Solución de problemas y mensajes de error del proxy de aplicación

  • Artículo

En primer lugar, asegúrese de que los conectores de red privada están configurados correctamente. Para obtener más información, consulte Problemas del conector de red privada de depuración y Problemas de la aplicación proxy de aplicación de depuración.

Si se producen errores al obtener acceso a una aplicación publicada o al publicar aplicaciones, compruebe las siguientes opciones para ver si el proxy de aplicación de Microsoft Entra funciona correctamente:

  • Abra la consola de Servicios de Windows. Compruebe que el Conector de red privada de Microsoft Entra está habilitado y en ejecución. Examine la página de propiedades del servicio proxy de aplicación, como se muestra en la imagen.
    Captura de pantalla de la ventana Propiedades del conector de red privada de Microsoft Entra
  • Abre el Visor de eventos y busca eventos de conector de red privada en Registros de aplicaciones y servicios de >Microsoft>Red privada de Microsoft Entra>Conector>Administrador.
  • Revise los registros detallados. Active los registros de sesión del conector de red privada.

La página no se representa correctamente

Tiene problemas con la representación o el funcionamiento incorrecto de la aplicación, aunque no reciba ningún mensaje de error específico. El problema se produce si se publica la ruta de acceso del artículo, pero la aplicación requiere contenido que existe fuera de dicha ruta de acceso.

Por ejemplo, si publica la ruta de acceso https://yourapp/app, pero la aplicación llama a imágenes de https://yourapp/media, no se representan. Asegúrese de publicar la aplicación con la ruta de nivel superior que debe incluir todo el contenido relevante. En este ejemplo, sería http://yourapp/.

Una aplicación de proxy de aplicación tarda demasiado tiempo en cargarse

Las aplicaciones pueden ser funcionales, pero experimentar una latencia larga. Los ajustes de topología de red pueden mejorar la velocidad. Para una evaluación de diferentes topologías, consulte el documento de consideraciones de red.

La página aplicación no se muestra correctamente para una aplicación de proxy de aplicación

Al publicar una aplicación de proxy de aplicación, solo se puede acceder a las páginas de la raíz al acceder a la aplicación. Si la página no se muestra correctamente, puede que falten algunos recursos de página en la dirección URL interna raíz utilizada para la aplicación. Para resolverlo, publique todos los recursos de la página como parte de la aplicación.

Compruebe si faltan recursos es el problema. Abrir el rastreador de red, como Las herramientas de Fiddler o F12 en Microsoft Edge. Cargue la página y busque errores 404. Los errores indican que no se pueden encontrar las páginas y que necesita publicarlas.

Por ejemplo, supongamos que ha publicado una aplicación de gastos mediante la dirección URL interna http://myapps/expenses, pero la aplicación usa la hoja de estilos http://myapps/style.css. La hoja de estilos no se publica en la aplicación, por lo que cargar la aplicación de gastos produce un error 404 al intentar cargar style.css. En este ejemplo, resuelva el problema publicando la aplicación con la dirección URL interna http://myapp/.

Problemas con la publicación como aplicación

Si no es posible publicar todos los recursos dentro de la misma aplicación, debe publicar varias aplicaciones y habilitar vínculos entre ellos.

Para ello, se recomienda utilizar la solución de dominios personalizados. Sin embargo, esta solución requiere que posea el certificado de su dominio y que las aplicaciones usen nombres de dominio completos (FQDN). Para ver otras opciones, consulte la documentación sobre la solución de problemas de vínculos rotos.

Puedo acceder a mi aplicación, pero los vínculos en la página de la aplicación no funcionan.

Tengo un problema de conectividad con mi aplicación

No sé qué puertos abrir para mi aplicación.

Tengo un problema al configurar Microsoft Entra Application Proxy en el portal de administración

No sé cómo configurar un inicio de sesión único en mi aplicación del proxy de aplicación.

Tengo un problema al configurar la autenticación back-end en mi aplicación

No sé cómo configurar la delegación limitada de Kerberos. No sabe cómo configurar mi aplicación con PingAccess.

Tengo un problema al iniciar sesión en mi aplicación

Obtengo el error Can't Access this Corporate Application. Para solucionar este problema, vea Error de tiempo de espera de puerta de enlace incorrecta.

Tengo un problema con el conector de red privada

Tengo problemas al instalar el conector de red privada.

Errores de Kerberos

En esta tabla se incluyen los errores más comunes de instalación y configuración de Kerberos y se realizan sugerencias para la resolución.

Error Pasos recomendados
Failed to retrieve the current execution policy for running PowerShell scripts. Si se produce un error en la instalación del conector, compruebe que la directiva de ejecución de PowerShell no está deshabilitada.

1. Abra el Editor de directivas de grupo.
2. Vaya a Configuración del equipo>Plantillas administrativas>Componentes de Windows>Windows PowerShell y haga doble clic en Activar la ejecución de scripts.
3. La directiva de ejecución puede definirse como No configurado o Habilitado. Si elige Habilitado, asegúrese de que, en Opciones, en Directiva de ejecución se selecciona en Permitir scripts locales y scripts remotos firmados o en Permitir todos los scripts.
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. Este error indica una configuración incorrecta entre Microsoft Entra ID y el servidor de aplicaciones backend o un problema en la configuración de fecha y hora de ambas máquinas. El servidor backend rechazó el vale Kerberos creado por Microsoft Entra ID. Compruebe que tanto Microsoft Entra ID como el servidor de aplicaciones backend están configurados correctamente. Asegúrese de que la configuración de fecha y hora de Microsoft Entra ID y el servidor de aplicaciones backend está sincronizada.
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. Hay un problema con la configuración del Servicio de token de seguridad (STS). Corrija la configuración de notificación de Nombre principal de usuario (UPN) en STS.
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. Este evento indica una configuración incorrecta entre Microsoft Entra ID y el servidor de controlador de dominio o un problema en la configuración de fecha y hora de ambas máquinas. El controlador de dominio rechazó el vale Kerberos creado por Microsoft Entra ID. Compruebe que tanto Microsoft Entra ID como el servidor de aplicaciones backend están configurados correctamente, especialmente la configuración del Nombre de entidad de seguridad de servicio (SPN). Asegúrese de que el controlador de dominio establece la confianza con Microsoft Entra ID. Ambos deben usar el mismo dominio. Asegúrese de que la configuración de fecha y hora de Microsoft Entra ID y el controlador de dominio está sincronizada.
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. Este evento indica una configuración incorrecta entre Microsoft Entra ID y el servidor de controlador de dominio o un problema en la configuración de fecha y hora de ambas máquinas. El controlador de dominio rechazó el vale Kerberos creado por Microsoft Entra ID. Compruebe que tanto Microsoft Entra ID como el servidor de aplicaciones backend están configurados correctamente, especialmente la configuración de SPN. Asegúrese de que el controlador de dominio establece la confianza con Microsoft Entra ID. Ambos deben usar el mismo dominio. Asegúrese de que la configuración de fecha y hora de Microsoft Entra ID y el controlador de dominio está sincronizada.
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. Este evento indica una configuración incorrecta entre Microsoft Entra ID y el servidor de aplicaciones backend o un problema en la configuración de fecha y hora de ambas máquinas. El servidor backend rechazó el vale Kerberos creado por Microsoft Entra ID. Compruebe que tanto Microsoft Entra ID como el servidor de aplicaciones backend están configurados correctamente. Asegúrese de que la configuración de fecha y hora de Microsoft Entra ID y el servidor de aplicaciones backend está sincronizada. Para obtener más información, vea Solucionar problemas de las configuraciones de delegación limitada de Kerberos para el proxy de aplicación.

Errores del usuario final

En esta lista se muestran los errores que los usuarios finales pueden encontrar al intentar acceder a la aplicación.

Error Pasos recomendados
The website cannot display the page. El usuario obtiene este error al intentar acceder a la aplicación que publicó si esta es una aplicación de Autenticación integrada de Windows (IWA). El SPN definido para esta aplicación es incorrecto. Para las aplicaciones IWA: asegúrese de que el SPN configurado para esta aplicación es correcto.
The website cannot display the page. El usuario obtiene este error al intentar acceder a la aplicación que publicó si esta es una aplicación de Aplicación web de Outlook (OWA). El problema es el resultado de lo siguiente:
  • El SPN definido para esta aplicación es incorrecto. Asegúrese de que el SPN configurado para esta aplicación es correcto.
  • El usuario que intentó obtener acceso a la aplicación usa una cuenta Microsoft en lugar de la cuenta corporativa adecuada para iniciar sesión, o bien el usuario es un usuario invitado. Asegúrese de que el usuario inicia sesión con la cuenta corporativa que coincide con el dominio de la aplicación publicada. Los usuarios de cuenta Microsoft y los invitados no pueden acceder a aplicaciones IWA.
  • El usuario que intentó acceder a la aplicación no está correctamente definido para esta aplicación a nivel local. Asegúrese de que este usuario tiene los permisos adecuados como se define para esta aplicación back-end en el equipo local.
    		•
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. El usuario obtiene este error al intentar acceder a la aplicación que publicó si usa cuentas de Microsoft para iniciar sesión en lugar de su cuenta corporativa. Los usuarios invitados obtienen este error. Los usuarios y los invitados de la Cuenta Microsoft no pueden acceder a aplicaciones IWA. Asegúrese de que el usuario inicia sesión con la cuenta corporativa que coincide con el dominio de la aplicación publicada.

    Debe asignar el usuario para esta aplicación. Vaya a la pestaña Aplicación y, en Usuarios y grupos, asigne este usuario o grupo de usuarios a esta aplicación.
    This corporate app can’t be accessed right now. Please try again later… The connector timed out. El usuario obtiene este error al intentar acceder a la aplicación que publicó si no está definido correctamente para esta aplicación a nivel local. Asegúrese de que los usuarios tengan los permisos adecuados definidos para esta aplicación back-end en el equipo local.
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. El usuario obtiene este error al intentar acceder a la aplicación que publicó si el administrador del suscriptor no le asignó explícitamente una licencia Premium. Vaya a la pestaña Licencias de Active Directory del suscriptor y asegúrese de que se asigne a este usuario o grupo de usuarios una licencia Premium.
    A server with the specified host name could not be found. El usuario obtiene este error al intentar acceder a la aplicación que publicó si el dominio personalizado de la aplicación no está configurado correctamente. Compruebe el certificado del dominio y configure el registro del Sistema de nombres de dominio (DNS) correctamente. Para obtener más información, vea Usar dominios personalizados en el proxy de aplicaciones de Microsoft Entra.
    Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. El problema podría ser un problema con el acceso a la información de autorización. Para más información, vea (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). En resumen, agrega la cuenta de máquina del conector del red privada al grupo de dominio integrado "Grupo de acceso de autorización de Windows" para resolverlo.
    InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. El conector protege las conexiones salientes a los puntos de conexión de servicio en la nube del proxy de aplicación de Microsoft Entra mediante un certificado de cliente. El error se produce cuando el certificado de cliente no puede llegar al punto de conexión. Por ejemplo, un dispositivo de red que realiza la inspección de Seguridad de la capa de transporte (TLS) o la interrupción de la conexión TLS. Evite la inspección insertada y la terminación de las comunicaciones TLS de salida. La inspección y la terminación no deben producirse entre los conectores de red privada de Microsoft Entra y los servicios en la nube del proxy de aplicación de Microsoft Entra.

    Consulte también