Web アプリケーション プロキシのトラブルシューティング
この記事は、オンプレミスバージョンの Web アプリケーション プロキシに関連しています。 クラウド経由でオンプレミス アプリケーションへのセキュリティで保護されたアクセスを有効にするには、Microsoft Entra アプリケーション プロキシコンテンツを参照してください。
適用対象:Windows Server 2022、Windows Server 2019、Windows Server 2016
このセクションでは、イベントの説明や解決策など、Web アプリケーション プロキシのトラブルシューティング手順について説明します。 エラーが表示される場所は 3 つあります。
Web アプリケーション プロキシ管理者コンソールで
管理者コンソールに一覧表示されている各イベント ID は、Windows イベント ビューアーで確認でき、対応する説明と解決策は次のとおりです。
イベント ビューアーを開き、[アプリケーションとサービス ログ>] [Microsoft>Windows> Web アプリケーション プロキシ管理] でWeb アプリケーション プロキシ>に関連するイベントを探します。
必要に応じて、分析ログとデバッグ ログをオンにし、\Microsoft\Windows\ Web アプリケーション プロキシ管理の下にある Windows イベント ビューアーにある Web アプリケーション プロキシ セッション ログをオンにすることで、詳細なログを\使用できます。
PowerShell エラー
構成中に発生した問題のイベントは、PowerShell に表示されます。
すべてのエラーは、標準の PowerShell エラー プロンプトを使用して PowerShell ユーザーに表示されます。 すべての PowerShell コマンドレットがイベントとして記録されます。 PowerShell で発生するすべてのイベントは、ID 番号 12016 の Windows イベント ビューアーに一覧表示され、PowerShell セクションで以下に定義されています。
ベスト プラクティス アナライザーで
これらのイベントについては、「ベスト プラクティス アナライザー for Web アプリケーション プロキシ」を参照してください。
PowerShell メッセージ
| イベントまたは症状 | 考えられる原因 | 解決方法 |
|---|---|---|
| 信頼証明書 ("ADFS ProxyTrust - <WAP マシン名>") が無効です | これは、次のいずれかが原因で発生する可能性があります。 - アプリケーション プロキシマシンが長時間ダウンしました。 |
クロックが同期されていることを確認します。 コマンドレットを実行します Install-WebApplicationProxy 。 |
| AD FS で構成データが見つかりませんでした | これは、Web アプリケーション プロキシがまだ完全にインストールされていないか、AD FS データベースの変更やデータベースの破損が原因である可能性があります。 | コマンドレットを実行するInstall-WebApplicationProxy |
| Web アプリケーション プロキシが AD FS から構成を読み取ろうとしたときにエラーが発生しました。 | これは、AD FS に到達できないか、AD FS データベースから構成を読み取ろうとして内部の問題が発生したことを示している可能性があります。 | AD FS に到達可能で、正常に動作していることを確認します。 |
| AD FS に格納されている構成データが破損しているか、Web アプリケーション プロキシが解析できませんでした。 または Web アプリケーション プロキシが AD FS から証明書利用者の一覧を取得できませんでした。 |
これは、構成データが AD FS で変更された場合に発生する可能性があります。 | Web アプリケーション プロキシ サービスを再起動します。 問題が解決しない場合は、コマンドレットを実行します Install-WebApplicationProxy 。 |
管理者コンソール イベント
次の管理者コンソール イベントは、認証エラー、無効なトークン、または有効期限が切れた Cookie を示しています。
| イベントまたは症状 | 考えられる原因 | 解決方法 |
|---|---|---|
| 11005 Web アプリケーション プロキシ構成のシークレットを使用して Cookie 暗号化キーを作成できませんでした。 |
グローバル構成 AccessCookiesEncryptionKey パラメーターは、PowerShell コマンドレットによって変更されました。 Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey |
何もする必要はありません。 問題のある Cookie が削除され、ユーザーは認証のために STS にリダイレクトされました。 |
| 12000 Web アプリケーション プロキシは、少なくとも 60 分間、構成の変更をチェックできませんでした |
Web アプリケーション プロキシ は、 コマンドレットGet-WebApplicationProxyConfiguration/Applicationを使用して Web アプリケーション プロキシ構成にアクセスできません。 これは、AD FS との接続が不足しているか、AD FS との信頼を更新する必要がある場合に発生します。 |
AD FS との接続を確認します。 これを行うには、 リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlを使用します。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、コマンドレットを実行します Install-WebApplicationProxy 。 |
| 12003 Web アプリケーション プロキシがアクセス Cookie を解析できませんでした。 |
これは、Web アプリケーション プロキシと AD FS が接続されていないこと、または同じ構成を受け取らないことを示している可能性があります。 | AD FS との接続を確認します。 これを行うには、 リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlを使用します。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、コマンドレットを実行します Install-WebApplicationProxy 。 |
| 12004 Web アプリケーション プロキシは、非検証アクセス Cookie を使用して要求を受信しました。 |
このイベントは、Web アプリケーション プロキシと AD FS が接続されていないこと、または同じ構成を受け取らないことを示している可能性があります。 パラメーターが |
AD FS との接続を確認します。 これを行うには、 リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlを使用します。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、コマンドレットを実行します Install-WebApplicationProxy 。 |
| 12008 Web アプリケーション プロキシバックエンド サーバーに対して許可される Kerberos 認証試行の最大数を超えました。 |
このイベントは、Web アプリケーション プロキシとバックエンド アプリケーション サーバーの間の構成が正しくないか、両方のマシンでの時刻と日付の構成の問題を示している可能性があります。 | バックエンド サーバーは、Web アプリケーション プロキシによって作成された Kerberos チケットを拒否しました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの構成が正しく構成されていることを確認します。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの時刻と日付の構成が同期されていることを確認します。 |
| 12011 Web アプリケーション プロキシが無効なアクセス Cookie 署名を持つ要求を受信しました。 |
このイベントは、Web アプリケーション プロキシと AD FS が接続されていないこと、または同じ構成を受け取らないことを示している可能性があります。 パラメーターが AccessCookiesEncryptionKey PowerShell コマンドレットによって Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey 変更された場合、このイベントは正常であり、解決手順は必要ありません。 |
AD FS との接続を確認します。 これを行うには、 リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlを使用します。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、コマンドレットを実行します Install-WebApplicationProxy 。 |
| 12027 要求の処理中に、プロキシで予期しないエラーが発生しました。 指定された名前が適切な形式のアカウント名ではありません。 |
このイベントは、Web アプリケーション プロキシとドメイン コントローラー サーバーの間の正しくない構成、または両方のマシンでの時刻と日付の構成の問題を示している可能性があります。 | ドメイン コントローラーは、Web アプリケーション プロキシによって作成された Kerberos チケットを拒否しました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの構成 (特に SPN 構成) が正しく構成されていることを確認します。 Web アプリケーション プロキシがドメイン コントローラーと同じドメインにドメインに参加していることを確認して、ドメイン コントローラーが Web アプリケーション プロキシとの信頼を確立していることを確認します。 Web アプリケーション プロキシとドメイン コントローラーの時刻と日付の構成が同期されていることを確認します。 |
| 13012 Web アプリケーション プロキシが非検証エッジ トークン署名を受け取った |
更新された Web アプリケーション プロキシと Web アプリケーション プロキシが、Windows Server 2012 R2 で自動的に更新された証明書を検出できないことを確認します。 | |
| 13013 Web アプリケーション プロキシは、期限切れのエッジ トークンを含む要求を受信しました。 |
Web アプリケーション プロキシと AD FS には同期クロックがありません。 | Web アプリケーション プロキシと AD FS の間でクロックを同期します。 |
| 13014 Web アプリケーション プロキシは、非検証エッジ トークンを使用して要求を受信しました。 トークンは解析できなかったため、無効です。 |
これは、AD FS 構成に関する問題を示している可能性があります。 | AD FS の構成を確認し、必要に応じて既定の構成を復元します。 |
| 13015 Web アプリケーション プロキシは、有効期限が切れたアクセス Cookie で要求を受け取った。 |
これは、同期されていないクロックを示している可能性があります。 | Web アプリケーション プロキシ マシンのクラスターを使用している場合は、マシンの時刻と日付が同期されていることを確認します。 |
| 13016 Web アプリケーション プロキシは、エッジ トークンまたはアクセス Cookie に UPN がないため、ユーザーの代わりに Kerberos チケットを取得できません。 |
STS 構成に問題があります。 | STS の UPN 要求構成を修正します。 |
| 13019 Web アプリケーション プロキシは、次の一般的な API エラーのため、ユーザーの代わりに Kerberos チケットを取得できません |
このイベントは、Web アプリケーション プロキシとドメイン コントローラー サーバーの間の正しくない構成、または両方のマシンでの時刻と日付の構成の問題を示している可能性があります。 | ドメイン コントローラーは、Web アプリケーション プロキシによって作成された Kerberos チケットを拒否しました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの構成 (特に SPN 構成) が正しく構成されていることを確認します。 Web アプリケーション プロキシがドメイン コントローラーと同じドメインにドメインに参加していることを確認して、ドメイン コントローラーが Web アプリケーション プロキシとの信頼を確立していることを確認します。 Web アプリケーション プロキシとドメイン コントローラーの時刻と日付の構成が同期されていることを確認します。 |
| 13020 バックエンド サーバー SPN が定義されていないため、Web アプリケーション プロキシはユーザーの代わりに Kerberos チケットを取得できません。 |
このイベントは、Web アプリケーション プロキシとドメイン コントローラー サーバーの間の正しくない構成、または両方のマシンでの時刻と日付の構成の問題を示している可能性があります。 | ドメイン コントローラーは、Web アプリケーション プロキシによって作成された Kerberos チケットを拒否しました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの構成 (特に SPN 構成) が正しく構成されていることを確認します。 Web アプリケーション プロキシがドメイン コントローラーと同じドメインにドメインに参加していることを確認して、ドメイン コントローラーが Web アプリケーション プロキシとの信頼を確立していることを確認します。 Web アプリケーション プロキシとドメイン コントローラーの時刻と日付の構成が同期されていることを確認します。 |
| 13022 バックエンド サーバーが HTTP 401 エラーで Kerberos 認証の試行に応答するため、Web アプリケーション プロキシはユーザーを認証できません。 |
このイベントは、Web アプリケーション プロキシとバックエンド アプリケーション サーバーの間の構成が正しくないか、両方のマシンでの時刻と日付の構成の問題を示している可能性があります。 | バックエンド サーバーは、Web アプリケーション プロキシによって作成された Kerberos チケットを拒否しました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの構成が正しく構成されていることを確認します。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの時刻と日付の構成が同期されていることを確認します。 |
| 13025 クライアントが Web アプリケーション プロキシに SSL 証明書を提示しませんでした。 |
このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 | 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。 |
| 13026 クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、証明書が無効です。証明書が拇印と一致しません。 |
このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 | 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。 |
| 13028 Web アプリケーション プロキシはまだ有効ではないエッジ トークンを含む要求を受け取った。 |
このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 | 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 |
| 13030 クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、信頼プロバイダーはクライアント証明書を発行した証明機関を信頼しません。 |
このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 | 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。 |
| 13031 クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、信頼プロバイダーによって信頼されていないルート証明書で証明書チェーンが終了しました。 |
このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 | 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。 |
| 13032 クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、要求された使用に対して証明書が無効でした。 |
このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 | 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。 |
| 13033 クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、署名されたファイル内の現在のシステム クロックまたはタイムスタンプに対して検証する際に、証明書の有効期間内にありません。 |
このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 | 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。 |
| 13034 クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、証明書が無効でした。 |
このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 | 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。 |
次の管理者コンソール イベントは、プロビジョニング、成功しない要求、到達できないバックエンド サーバー、バッファー オーバーフローなどの構成に関する問題を示しています。
| イベントまたは症状 | 考えられる原因 | 解決方法 |
|---|---|---|
| 12019 Web アプリケーション プロキシでは、次の URL のリスナーを作成できませんでした。 |
イベントの原因として考えられるのは、別のサービスが同じ URL をリッスンしていることです。 | 管理者は、誰も同じ URL をリッスンまたはバインドしていないことを確認する必要があります。 これをチェックするには、 コマンドを実行します。 netsh http show urlacl この URL が Web アプリケーション プロキシ コンピューターで実行されている別のコンポーネントで使用されている場合は、その URL を削除するか、別の URL を使用して Web アプリケーション プロキシを介してアプリケーションを発行します。 |
| 12020 Web アプリケーション プロキシでは、次の URL の予約を作成できませんでした。 |
イベントの原因として考えられるのは、別のサービスに同じ URL に予約があるということです。 | 管理者は、同じ URL にバインドするユーザーがいないことを確認する必要があります。 これをチェックするには、 コマンドを実行します。 netsh http show urlacl この URL が Web アプリケーション プロキシ コンピューターで実行されている別のコンポーネントで使用されている場合は、その URL を削除するか、別の URL を使用して Web アプリケーション プロキシを介してアプリケーションを発行します。 |
| 12021 Web アプリケーション プロキシ SSL サーバー証明書をバインドできませんでした。 その他のすべての構成設定が適用されました。 |
SSL 証明書データの構成レコードを作成して設定できません。 | Web アプリケーション プロキシ アプリケーション用に構成されている証明書拇印が、ローカル コンピューター ストア内のすべての Web アプリケーション プロキシ コンピューターに秘密キーを持っていることを確認します。 |
| 13001 バックエンド サーバーによって Web アプリケーション プロキシに提示される SSL サーバー証明書が無効です。証明書は信頼されていません。 |
サーバーから送信された Secure Sockets Layer (SSL) 証明書で 1 つ以上のエラーが見つかりました。 これは、バックエンド サーバーが無効な SSL を提供したか、Web アプリケーション プロキシとバックエンド サーバーの間に信頼がないことを示している可能性があります。 | バックエンド サーバーの SSL 証明書を検証します。 Web アプリケーション プロキシ マシンが、バックエンド サーバー証明書を信頼するように適切なルート CA で構成されていることを確認します。 |
| 13006 | エラー コードが0x80072ee7されると、バックエンド サーバー URL を解決できないことが原因でエラーが発生します。 その他のエラー コードについては、「WinHttpSendRequest 関数 (winhttp.h)」を参照してください。 | バックエンド サーバーの URL が正しく、Web アプリケーション プロキシ コンピューターからその名前が正しく解決できることを確認します。 |
| 13007 バックエンド サーバーからの HTTP 応答が、予想される期間内に受信されませんでした。 |
バックエンド サーバー要求がタイムアウトしたか、低速または応答しない。 | バックエンド サーバーの構成を確認します。 低速の場合は、バックエンド サーバーへの接続をチェックし、 の Web アプリケーション プロキシグローバル構成パラメーター コマンドレットInactiveTransactionsTimeoutSecの変更も検討してください。 |