針對 Web 應用程式 Proxy 進行疑難解答
本文與內部部署版本的 Web 應用程式 Proxy 相關。 若要透過雲端安全地存取內部部署應用程式,請參閱 Microsoft Entra 應用程式 Proxy 內容。
適用於: Windows Server 2022、Windows Server 2019、Windows Server 2016
本節提供 Web 應用程式 Proxy 的疑難排解程序,包括事件說明和解決方案。 顯示錯誤的三個位置如下:
在 Web 應用程式 Proxy 系統管理員主控台中
您可以在 Windows 事件檢視器中檢視系統管理員主控台中列出的每個事件識別碼,下面可以找到相應的描述和解決方案。
開啟 事件檢視器,並在 [應用程式與服務>記錄] 底下尋找與 Web 應用程式 Proxy 相關的事件,>Microsoft Windows>Web 應用程式 Proxy> Admin。
如有需要,請開啟分析和偵錯記錄並開啟Web應用程式 Proxy會話記錄,可在 \Microsoft\Windows Web 應用程式 Proxy\ Admin 下的 Windows\事件檢視器 中找到詳細記錄。
在 PowerShell 錯誤中
設定期間所發生問題的事件會顯示在 PowerShell 中。
所有錯誤都會使用標準 PowerShell 錯誤提示呈現給 PowerShell 使用者。 所有 PowerShell Cmdlet 都會記錄為事件。 PowerShell 中發生的所有事件都會列在識別碼為 12016 的 Windows 事件檢視器中,並在下方的 PowerShell 區段中定義。
執行最佳做法分析器
這些事件描述於 Web 應用程式 Proxy 的最佳做法分析器中。
PowerShell 訊息
| 事件或徵兆 | 可能的原因 | 解決方案 |
|---|---|---|
| 信任憑證 ("ADFS ProxyTrust:<WAP 電腦名稱>") 無效 | 可能是由下列任何原因所造成: - 應用程式 Proxy 電腦已關閉太久。 |
請確定時鐘已同步。 Install-WebApplicationProxy執行 Cmdlet。 |
| AD FS 中找不到組態資料 | 這可能是因為 Web 應用程式 Proxy 尚未完整安裝,或是因為 AD FS 資料庫中的變更或資料庫損毀。 | 執行 Install-WebApplicationProxy Cmdlet |
| Web 應用程式 Proxy 嘗試從 AD FS 讀取組態時發生錯誤。 | 這可能表示 AD FS 無法連線,或 AD FS 嘗試從 AD FS 資料庫讀取組態時發生內部問題。 | 確認 AD FS 可連線並正常運作。 |
| AD FS 中儲存的組態資料已損毀,或 Web 應用程式 Proxy 無法剖析該資料。 OR Web 應用程式 Proxy 無法從 AD FS 擷取信賴憑證者清單。 |
如果組態資料已在 AD FS 中修改,就可能發生此情況。 | 重新啟動 Web 應用程式 Proxy 服務。 如果問題持續發生,請 Install-WebApplicationProxy 執行 Cmdlet。 |
系統管理員主控台事件
下列系統管理員主控台事件表示驗證錯誤、無效權杖或過期的 Cookie。
| 事件或徵兆 | 可能的原因 | 解決方案 |
|---|---|---|
| 11005 Web 應用程式 Proxy 無法使用組態中的祕密金鑰來建立 Cookie 加密金鑰。 |
PowerShell Cmdlet 已變更全域組態 AccessCookiesEncryptionKey 參數: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
您不需要執行任何動作。 已移除有問題的 Cookie,並將使用者重新導向至 STS 以進行驗證。 |
| 12000 Web 應用程式 Proxy 無法檢查組態變更至少 60 分鐘 |
Web 應用程式 Proxy 無法使用 Cmdlet Get-WebApplicationProxyConfiguration/Application存取 Web 應用程式 Proxy 組態。 這是因為沒有與 AD FS 的連線,或需要更新與 AD FS 的信任。 |
檢查與 AD FS 的連線。 您可以使用連結 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml 來執行此動作。 請確定 AD FS 與 Web 應用程式 Proxy 之間已建立信任。 如果這些解決方案無法運作,請執行 Install-WebApplicationProxy Cmdlet。 |
| 12003 Web 應用程式 Proxy 無法剖析存取 Cookie。 |
這可能表示 Web 應用程式 Proxy 和 AD FS 未連線,或未收到相同的組態。 | 檢查與 AD FS 的連線。 您可以使用連結 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml 來執行此動作。 請確定 AD FS 與 Web 應用程式 Proxy 之間已建立信任。 如果這些解決方案無法運作,請執行 Install-WebApplicationProxy Cmdlet。 |
| 12004 Web 應用程式 Proxy 收到具有無效存取 Cookie 的要求。 |
此事件可能表示 Web 應用程式 Proxy 和 AD FS 未連線,或未收到相同的組態。 如果您執行 |
檢查與 AD FS 的連線。 您可以使用連結 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml 來執行此動作。 請確定 AD FS 與 Web 應用程式 Proxy 之間已建立信任。 如果這些解決方案無法運作,請執行 Install-WebApplicationProxy Cmdlet。 |
| 12008 Web 應用程式 Proxy 超過嘗試向後端伺服器進行 Kerberos 驗證的允許次數上限。 |
這個事件可能表示 Web 應用程式 Proxy 和後端應用程式伺服器之間的組態不正確,或兩台電腦上都有日期和時間組態問題。 | 後端伺服器拒絕 Web 應用程式 Proxy 所建立的 Kerberos 票證。 請確認 Web 應用程式 Proxy 和後端應用程式伺服器上的組態均已正確設定。 請確定 Web 應用程式 Proxy 和後端應用程式伺服器上的日期和時間組態已同步。 |
| 12011 Web 應用程式 Proxy 收到具有無效存取 Cookie 簽章的要求。 |
此事件可能表示 Web 應用程式 Proxy 和 AD FS 未連線,或未收到相同的組態。 如果您執行 AccessCookiesEncryptionKey 的參數已由 Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey PowerShell Cmdlet變更,則此事件是正常的,而且不需要任何解決步驟。 |
檢查與 AD FS 的連線。 您可以使用連結 https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml 來執行此動作。 請確定 AD FS 與 Web 應用程式 Proxy 之間已建立信任。 如果這些解決方案無法運作,請執行 Install-WebApplicationProxy Cmdlet。 |
| 12027 Proxy 處理要求時發生非預期的錯誤。 提供的名稱並非適當格式的帳戶名稱。 |
這個事件可能表示 Web 應用程式 Proxy 和網域控制站伺服器之間的組態不正確,或兩台電腦上都有日期和時間組態問題。 | 網域控制站拒絕 Web 應用程式 Proxy 所建立的 Kerberos 票證。 請確認 Web 應用程式 Proxy 和後端應用程式伺服器上的組態均已正確設定,尤其是 SPN 組態。 請確定 Web 應用程式 Proxy 已加入至與網域控制站相同的網域,以確保網域控制站與 Web 應用程式 Proxy 建立信任。 請確定 Web 應用程式 Proxy 和網域控制站上的日期和時間組態已同步。 |
| 13012 Web 應用程式 Proxy 收到無效邊緣權杖簽章 |
請務必使用 Web 應用程式 Proxy 更新 Web 應用程式 Proxy,在 Windows Server 2012 R2 上自動更新之後,無法偵測更新的憑證。 | |
| 13013 Web 應用程式 Proxy 收到包含過期邊緣權杖的要求。 |
Web 應用程式 Proxy 和 AD FS 沒有已同步的時鐘。 | 將 Web 應用程式 Proxy 與 AD FS 之間的時鐘同步。 |
| 13014 Web 應用程式 Proxy 收到具有無效邊緣權杖的要求。 無法剖析權杖,致使權杖無效。 |
這可能表示 AD FS 組態發生問題。 | 檢查您的 AD FS 組態,並視需要還原預設組態。 |
| 13015 Web 應用程式 Proxy 收到具有過期存取 Cookie 的要求。 |
這可能表示時鐘未同步。 | 如果您使用 Web 應用程式 Proxy 電腦的叢集,請確定機器的日期和時間已同步。 |
| 13016 Web 應用程式 Proxy 無法代表使用者擷取 Kerberos 票證,因為邊緣權杖或存取 Cookie 中沒有任何 UPN。 |
STS 設定發生問題。 | 修正 STS 中的 UPN 宣告設定。 |
| 13019 Web 應用程式 Proxy 無法代表使用者擷取 Kerberos 票證,因為發生下列一般 API 錯誤 |
這個事件可能表示 Web 應用程式 Proxy 和網域控制站伺服器之間的組態不正確,或兩台電腦上都有日期和時間組態問題。 | 網域控制站拒絕 Web 應用程式 Proxy 所建立的 Kerberos 票證。 請確認 Web 應用程式 Proxy 和後端應用程式伺服器上的組態均已正確設定,尤其是 SPN 組態。 請確定 Web 應用程式 Proxy 已加入至與網域控制站相同的網域,以確保網域控制站與 Web 應用程式 Proxy 建立信任。 請確定 Web 應用程式 Proxy 和網域控制站上的日期和時間組態已同步。 |
| 13020 Web 應用程式 Proxy 無法代表使用者擷取 Kerberos 票證,因為未定義後端伺服器 SPN。 |
這個事件可能表示 Web 應用程式 Proxy 和網域控制站伺服器之間的組態不正確,或兩台電腦上都有日期和時間組態問題。 | 網域控制站拒絕 Web 應用程式 Proxy 所建立的 Kerberos 票證。 請確認 Web 應用程式 Proxy 和後端應用程式伺服器上的組態均已正確設定,尤其是 SPN 組態。 請確定 Web 應用程式 Proxy 已加入至與網域控制站相同的網域,以確保網域控制站與 Web 應用程式 Proxy 建立信任。 請確定 Web 應用程式 Proxy 和網域控制站上的日期和時間組態已同步。 |
| 13022 Web 應用程式 Proxy 無法驗證使用者,因為後端伺服器以 HTTP 401 錯誤回應 Kerberos 驗證嘗試。 |
這個事件可能表示 Web 應用程式 Proxy 和後端應用程式伺服器之間的組態不正確,或兩台電腦上都有日期和時間組態問題。 | 後端伺服器拒絕 Web 應用程式 Proxy 所建立的 Kerberos 票證。 請確認 Web 應用程式 Proxy 和後端應用程式伺服器上的組態均已正確設定。 請確定 Web 應用程式 Proxy 和後端應用程式伺服器上的日期和時間組態已同步。 |
| 13025 用戶端未向 Web 應用程式 Proxy 出示 SSL 憑證。 |
此事件可能表示日期和時間組態發生問題。 | 請確定憑證基礎結構有效,且 Web 應用程式 Proxy 和 AD FS 的日期和時間已同步。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13026 用戶端向 Web 應用程式 Proxy 出示 SSL 憑證,但憑證無效:憑證不符合指紋。 |
此事件可能表示日期和時間組態發生問題。 | 請確定憑證基礎結構有效,且 Web 應用程式 Proxy 和 AD FS 的日期和時間已同步。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13028 Web 應用程式 Proxy 收到包含尚未有效之邊緣權杖的要求。 |
此事件可能表示日期和時間組態發生問題。 | 請確定憑證基礎結構有效,且 Web 應用程式 Proxy 和 AD FS 的日期和時間已同步。 |
| 13030 用戶端向 Web 應用程式 Proxy 出示 SSL 憑證,但信任提供者不信任簽發用戶端憑證的憑證授權單位。 |
此事件可能表示日期和時間組態發生問題。 | 請確定憑證基礎結構有效,且 Web 應用程式 Proxy 和 AD FS 的日期和時間已同步。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13031 用戶端向 Web 應用程式 Proxy 出示 SSL 憑證,但憑證鏈結在信任提供者不信任的根憑證中終止。 |
此事件可能表示日期和時間組態發生問題。 | 請確定憑證基礎結構有效,且 Web 應用程式 Proxy 和 AD FS 的日期和時間已同步。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13032 用戶端向 Web 應用程式 Proxy 出示 SSL 憑證,但憑證對要求的使用方式無效。 |
此事件可能表示日期和時間組態發生問題。 | 請確定憑證基礎結構有效,且 Web 應用程式 Proxy 和 AD FS 的日期和時間已同步。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13033 用戶端向 Web 應用程式 Proxy 出示 SSL 憑證,但在驗證目前系統時鐘或已簽署檔案中的時間戳記時,憑證未在其有效期間內。 |
此事件可能表示日期和時間組態發生問題。 | 請確定憑證基礎結構有效,且 Web 應用程式 Proxy 和 AD FS 的日期和時間已同步。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
| 13034 用戶端向 Web 應用程式 Proxy 出示 SSL 憑證,但憑證無效。 |
此事件可能表示日期和時間組態發生問題。 | 請確定憑證基礎結構有效,且 Web 應用程式 Proxy 和 AD FS 的日期和時間已同步。 請確定為 Web 應用程式 Proxy 設定的指紋是正確的指紋。 |
下列系統管理員主控台事件表示與組態有關的問題,例如佈建、未成功的要求、無法連線的後端伺服器和緩衝區溢位。
| 事件或徵兆 | 可能的原因 | 解決方案 |
|---|---|---|
| 12019 Web 應用程式 Proxy 無法建立下列 URL 的接聽程式。 |
事件可能的原因是另一個服務正在接聽相同的 URL。 | 系統管理員必須確保沒有人接聽或繫結至相同的 URL。 若要檢查此問題,請執行命令: netsh http show urlacl。 如果 Web 應用程式 Proxy 電腦上執行的另一個元件會使用此 URL,請將其移除,或使用不同的 URL 透過 Web 應用程式 Proxy 發佈應用程式。 |
| 12020 Web 應用程式 Proxy 無法建立下列 URL 的保留。 |
事件可能的原因是另一個服務在相同的 URL 上有保留。 | 系統管理員必須確定沒有人繫結至相同的 URL。 若要檢查此問題,請執行命令: netsh http show urlacl。 如果 Web 應用程式 Proxy 電腦上執行的另一個元件會使用此 URL,請將其移除,或使用不同的 URL 透過 Web 應用程式 Proxy 發佈應用程式。 |
| 12021 Web 應用程式 Proxy 無法繫結 SSL 伺服器憑證。 已套用所有其他組態設定。 |
無法建立及設定 SSL 憑證資料的組態記錄。 | 請確定針對 Web 應用程式 Proxy 應用程式設定的憑證指紋已安裝在本機電腦存放區中具有私密金鑰的所有 Web 應用程式 Proxy 電腦上。 |
| 13001 後端伺服器出示給 Web 應用程式 Proxy 的 SSL 伺服器憑證無效;憑證不受信任。 |
在伺服器傳送的安全通訊端層 (SSL) 憑證中找到一或多個錯誤。 這可能表示後端伺服器提供的 SSL 無效,或 Web 應用程式 Proxy 與後端伺服器之間沒有信任。 | 驗證後端伺服器 SSL 憑證。 請確定 Web 應用程式 Proxy 電腦已設定為使用正確的根 CA 來信任後端伺服器憑證。 |
| 13006 | 當錯誤碼為 0x80072ee7 時,是因為無法解析後端伺服器 URL 而造成失敗。 WinHttpSendRequest 函式中 會說明其他錯誤碼 (winHTTP.h) | 檢查後端伺服器 URL 是否正確,且可從 Web 應用程式 Proxy 電腦正確解析其名稱。 |
| 13007 來自後端伺服器的 HTTP 回應未在預期的間隔內收到。 |
後端伺服器要求逾時或速度緩慢或沒有回應。 | 檢查後端伺服器組態。 如果速度很慢,請檢查後端伺服器的連線能力,也請考慮變更的 InactiveTransactionsTimeoutSecWeb 應用程式 Proxy 全域組態參數 Cmdlet。 |