Solución de problemas de Application Proxy web
Este artículo es relevante para la versión local de web Application Proxy. Para habilitar el acceso seguro a aplicaciones locales a través de la nube, consulte el contenido de Microsoft Entra Application Proxy.
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
En esta sección se proporcionan procedimientos de solución de problemas para la Application Proxy web, incluidas las explicaciones y soluciones de eventos. Hay tres lugares donde se muestran los errores:
En la consola de administrador de web Application Proxy
Cada identificador de evento que aparece en la consola de administrador se puede ver en windows Visor de eventos y las descripciones y soluciones correspondientes se encuentran a continuación.
Abra Visor de eventos y busque eventos relacionados con Application Proxy web en Registros > de aplicaciones y serviciosde Microsoft>Windows>Web Application Proxy>Administración.
Si es necesario, los registros detallados están disponibles activando los registros de análisis y depuración y activando el registro de sesión web Application Proxy, que se encuentra en la Visor de eventos de Windows en \Microsoft\Windows\Web Application Proxy\Administración.
En errores de PowerShell
Los eventos de problemas detectados durante la configuración se muestran en PowerShell.
Todos los errores se presentan al usuario de PowerShell mediante las solicitudes de error estándar de PowerShell. Todos los cmdlets de PowerShell se registran como eventos. Todos los eventos que se producen en PowerShell se enumeran en la Visor de eventos de Windows con el número de identificador 12016 y se definen a continuación en la sección de PowerShell.
En el analizador de procedimientos recomendados
Estos eventos se describen en el analizador de procedimientos recomendados para Application Proxy web.
Mensajes de PowerShell
| Evento o síntoma | Causa posible | Solución |
|---|---|---|
| El certificado de confianza ("ADFS ProxyTrust - <WAP machine name>") no es válido | Esto podría deberse a cualquiera de los siguientes elementos: - La máquina Application Proxy estaba apagada durante demasiado tiempo. |
Asegúrese de que los relojes están sincronizados. Ejecute el Install-WebApplicationProxy cmdlet . |
| No se encontraron datos de configuración en AD FS | Esto puede deberse a que la Application Proxy web aún no estaba totalmente instalada o debido a cambios en la base de datos de AD FS o daños en la base de datos. | Ejecución del Install-WebApplicationProxy cmdlet |
| Error cuando Application Proxy web intentó leer la configuración de AD FS. | Esto puede indicar que AD FS no es accesible o que AD FS encontró un problema interno al intentar leer la configuración de la base de datos de AD FS. | Compruebe que AD FS es accesible y funciona correctamente. |
| Los datos de configuración almacenados en AD FS están dañados o el Application Proxy web no pudo analizarlos. OR La Application Proxy web no pudo recuperar la lista de usuarios de confianza de AD FS. |
Esto puede ocurrir si los datos de configuración se modificaron en AD FS. | Reinicie el servicio web Application Proxy. Si el problema persiste, ejecute el Install-WebApplicationProxy cmdlet . |
Eventos de consola de administrador
Los siguientes eventos de consola de administrador indican errores de autenticación, tokens no válidos o cookies expiradas.
| Evento o síntoma | Causa posible | Solución |
|---|---|---|
| 11005 La Application Proxy web no pudo crear la clave de cifrado de cookies mediante el secreto de la configuración. |
El cmdlet de PowerShell cambió el parámetro de configuración AccessCookiesEncryptionKey global: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
No se requiere ninguna acción. Se quitó la cookie problemática y se redirigió al usuario a STS para la autenticación. |
| 12000 La Application Proxy web no pudo comprobar si hay cambios de configuración durante al menos 60 minutos. |
La Application Proxy web no puede acceder a la configuración de web Application Proxy mediante el cmdlet Get-WebApplicationProxyConfiguration/Application. Esto se debe a la falta de conectividad con AD FS o a la necesidad de renovar la confianza con AD FS. |
Compruebe la conectividad con AD FS. Puede hacerlo mediante el vínculo https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Asegúrese de que hay confianza establecida entre AD FS y la Application Proxy web. Si estas soluciones no funcionan, ejecute el Install-WebApplicationProxy cmdlet . |
| 12003 La Application Proxy web no pudo analizar la cookie de acceso. |
Esto puede indicar que el Application Proxy web y AD FS no están conectados o que no reciben la misma configuración. | Compruebe la conectividad con AD FS. Puede hacerlo mediante el vínculo https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Asegúrese de que hay confianza establecida entre AD FS y la Application Proxy web. Si estas soluciones no funcionan, ejecute el Install-WebApplicationProxy cmdlet . |
| 12004 El Application Proxy web recibió una solicitud con una cookie de acceso no válida. |
Este evento puede indicar que el Application Proxy web y AD FS no están conectados o que no reciben la misma configuración. Si ejecutó el parámetro cambiado por |
Compruebe la conectividad con AD FS. Puede hacerlo mediante el vínculo https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Asegúrese de que hay confianza establecida entre AD FS y la Application Proxy web. Si estas soluciones no funcionan, ejecute el Install-WebApplicationProxy cmdlet . |
| 12008 La Application Proxy web superó el número máximo de intentos de autenticación Kerberos permitidos en el servidor back-end. |
Este evento puede indicar una configuración incorrecta entre Application Proxy web y el servidor de aplicaciones back-end, o un problema en la configuración de fecha y hora en ambas máquinas. | El servidor back-end rechazó el vale kerberos creado por web Application Proxy. Compruebe que la configuración de la Application Proxy web y el servidor de aplicaciones back-end están configuradas correctamente. Asegúrese de que la configuración de fecha y hora en la Application Proxy web y el servidor de aplicaciones back-end están sincronizadas. |
| 12011 El Application Proxy web recibió una solicitud con una firma de cookies de acceso no válida. |
Este evento puede indicar que el Application Proxy web y AD FS no están conectados o que no reciben la misma configuración. Si ejecutó el parámetro cambiado por Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey el AccessCookiesEncryptionKey cmdlet de PowerShell, este evento es normal y no requiere pasos de resolución. |
Compruebe la conectividad con AD FS. Puede hacerlo mediante el vínculo https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Asegúrese de que hay confianza establecida entre AD FS y la Application Proxy web. Si estas soluciones no funcionan, ejecute el Install-WebApplicationProxy cmdlet . |
| 12027 El proxy encontró un error inesperado al procesar la solicitud. El nombre proporcionado no es un nombre de cuenta con el formato correcto. |
Este evento puede indicar una configuración incorrecta entre Application Proxy web y el servidor del controlador de dominio, o un problema en la configuración de fecha y hora en ambos equipos. | El controlador de dominio rechazó el vale de Kerberos creado por web Application Proxy. Compruebe que la configuración de la Application Proxy web y el servidor de aplicaciones back-end están configuradas correctamente, especialmente la configuración de SPN. Asegúrese de que el Application Proxy web está unido al mismo dominio que el controlador de dominio para asegurarse de que el controlador de dominio establece la confianza con Application Proxy web. Asegúrese de que se sincronizan la configuración de fecha y hora en la Application Proxy web y el controlador de dominio. |
| 13012 La Application Proxy web recibió una firma de token perimetral no válida |
Asegúrese de que ha actualizado la Application Proxy web con Web Application Proxy no puede detectar el certificado actualizado después de que se actualice automáticamente en Windows Server 2012 R2. | |
| 13013 El Application Proxy web recibió una solicitud que contenía un token perimetral expirado. |
Los Application Proxy web y AD FS no tienen relojes sincronizados. | Sincronice los relojes entre Application Proxy web y AD FS. |
| 13014 El Application Proxy web recibió una solicitud con un token perimetral no válido. El token no es válido porque no se pudo analizar. |
Esto puede indicar un problema con la configuración de AD FS. | Compruebe la configuración de AD FS y, si es necesario, restaure la configuración predeterminada. |
| 13015 El Application Proxy web recibió una solicitud con una cookie de acceso expirada. |
Esto podría indicar relojes que no están sincronizados. | Si está trabajando con un clúster de máquinas web Application Proxy, asegúrese de que la hora y la fecha de las máquinas están sincronizadas. |
| 13016 La Application Proxy web no puede recuperar un vale kerberos en nombre del usuario porque no hay ningún UPN en el token perimetral ni en la cookie de acceso. |
Hay un problema con la configuración de STS. | Corrija la configuración de notificación de UPN en el STS. |
| 13019 La Application Proxy web no puede recuperar un vale de Kerberos en nombre del usuario debido al siguiente error general de LA API. |
Este evento puede indicar una configuración incorrecta entre Application Proxy web y el servidor del controlador de dominio, o un problema en la configuración de fecha y hora en ambos equipos. | El controlador de dominio rechazó el vale de Kerberos creado por web Application Proxy. Compruebe que la configuración de la Application Proxy web y el servidor de aplicaciones back-end están configuradas correctamente, especialmente la configuración de SPN. Asegúrese de que el Application Proxy web está unido al mismo dominio que el controlador de dominio para asegurarse de que el controlador de dominio establece la confianza con Application Proxy web. Asegúrese de que se sincronizan la configuración de fecha y hora en la Application Proxy web y el controlador de dominio. |
| 13020 La Application Proxy web no puede recuperar un vale kerberos en nombre del usuario porque el SPN del servidor back-end no está definido. |
Este evento puede indicar una configuración incorrecta entre Application Proxy web y el servidor del controlador de dominio, o un problema en la configuración de fecha y hora en ambos equipos. | El controlador de dominio rechazó el vale de Kerberos creado por web Application Proxy. Compruebe que la configuración de la Application Proxy web y el servidor de aplicaciones back-end están configuradas correctamente, especialmente la configuración de SPN. Asegúrese de que el Application Proxy web está unido al mismo dominio que el controlador de dominio para asegurarse de que el controlador de dominio establece la confianza con Application Proxy web. Asegúrese de que se sincronizan la configuración de fecha y hora en la Application Proxy web y el controlador de dominio. |
| 13022 La Application Proxy web no puede autenticar al usuario porque el servidor back-end responde a los intentos de autenticación Kerberos con un error HTTP 401. |
Este evento puede indicar una configuración incorrecta entre Application Proxy web y el servidor de aplicaciones back-end, o un problema en la configuración de fecha y hora en ambas máquinas. | El servidor back-end rechazó el vale kerberos creado por web Application Proxy. Compruebe que la configuración de la Application Proxy web y el servidor de aplicaciones back-end están configuradas correctamente. Asegúrese de que la configuración de fecha y hora en la Application Proxy web y el servidor de aplicaciones back-end están sincronizadas. |
| 13025 El cliente no presentó un certificado SSL a Application Proxy web. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura del certificado es válida y de que la hora y la fecha de la Application Proxy web y AD FS están sincronizadas. Asegúrese de que la huella digital configurada para el Application Proxy web es la correcta. |
| 13026 El cliente presentó un certificado SSL en web Application Proxy, pero el certificado no es válido: el certificado no coincide con la huella digital. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura del certificado es válida y de que la hora y la fecha de la Application Proxy web y AD FS están sincronizadas. Asegúrese de que la huella digital configurada para el Application Proxy web es la correcta. |
| 13028 El Application Proxy web recibió una solicitud que contenía un token perimetral que aún no es válido. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura del certificado es válida y de que la hora y la fecha de la Application Proxy web y AD FS están sincronizadas. |
| 13030 El cliente presentó un certificado SSL a web Application Proxy, pero el proveedor de confianza no confía en la entidad de certificación que emitió el certificado de cliente. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura del certificado es válida y de que la hora y la fecha de la Application Proxy web y AD FS están sincronizadas. Asegúrese de que la huella digital configurada para el Application Proxy web es la correcta. |
| 13031 El cliente presentó un certificado SSL a web Application Proxy, pero la cadena de certificados finalizó en un certificado raíz que no es de confianza para el proveedor de confianza. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura del certificado es válida y de que la hora y la fecha de la Application Proxy web y AD FS están sincronizadas. Asegúrese de que la huella digital configurada para el Application Proxy web es la correcta. |
| 13032 El cliente presentó un certificado SSL a web Application Proxy, pero el certificado no era válido para el uso solicitado. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura del certificado es válida y de que la hora y la fecha de la Application Proxy web y AD FS están sincronizadas. Asegúrese de que la huella digital configurada para el Application Proxy web es la correcta. |
| 13033 El cliente presentó un certificado SSL a web Application Proxy, pero el certificado no estaba dentro de su período de validez al comprobar con el reloj del sistema actual o la marca de tiempo en el archivo firmado. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura del certificado es válida y de que la hora y la fecha de la Application Proxy web y AD FS están sincronizadas. Asegúrese de que la huella digital configurada para el Application Proxy web es la correcta. |
| 13034 El cliente presentó un certificado SSL a Application Proxy web, pero el certificado no era válido. |
Este evento puede indicar un problema en la configuración de fecha y hora. | Asegúrese de que la infraestructura del certificado es válida y de que la hora y la fecha de la Application Proxy web y AD FS están sincronizadas. Asegúrese de que la huella digital configurada para el Application Proxy web es la correcta. |
Los siguientes eventos de consola de administrador indican problemas que tienen que ver con la configuración, como el aprovisionamiento, las solicitudes que no son correctas, los servidores back-end que son inaccesibles y los desbordamientos de búfer.
| Evento o síntoma | Causa posible | Solución |
|---|---|---|
| 12019 La Application Proxy web no pudo crear un agente de escucha para la siguiente dirección URL. |
Una posible causa del evento es que otro servicio escucha la misma dirección URL. | El administrador debe asegurarse de que nadie escucha ni enlaza a las mismas direcciones URL. Para comprobarlo, ejecute el comando : netsh http show urlacl. Si otro componente que ejecuta esta dirección URL se ejecuta en la máquina web Application Proxy, quítelo o use una dirección URL diferente para publicar las aplicaciones a través de la Application Proxy web. |
| 12020 La Application Proxy web no pudo crear una reserva para la siguiente dirección URL. |
Una posible causa del evento es que otro servicio tiene una reserva en la misma dirección URL. | El administrador debe asegurarse de que nadie se enlaza a las mismas direcciones URL. Para comprobarlo, ejecute el comando : netsh http show urlacl. Si otro componente que ejecuta esta dirección URL se ejecuta en la máquina web Application Proxy, quítelo o use una dirección URL diferente para publicar las aplicaciones a través de la Application Proxy web. |
| 12021 La Application Proxy web no pudo enlazar el certificado de servidor SSL. Se aplicaron todas las demás opciones de configuración. |
No se puede crear y establecer un registro de configuración de datos de certificado SSL. | Asegúrese de que las huellas digitales de certificado que están configuradas para las aplicaciones web Application Proxy están instaladas en todas las máquinas web Application Proxy con una clave privada en el almacén de equipos local. |
| 13001 El certificado de servidor SSL presentado a web Application Proxy por el servidor back-end no es válido; el certificado no es de confianza. |
Se encontraron uno o más errores en el certificado de capa de sockets seguros (SSL) enviado por el servidor. Esto podría indicar que el servidor back-end proporcionó un SSL que no era válido o que no hay confianza entre el Application Proxy web y el servidor back-end. | Valide un certificado SSL de servidor back-end. Asegúrese de que la máquina web Application Proxy está configurada con las CA raíz adecuadas para confiar en el certificado de servidor back-end. |
| 13006 | Cuando se 0x80072ee7 el código de error, el error se debe a la incapacidad de resolver la dirección URL del servidor back-end. Otros códigos de error se describen en la función WinHttpSendRequest (winhttp.h) | Compruebe que la dirección URL del servidor back-end es correcta y que su nombre se puede resolver correctamente desde la máquina web Application Proxy. |
| 13007 La respuesta HTTP del servidor back-end no se recibió dentro del intervalo esperado. |
Se agotó el tiempo de espera de la solicitud del servidor back-end o es lenta o no responde. | Compruebe la configuración del servidor back-end. Si es lento, compruebe la conectividad con el servidor back-end y considere también la posibilidad de cambiar el cmdlet de parámetros de configuración global web Application Proxy para InactiveTransactionsTimeoutSec. |
Referencias
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de