式的安全存取,請參閱 Microsoft Entra 應用程式 Proxy 內容。
適用於:Windows Server 2022、Windows Server 2019 Windows Server 2016
本節提供 Web 應用程式 Proxy 的疑難解答程式,包括事件說明和解決方案。 有三個地方會顯示錯誤:
在 Web 應用程式 Proxy 系統管理員控制台
系統管理員控制台中列出的每個事件標識碼都可以在 Windows 事件檢視器 中檢視,並可在下方找到對應的描述和解決方案。
開啟 事件檢視器,並在 [應用程式和服務記錄>] [Microsoft>Windows> Web 應用程式 Proxy] 底下尋找與Web 應用程式 Proxy> 相關的事件 管理員。
如有需要,您可以開啟分析和偵錯記錄,並開啟 Web 應用程式 Proxy 工作階段記錄,以取得詳細的記錄,可在 \Microsoft\Windows\ Web 應用程式 Proxy 下的 Windows事件檢視器 中找到\管理員。
在 PowerShell 錯誤中
設定期間遇到的問題事件會顯示在PowerShell中。
所有錯誤都會使用標準 PowerShell 錯誤提示來呈現給 PowerShell 使用者。 所有 PowerShell Cmdlet 都會記錄為事件。 PowerShell 中發生的所有事件都會列在標識符為 12016 的 Windows 事件檢視器 中,並在 PowerShell 區段中定義。
在最佳做法分析器中
這些事件會在 Web 應用程式 Proxy 的最佳做法分析器中說明。
PowerShell 訊息
| 事件或徵兆 | 可能原因 | 解決方案 |
|---|---|---|
| 信任憑證 (「ADFS ProxyTrust - <WAP 計算機名稱>」) 無效 | 這可能是由下列任一項所造成: - 應用程式 Proxy 機關閉的時間太長。 |
請確定時鐘已同步。 執行 Cmdlet Install-WebApplicationProxy 。 |
| 在AD FS 中找不到設定數據 | 這可能是因為 Web 應用程式 Proxy 尚未完全安裝,或是因為 AD FS 資料庫的變更或資料庫損毀所造成。 | 執行 Cmdlet Install-WebApplicationProxy |
| 當 Web 應用程式 Proxy 嘗試從 AD FS 讀取設定時發生錯誤。 | 這可能表示無法連線 AD FS,或 AD FS 嘗試從 AD FS 資料庫讀取設定時發生內部問題。 | 確認AD FS可連線並正常運作。 |
| 儲存在 AD FS 中的設定資料已損毀,或 Web 應用程式 Proxy 無法剖析。 OR Web 應用程式 Proxy 無法從 AD FS 擷取信賴憑證者清單。 |
如果在 AD FS 中修改組態數據,就可能發生這種情況。 | 重新啟動 Web 應用程式 Proxy 服務。 如果問題持續發生,請執行 Install-WebApplicationProxy Cmdlet。 |
系統管理員主控台事件
下列系統管理員控制台事件表示驗證錯誤、令牌無效或 Cookie 過期。
| 事件或徵兆 | 可能原因 | 解決方案 |
|---|---|---|
| 11005 Web 應用程式 Proxy 無法使用組態中的秘密來建立 Cookie 加密密鑰。 |
PowerShell Cmdlet 已變更全域 AccessCookiesEncryptionKey 設定參數: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
不用執行任何動作。 已移除有問題的 Cookie,並將使用者重新導向至 STS 進行驗證。 |
| 12000 Web 應用程式 Proxy 至少 60 分鐘無法檢查組態變更 |
Web 應用程式 Proxy 無法使用 Cmdlet 存取 Web 應用程式 Proxy 組態Get-WebApplicationProxyConfiguration/Application。 這是因為缺少與 AD FS 的連線,或需要更新與 AD FS 的信任。 |
檢查 AD FS 的連線能力。 您可以使用連結 來執行此動作 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml。 請確定AD FS與Web應用程式 Proxy之間已建立信任。 如果這些解決方案無法運作,請執行 Install-WebApplicationProxy Cmdlet。 |
| 12003 Web 應用程式 Proxy 無法剖析存取 Cookie。 |
這可能表示 Web 應用程式 Proxy 和 AD FS 未連線,或未收到相同的組態。 | 檢查 AD FS 的連線能力。 您可以使用連結 來執行此動作 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml。 請確定AD FS與Web應用程式 Proxy之間已建立信任。 如果這些解決方案無法運作,請執行 Install-WebApplicationProxy Cmdlet。 |
| 12004 Web 應用程式 Proxy 收到具有非驗證存取 Cookie 的要求。 |
此事件可能表示 Web 應用程式 Proxy 和 AD FS 未連線,或未收到相同的組態。 如果您執行的 |
檢查 AD FS 的連線能力。 您可以使用連結 來執行此動作 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml。 請確定AD FS與Web應用程式 Proxy之間已建立信任。 如果這些解決方案無法運作,請執行 Install-WebApplicationProxy Cmdlet。 |
| 12008 Web 應用程式 Proxy 超過後端伺服器允許的 Kerberos 驗證嘗試次數上限。 |
此事件可能表示 Web 應用程式 Proxy 與後端應用程式伺服器之間的設定不正確,或兩部電腦上的時間和日期設定發生問題。 | 後端伺服器拒絕 Web 應用程式 Proxy 所建立的 Kerberos 票證。 確認已正確設定 Web 應用程式 Proxy 和後端應用程式伺服器的設定。 請確定 Web 應用程式 Proxy 和後端應用程式伺服器上的時間和日期設定已同步。 |
| 12011 Web 應用程式 Proxy 收到具有無效存取 Cookie 簽章的要求。 |
此事件可能表示 Web 應用程式 Proxy 和 AD FS 未連線,或未收到相同的組態。 如果您執行的 AccessCookiesEncryptionKey 參數已由 Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey PowerShell Cmdlet變更,則此事件是正常的,不需要任何解決步驟。 |
檢查 AD FS 的連線能力。 您可以使用連結 來執行此動作 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml。 請確定AD FS與Web應用程式 Proxy之間已建立信任。 如果這些解決方案無法運作,請執行 Install-WebApplicationProxy Cmdlet。 |
| 12027 Proxy 在處理要求時發生非預期的錯誤。 提供的名稱不是正確格式的帳戶名稱。 |
此事件可能表示 Web 應用程式 Proxy 與域控制器伺服器之間的設定不正確,或兩部電腦上的時間和日期設定發生問題。 | 域控制器已拒絕 Web 應用程式 Proxy 所建立的 Kerberos 票證。 確認已正確設定 Web 應用程式 Proxy 和後端應用程式伺服器的設定,特別是 SPN 組態。 請確定 Web 應用程式 Proxy 已加入與域控制器相同的網域,以確保域控制器與 Web 應用程式 Proxy 建立信任。 請確定 Web 應用程式 Proxy 和域控制器上的時間和日期設定已同步。 |
| 13012 Web 應用程式 Proxy 收到非驗證邊緣令牌簽章 |
請確定您已使用 Web 應用程式 Proxy 更新 Web 應用程式 Proxy,在已更新的憑證於 Windows Server 2012 R2 上自動更新之後,便無法偵測到該憑證。 | |
| 13013 Web 應用程式 Proxy 收到包含過期邊緣令牌的要求。 |
Web 應用程式 Proxy 和 AD FS 沒有同步的時鐘。 | 同步處理 Web 應用程式 Proxy 與 AD FS 之間的時鐘。 |
| 13014 Web 應用程式 Proxy 收到具有非驗證邊緣令牌的要求。 令牌無效,因為無法剖析令牌。 |
這可能表示 AD FS 設定發生問題。 | 檢查您的AD FS設定,並視需要還原預設組態。 |
| 13015 Web 應用程式 Proxy 收到具有過期存取 Cookie 的要求。 |
這可能表示未同步的時鐘。 | 如果您使用 Web 應用程式 Proxy 機叢集,請確定電腦的時間和日期已同步處理。 |
| 13016 Web 應用程式 Proxy 無法代表使用者擷取 Kerberos 票證,因為邊緣令牌或存取 Cookie 中沒有 UPN。 |
STS 設定有問題。 | 修正 STS 中的 UPN 宣告組態。 |
| 13019 Web 應用程式 Proxy 無法代表使用者擷取 Kerberos 票證,因為發生下列一般 API 錯誤 |
此事件可能表示 Web 應用程式 Proxy 與域控制器伺服器之間的設定不正確,或兩部電腦上的時間和日期設定發生問題。 | 域控制器已拒絕 Web 應用程式 Proxy 所建立的 Kerberos 票證。 確認已正確設定 Web 應用程式 Proxy 和後端應用程式伺服器的設定,特別是 SPN 組態。 請確定 Web 應用程式 Proxy 已加入與域控制器相同的網域,以確保域控制器與 Web 應用程式 Proxy 建立信任。 請確定已同步處理 Web 應用程式 Proxy 和域控制器上的時間和日期設定。 |
| 13020 Web 應用程式 Proxy 無法代表使用者擷取 Kerberos 票證,因為未定義後端伺服器 SPN。 |
此事件可能表示 Web 應用程式 Proxy 與域控制器伺服器之間的設定不正確,或兩部電腦上的時間和日期設定發生問題。 | 域控制器已拒絕 Web 應用程式 Proxy 所建立的 Kerberos 票證。 確認已正確設定 Web 應用程式 Proxy 和後端應用程式伺服器的設定,特別是 SPN 組態。 請確定 Web 應用程式 Proxy 已加入與域控制器相同的網域,以確保域控制器與 Web 應用程式 Proxy 建立信任。 請確定已同步處理 Web 應用程式 Proxy 和域控制器上的時間和日期設定。 |
| 13022 Web 應用程式 Proxy 無法驗證使用者,因為後端伺服器會以 HTTP 401 錯誤回應 Kerberos 驗證嘗試。 |
此事件可能表示 Web 應用程式 Proxy 與後端應用程式伺服器之間的設定不正確,或兩部電腦上的時間和日期設定發生問題。 | 後端伺服器已拒絕 Web 應用程式 Proxy 所建立的 Kerberos 票證。 確認已正確設定 Web 應用程式 Proxy 和後端應用程式伺服器的設定。 請確定 Web 應用程式 Proxy 和後端應用程式伺服器上的時間和日期設定已同步。 |
| 13025 用戶端未向 Web 應用程式 Proxy 出示 SSL 憑證。 |
此事件可能表示時間和日期設定發生問題。 | 請確定憑證基礎結構有效,並同步處理 Web 應用程式 Proxy 和 AD FS 的時間和日期。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13026 用戶端向 Web 應用程式 Proxy 出示 SSL 憑證,但憑證無效:憑證不符合指紋。 |
此事件可能表示時間和日期設定發生問題。 | 請確定憑證基礎結構有效,並同步處理 Web 應用程式 Proxy 和 AD FS 的時間和日期。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13028 Web 應用程式 Proxy 收到包含尚未有效邊緣令牌的要求。 |
此事件可能表示時間和日期設定發生問題。 | 請確定憑證基礎結構有效,並同步處理 Web 應用程式 Proxy 和 AD FS 的時間和日期。 |
| 13030 用戶端向 Web 應用程式 Proxy 出示 SSL 憑證,但信任提供者不信任發出用戶端憑證的證書頒發機構單位。 |
此事件可能表示時間和日期設定發生問題。 | 請確定憑證基礎結構有效,並同步處理 Web 應用程式 Proxy 和 AD FS 的時間和日期。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13031 用戶端向 Web 應用程式 Proxy 出示 SSL 憑證,但憑證鏈結在信任提供者不信任的跟證書中終止。 |
此事件可能表示時間和日期設定發生問題。 | 請確定憑證基礎結構有效,並同步處理 Web 應用程式 Proxy 和 AD FS 的時間和日期。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13032 用戶端向 Web 應用程式 Proxy 出示 SSL 憑證,但憑證對要求的使用方式無效。 |
此事件可能表示時間和日期設定發生問題。 | 請確定憑證基礎結構有效,並同步處理 Web 應用程式 Proxy 和 AD FS 的時間和日期。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13033 用戶端向 Web 應用程式 Proxy 出示了 SSL 憑證,但在針對目前系統時鐘或已簽署檔案中的時間戳進行驗證時,憑證不在其有效期間內。 |
此事件可能表示時間和日期設定發生問題。 | 請確定憑證基礎結構有效,並同步處理 Web 應用程式 Proxy 和 AD FS 的時間和日期。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13034 用戶端向 Web 應用程式 Proxy 出示 SSL 憑證,但憑證無效。 |
此事件可能表示時間和日期設定發生問題。 | 請確定憑證基礎結構有效,並同步處理 Web 應用程式 Proxy 和 AD FS 的時間和日期。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
下列系統管理員控制台事件表示與設定有關的問題,例如布建、未成功的要求、無法連線的後端伺服器,以及緩衝區溢位。
| 事件或徵兆 | 可能原因 | 解決方案 |
|---|---|---|
| 12019 Web 應用程式 Proxy 無法為下列 URL 建立接聽程式。 |
事件的可能原因是另一個服務正在接聽相同的URL。 | 系統管理員必須確定沒有人接聽或系結至相同的URL。 若要檢查這一點,請執行命令: netsh http show urlacl。 如果在 Web 應用程式 Proxy 電腦上執行的另一個元件使用此 URL,請將其移除,或使用不同的 URL 透過 Web 應用程式 Proxy 發佈應用程式。 |
| 12020 Web 應用程式 Proxy 無法建立下列 URL 的保留。 |
事件的可能原因是另一個服務在相同的URL上有保留。 | 系統管理員必須確定沒有人系結至相同的URL。 若要檢查這一點,請執行命令: netsh http show urlacl。 如果在 Web 應用程式 Proxy 電腦上執行的另一個元件使用此 URL,請將其移除,或使用不同的 URL 透過 Web 應用程式 Proxy 發佈應用程式。 |
| 12021 Web 應用程式 Proxy 無法繫結 SSL 伺服器證書。 已套用所有其他組態設定。 |
無法建立和設定 SSL 憑證數據的組態記錄。 | 請確定針對 Web 應用程式 Proxy 應用程式設定的憑證指紋已安裝在本機電腦存放區中具有私鑰的所有 Web 應用程式 Proxy 電腦上。 |
| 13001 後端伺服器向 Web 應用程式 Proxy 呈現的 SSL 伺服器憑證無效;憑證不受信任。 |
在伺服器傳送的安全套接字層 (SSL) 憑證中發現一或多個錯誤。 這可能表示後端伺服器提供的 SSL 無效,或 Web 應用程式 Proxy 與後端伺服器之間沒有信任。 | 驗證後端伺服器 SSL 憑證。 請確定 Web 應用程式 Proxy 電腦已設定正確的根 CA,以信任後端伺服器證書。 |
| 13006 | 當錯誤碼0x80072ee7時,失敗是因為無法解析後端伺服器 URL 所造成。 WinHttpSendRequest 函式 (winHTTP.h) 說明其他錯誤碼 | 檢查後端伺服器 URL 是否正確,並可從 Web 應用程式 Proxy 計算機正確解析其名稱。 |
| 13007 未在預期的間隔內收到來自後端伺服器的 HTTP 回應。 |
後端伺服器要求逾時或速度緩慢或沒有回應。 | 檢查後端伺服器組態。 如果速度很慢,請檢查後端伺服器的連線能力,並考慮變更的 Web 應用程式 Proxy 全域設定參數 CmdletInactiveTransactionsTimeoutSec。 |