Risolvere i problemi e i messaggi di errore del proxy dell'applicazioneTroubleshoot Application Proxy problems and error messages

Se si verificano errori durante l'accesso a un'applicazione pubblicata o durante la pubblicazione di applicazioni, controllare le opzioni seguenti per verificare se il Proxy applicazione di Microsoft Azure AD funziona correttamente: If errors occur in accessing a published application or in publishing applications, check the following options to see if Microsoft Azure AD Application Proxy is working correctly:

  • Aprire la console dei servizi Windows e verificare che il servizio Microsoft AAD Application Proxy Connector sia abilitato e in esecuzione.Open the Windows Services console and verify that the Microsoft AAD Application Proxy Connector service is enabled and running. È anche possibile osservare la pagina delle proprietà del servizio Proxy applicazione, come mostrato nell'immagine seguente: You may also want to look at the Application Proxy service properties page, as shown in the following image:
    Schermata della finestra delle proprietà del connettore Proxy applicazione di Microsoft AADMicrosoft AAD Application Proxy Connector Properties window screenshot
  • Aprire il Visualizzatore eventi e cercare gli eventi correlati al connettore del proxy di applicazione in Registri applicazioni e servizi > Microsoft > AadApplicationProxy > Connector > Admin.Open Event Viewer and look for Application Proxy connector events in Applications and Services Logs > Microsoft > AadApplicationProxy > Connector > Admin.
  • Se necessario, attivando i log di sessione dei connettore proxy di applicazione sono disponibili log più dettagliati.If needed, more detailed logs are available by turning on the Application Proxy connector session logs.

Per altre informazioni sullo strumento di risoluzione dei problemi di Azure AD, vedere Troubleshooting tool to validate connector networking prerequisites (Strumento di risoluzione dei problemi per convalidare i prerequisiti di rete del connettore).For more information about the Azure AD Troubleshooting tool, see Troubleshooting tool to validate connector networking prerequisites.

La pagina non viene visualizzata correttamenteThe page is not rendered correctly

È possibile che si verifichino problemi di rendering o di funzionamento dell'applicazione, ma che non vengano visualizzati messaggi di errore specifici.You may have problems with your application rendering or functioning incorrectly without receiving specific error messages. Ciò può verificarsi se è stato pubblicato il percorso dell'articolo, ma l'applicazione richiede contenuto esistente al di fuori di tale percorso.This can occur if you published the article path, but the application requires content that exists outside that path.

Se ad esempio si pubblica il percorso https://yourapp/app, ma l'applicazione chiama le immagini in https://yourapp/media, il rendering di queste ultime non verrà eseguito.For example, if you publish the path https://yourapp/app but the application calls images in https://yourapp/media, they won't be rendered. Assicurarsi di pubblicare l'applicazione usando il percorso di livello più alto necessario per includere tutto il contenuto rilevante.Make sure that you publish the application using the highest level path you need to include all relevant content. In questo esempio il percorso sarebbe http://yourapp/.In this example, it would be http://yourapp/.

Se si modifica il percorso per includere il contenuto a cui viene fatto riferimento, ma è comunque necessario che gli utenti possano accedere a un collegamento più diretto del percorso, vedere il post di blog Setting the right link for Application Proxy Applications in the Azure AD access panel and Office 365 app launcher(Impostazione del collegamento corretto per le applicazioni del proxy di applicazione nel pannello di accesso di Azure AD e nell'icona di avvio delle app di Office 365).If you change your path to include referenced content, but still need users to land on a deeper link in the path, see the blog post Setting the right link for Application Proxy applications in the Azure AD access panel and Office 365 app launcher.

Errori del connettoreConnector errors

Usare lo strumento per il test delle porte del connettore Proxy di applicazione Azure AD per verificare che il connettore possa raggiungere il servizio proxy di applicazione.Use the Azure AD Application Proxy Connector Ports Test Tool to verify that your connector can reach the Application Proxy service. Assicurarsi almeno che l'area Stati Uniti centrali e l'area più vicina all'utente abbiano segni di spunta verdi.At a minimum, make sure that the Central US region and the region closest to you have all green checkmarks. La presenza di più segni di spunta verdi indica una maggiore resilienza.Beyond that, more green checkmarks means greater resiliency.

Se la registrazione non riesce durante l'installazione guidata del connettore, esistono due modi per visualizzare il motivo dell'errore.If registration fails during the Connector wizard installation, there are two ways to view the reason for the failure. Cercare nel log eventi in Registri applicazioni e servizi\Microsoft\AadApplicationProxy\Connector\Admin oppure eseguire il comando di Windows PowerShell seguente:Either look in the event log under Applications and Services Logs\Microsoft\AadApplicationProxy\Connector\Admin, or run the following Windows PowerShell command:

Get-EventLog application –source “Microsoft AAD Application Proxy Connector” –EntryType “Error” –Newest 1

Dopo aver individuato l'errore del connettore nel log eventi, usare questa tabella di errori comuni per risolvere il problema:Once you find the Connector error from the event log, use this table of common errors to resolve the problem:

Tipi di erroreError Procedure consigliateRecommended steps
La registrazione del connettore non è riuscita: assicurarsi di avere abilitato il Proxy applicazione nel portale di gestione di Azure e di avere immesso il nome utente e la password di Active Directory corretti.Connector registration failed: Make sure you enabled Application Proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Errore: "Si sono verificati uno o più errori".Error: 'One or more errors occurred.' Se si è chiusa la finestra di registrazione senza aver eseguito l'accesso ad Azure AD, eseguire di nuovo la creazione guidata del connettore e registrarlo.If you closed the registration window without signing in to Azure AD, run the Connector wizard again and register the Connector.

Se la finestra di registrazione si apre e poi si chiude immediatamente senza consentire all'utente di accedere, è probabile che venga visualizzato questo errore.If the registration window opens and then immediately closes without allowing you to log in, you will probably get this error. L'errore si verifica quando viene rilevato un errore di rete nel sistema.This error occurs when there is a networking error on your system. Assicurarsi che sia possibile connettersi da un browser a un sito Web pubblico e che le porte siano aperte come specificato in Prerequisiti del Proxy dell’applicazione.Make sure that it is possible to connect from a browser to a public website and that the ports are open as specified in Application Proxy prerequisites.
Viene visualizzato un errore di cancellazione nella finestra di registrazione.Clear error is presented in the registration window. Impossibile proseguireCannot proceed Se viene visualizzato questo errore e la finestra si chiude, è stato commesso un errore durante l'immissione di nome utente o password.If you see this error and then the window closes, you entered the wrong username or password. Riprovare.Try again.
La registrazione del connettore non è riuscita: assicurarsi di avere abilitato il Proxy applicazione nel portale di gestione di Azure e di avere immesso il nome utente e la password di Active Directory corretti.Connector registration failed: Make sure you enabled Application Proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Errore: "AADSTS50059: non sono state trovate informazioni di identificazione del tenant nella richiesta o incluse in modo implicito nelle credenziali fornite e la ricerca in base all'URI dell'entità servizio non è riuscita".Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Si sta provando ad accedere con un account Microsoft e non con un dominio che fa parte dell'ID organizzazione della directory a cui si vuole accedere.You are trying to sign in using a Microsoft Account and not a domain that is part of the organization ID of the directory you are trying to access. Assicurarsi che l'amministratore faccia parte dello stesso nome di dominio del dominio tenant. Ad esempio, se il dominio di Azure AD è contoso.com, l'amministratore dovrà essere admin@contoso.com.Make sure that the admin is part of the same domain name as the tenant domain, for example, if the Azure AD domain is contoso.com, the admin should be admin@contoso.com.
Non è possibile recuperare i criteri di esecuzione correnti per l'esecuzione degli script PowerShell.Failed to retrieve the current execution policy for running PowerShell scripts. Se l'installazione del connettore non riesce, verificare che il criterio di esecuzione di PowerShell non sia disabilitato.If the Connector installation fails, check to make sure that PowerShell execution policy is not disabled.

1. Aprire l'Editor Criteri di gruppo.1. Open the Group Policy Editor.
2. Passare a Configurazione computer > Modelli amministrativi > Componenti di Windows > Windows PowerShell e fare doppio clic su Attiva l'esecuzione di script.2. Go to Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell and double-click Turn on Script Execution.
3. L'esecuzione di questo criterio può essere impostata su Non configurato o Abilitato.3. The execution policy can be set to either Not Configured or Enabled. Se l'impostazione è Abilitato, verificare che in Opzioni la voce Criteri di esecuzione sia impostata su Consenti script locali e script remoti firmati o su Consenti tutti gli script.If set to Enabled, make sure that under Options, the Execution Policy is set to either Allow local scripts and remote signed scripts or to Allow all scripts.
Non è stato possibile configurare il connettore.Connector failed to download the configuration. Il certificato client del connettore usato per l'autenticazione è scaduto.The Connector’s client certificate, which is used for authentication, expired. Questo errore può essere visualizzato anche se l'installazione del connettore è protetta da un proxy.This may also occur if you have the Connector installed behind a proxy. In questo caso il connettore non può accedere a Internet e non riuscirà a fornire applicazioni agli utenti remoti.In this case, the Connector cannot access the Internet and will not be able to provide applications to remote users. Rinnovare manualmente l'attendibilità con il cmdlet Register-AppProxyConnector in Windows PowerShell.Renew trust manually using the Register-AppProxyConnector cmdlet in Windows PowerShell. Se il connettore è protetto da un proxy, è necessario concedere l'accesso a Internet agli account del connettore "servizi di rete" e "sistema locale".If your Connector is behind a proxy, it is necessary to grant Internet access to the Connector accounts “network services” and “local system.” A questo scopo, è possibile concedere agli account l'accesso al proxy o impostarli perché ignorino il proxy.This can be accomplished either by granting them access to the Proxy or by setting them to bypass the proxy.
La registrazione del connettore non è riuscita: per registrare il connettore, è necessario essere un amministratore globale di Active Directory.Connector registration failed: Make sure you are a Global Administrator of your Active Directory to register the Connector. Errore: "La richiesta di registrazione è stata negata".Error: 'The registration request was denied.' L'alias con cui si sta provando ad accedere non è un amministratore nel dominio.The alias you're trying to log in with isn't an admin on this domain. Il connettore viene sempre installato per la directory a cui appartiene il dominio dell'utente.Your Connector is always installed for the directory that owns the user’s domain. Assicurarsi che l'account amministratore con cui si sta provando ad accedere disponga delle autorizzazioni globali per il tenant di Azure AD.Make sure that the admin account you are trying to sign in with has global permissions to the Azure AD tenant.

Errori di KerberosKerberos errors

Questa tabella contiene gli errori più comuni generati dall'installazione e dalla configurazione di Kerberos e include suggerimenti per la risoluzione.This table covers the more common errors that come from Kerberos setup and configuration, and includes suggestions for resolution.

Tipi di erroreError Procedure consigliateRecommended steps
Non è possibile recuperare i criteri di esecuzione correnti per l'esecuzione degli script PowerShell.Failed to retrieve the current execution policy for running PowerShell scripts. Se l'installazione del connettore non riesce, verificare che il criterio di esecuzione di PowerShell non sia disabilitato.If the Connector installation fails, check to make sure that PowerShell execution policy is not disabled.

1. Aprire l'Editor Criteri di gruppo.1. Open the Group Policy Editor.
2. Passare a Configurazione computer > Modelli amministrativi > Componenti di Windows > Windows PowerShell e fare doppio clic su Attiva l'esecuzione di script.2. Go to Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell and double-click Turn on Script Execution.
3. L'esecuzione di questo criterio può essere impostata su Non configurato o Abilitato.3. The execution policy can be set to either Not Configured or Enabled. Se l'impostazione è Abilitato, verificare che in Opzioni la voce Criteri di esecuzione sia impostata su Consenti script locali e script remoti firmati o su Consenti tutti gli script.If set to Enabled, make sure that under Options, the Execution Policy is set to either Allow local scripts and remote signed scripts or to Allow all scripts.
12008: Azure AD ha superato il numero massimo di tentativi di autenticazione Kerberos consentiti al server back-end.12008 - Azure AD exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. Questo errore può indicare una configurazione non corretta tra Azure AD e il server back-end dell'applicazione oppure un problema di configurazione di data e ora su entrambi i computer.This error may indicate incorrect configuration between Azure AD and the backend application server, or a problem in time and date configuration on both machines. Il server back-end ha rifiutato il ticket Kerberos creato da Azure AD.The backend server declined the Kerberos ticket created by Azure AD. Verificare che Azure AD e il server applicazioni back-end siano configurati correttamente.Verify that Azure AD and the backend application server are configured correctly. Assicurarsi che la configurazione di data e ora in Azure AD e nel server back-end dell'applicazione siano sincronizzate.Make sure that the time and date configuration on the Azure AD and the backend application server are synchronized.
13016: Azure AD non riesce a recuperare un ticket Kerberos per conto dell'utente, perché non esiste alcun UPN nel token perimetrale o nel cookie di accesso.13016 - Azure AD cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. Si è verificato un problema con la configurazione del servizio token di sicurezza.There is a problem with the STS configuration. Correggere la configurazione dell'attestazione UPN nel servizio token di sicurezza.Fix the UPN claim configuration in the STS.
13019: Azure AD non riesce a recuperare un ticket Kerberos per conto dell'utente a causa dell'errore generale dell'API seguente.13019 - Azure AD cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. Questo evento può indicare una configurazione non corretta tra Azure AD e il server controller di dominio oppure un problema di configurazione di data e ora su entrambi i computer.This event may indicate incorrect configuration between Azure AD and the domain controller server, or a problem in time and date configuration on both machines. Il controller di dominio ha rifiutato il ticket Kerberos creato da Azure AD.The domain controller declined the Kerberos ticket created by Azure AD. Verificare che Azure AD e il server applicazioni back-end siano configurati correttamente, in particolare la configurazione del nome dell'entità servizio.Verify that Azure AD and the backend application server are configured correctly, especially the SPN configuration. Verificare che Azure AD sia aggiunto allo stesso dominio del controller di dominio, per assicurarsi che il controller di dominio stabilisca relazioni di trust con Azure AD.Make sure the Azure AD is domain joined to the same domain as the domain controller to ensure that the domain controller establishes trust with Azure AD. Assicurarsi che la configurazione di data e ora in Azure AD e nel controller di dominio dell'applicazione siano sincronizzate.Make sure that the time and date configuration on the Azure AD and the domain controller are synchronized.
13020: Azure AD non riesce a recuperare un ticket Kerberos per conto dell'utente, perché il nome dell'entità servizio del server back-end non è definito.13020 - Azure AD cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. Questo evento può indicare una configurazione non corretta tra Azure AD e il server controller di dominio oppure un problema di configurazione di data e ora su entrambi i computer.This event may indicate incorrect configuration between Azure AD and the domain controller server, or a problem in time and date configuration on both machines. Il controller di dominio ha rifiutato il ticket Kerberos creato da Azure AD.The domain controller declined the Kerberos ticket created by Azure AD. Verificare che Azure AD e il server applicazioni back-end siano configurati correttamente, in particolare la configurazione del nome dell'entità servizio.Verify that Azure AD and the backend application server are configured correctly, especially the SPN configuration. Verificare che Azure AD sia aggiunto allo stesso dominio del controller di dominio, per assicurarsi che il controller di dominio stabilisca relazioni di trust con Azure AD.Make sure the Azure AD is domain joined to the same domain as the domain controller to ensure that the domain controller establishes trust with Azure AD. Assicurarsi che la configurazione di data e ora in Azure AD e nel controller di dominio dell'applicazione siano sincronizzate.Make sure that the time and date configuration on the Azure AD and the domain controller are synchronized.
13022: Azure AD non riesce ad autenticare l'utente perché il server back-end risponde ai tentativi di autenticazione Kerberos con un errore HTTP 401.13022 - Azure AD cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. Questo evento può indicare una configurazione non corretta tra Azure AD e il server back-end dell'applicazione oppure un problema di configurazione di data e ora su entrambi i computer.This event may indicate incorrect configuration between Azure AD and the backend application server, or a problem in time and date configuration on both machines. Il server back-end ha rifiutato il ticket Kerberos creato da Azure AD.The backend server declined the Kerberos ticket created by Azure AD. Verificare che Azure AD e il server applicazioni back-end siano configurati correttamente.Verify that Azure AD and the backend application server are configured correctly. Assicurarsi che la configurazione di data e ora in Azure AD e nel server back-end dell'applicazione siano sincronizzate.Make sure that the time and date configuration on the Azure AD and the backend application server are synchronized.

Errori utente finaleEnd-user errors

Questo elenco contiene gli errori che potrebbero verificarsi quando gli utenti finali tentano di accedere all'app senza riuscirci.This list covers errors that your end users might encounter when they try to access the app and fail.

Tipi di erroreError Procedure consigliateRecommended steps
Il sito Web non riesce a visualizzare la pagina.The website cannot display the page. L'utente può visualizzare questo errore quando prova ad accedere all'app pubblicata, se l'applicazione è un'applicazione con autenticazione integrata di Windows.Your user may get this error when trying to access the app you published if the application is an IWA application. Il nome dell'entità servizio dell'applicazione definito potrebbe non essere corretto.The defined SPN for this application may be incorrect. Per le app con autenticazione integrata di Windows, assicurarsi che il nome dell'entità servizio configurato per l'applicazione sia corretto.For IWA apps, make sure that the SPN configured for this application is correct.
Il sito Web non riesce a visualizzare la pagina.The website cannot display the page. L'utente può visualizzare questo errore quando prova ad accedere all'app pubblicata, se si tratta di un'applicazione OWA.Your user may get this error when trying to access the app you published if the application is an OWA application. Il problema può dipendere da uno dei motivi seguenti: This could be caused by one of the following:
  • Il nome dell'entità servizio dell'applicazione definito non è corretto.The defined SPN for this application is incorrect. Assicurarsi che il nome dell'entità servizio configurato per l'applicazione sia corretto.Make sure that the SPN configured for this application is correct.
  • L'utente che ha provato ad accedere all'applicazione sta usando un account Microsoft invece dell'account aziendale appropriato oppure si tratta di un utente guest.The user who tried to access the application is using a Microsoft account rather than the proper corporate account to sign in, or the user is a guest user. Assicurarsi che l'utente acceda con il proprio account aziendale corrispondente al dominio dell'applicazione pubblicata.Make sure the user signs in using their corporate account that matches the domain of the published application. Gli utenti con account Microsoft o guest non possono accedere alle applicazioni con autenticazione integrata di Windows.Microsoft Account users and guest cannot access IWA applications.
  • L'utente che ha provato ad accedere all'applicazione non è definito correttamente per l'applicazione sul lato locale.The user who tried to access the application is not properly defined for this application on the on-prem side. Assicurarsi che l'utente abbia le autorizzazioni appropriate definite per questa applicazione back-end nel computer locale.Make sure that this user has the proper permissions as defined for this backend application on the on-prem machine.
  • Non è possibile accedere a questa app aziendale.This corporate app can’t be accessed. L'utente non è autorizzato ad accedere a questa applicazione.You are not authorized to access this application. Autorizzazione non riuscita.Authorization failed. Assicurarsi di assegnare all'utente l'accesso a questa applicazione.Make sure to assign the user with access to this application. Gli utenti possono visualizzare questo errore quando provano ad accedere all'app pubblicata usando un account Microsoft invece del proprio account aziendale.Your users may get this error when trying to access the app you published if they use Microsoft accounts instead of their corporate account to sign in. Anche gli utenti guest possono visualizzare questo errore.Guest users may also get this error. Gli utenti con account Microsoft o guest non possono accedere alle applicazioni con autenticazione integrata di Windows.Microsoft Account users and guests cannot access IWA applications. Assicurarsi che l'utente acceda con il proprio account aziendale corrispondente al dominio dell'applicazione pubblicata.Make sure the user signs in using their corporate account that matches the domain of the published application.

    L'utente potrebbe non essere stato assegnato per l'applicazione.You may not have assigned the user for this application. Passare alla scheda Applicazione, quindi in Utenti e gruppi assegnare l'utente o il gruppo di utenti all'applicazione.Go to the Application tab, and under Users and Groups, assign this user or user group to this application.
    Non è possibile accedere a questa app aziendale in questo momento.This corporate app can’t be accessed right now. Riprovare più tardi. Timeout del connettore.Please try again later…The connector timed out. Gli utenti possono visualizzare questo errore quando provano ad accedere all'app pubblicata, se non sono definiti correttamente per questa applicazione sul lato locale.Your users may get this error when trying to access the app you published if they are not properly defined for this application on the on-prem side. Assicurarsi che l'utente abbia le autorizzazioni appropriate definite per questa applicazione back-end nel computer locale.Make sure that your users have the proper permissions as defined for this backend application on the on-prem machine.
    Non è possibile accedere a questa app aziendale.This corporate app can’t be accessed. L'utente non è autorizzato ad accedere a questa applicazione.You are not authorized to access this application. Autorizzazione non riuscita.Authorization failed. Accertarsi che l'utente abbia una licenza per Azure Active Directory Premium o Basic.Make sure that the user has a license for Azure Active Directory Premium or Basic. Questo errore potrebbe essere visualizzato dall'utente quando prova ad accedere all'app pubblicata, se non gli è stata esplicitamente assegnata una licenza Premium/Basic dall'amministratore del sottoscrittore.Your users may get this error when trying to access the app you published if they weren't explicitly assigned with a Premium/Basic license by the subscriber’s administrator. Accedere alla scheda Licenze di Active Directory del sottoscrittore e verificare che all'utente o al gruppo di utenti sia stata assegnata una licenza Premium o Basic.Go to the subscriber’s Active Directory Licenses tab and make sure that this user or user group is assigned a Premium or Basic license.

    L'errore non è riportato in questi elenchiMy error wasn't listed here

    Se si verifica un errore o un problema con il Proxy dell'applicazione Azure AD che non è elencato in questa guida alla risoluzione dei problemi, è necessario segnalarlo.If you encounter an error or problem with Azure AD Application Proxy that isn't listed in this troubleshooting guide, we'd like to hear about it. Invia un'email al team che si occupa del feedback specificando i dettagli dell'errore che si è verificato.Send an email to our feedback team with the details of the error you encountered.

    Vedere anche See also