Web アプリケーション プロキシのトラブルシューティング

この記事は、オンプレミスバージョンの Web アプリケーション プロキシに関連しています。 クラウド経由でオンプレミス アプリケーションへのセキュリティで保護されたアクセスを有効にするには、Microsoft Entra アプリケーション プロキシコンテンツを参照してください。

適用対象:Windows Server 2022、Windows Server 2019、Windows Server 2016

このセクションでは、イベントの説明や解決策など、Web アプリケーション プロキシのトラブルシューティング手順について説明します。 エラーが表示される場所は 3 つあります。

  • Web アプリケーション プロキシ管理者コンソールで

    管理者コンソールに一覧表示されている各イベント ID は、Windows イベント ビューアーで確認でき、対応する説明と解決策は次のとおりです。

    イベント ビューアーを開き、[アプリケーションとサービス ログ>] [Microsoft>Windows> Web アプリケーション プロキシ管理] でWeb アプリケーション プロキシ>に関連するイベントを探します。

    Web アプリケーション プロキシに関連するイベントを示すイベント ビューアーのスクリーンショット。

    必要に応じて、分析ログとデバッグ ログをオンにし、\Microsoft\Windows\ Web アプリケーション プロキシ管理の下にある Windows イベント ビューアーにある Web アプリケーション プロキシ セッション ログをオンにすることで詳細なログ\使用できます。

  • PowerShell エラー

    構成中に発生した問題のイベントは、PowerShell に表示されます。

    すべてのエラーは、標準の PowerShell エラー プロンプトを使用して PowerShell ユーザーに表示されます。 すべての PowerShell コマンドレットがイベントとして記録されます。 PowerShell で発生するすべてのイベントは、ID 番号 12016 の Windows イベント ビューアーに一覧表示され、PowerShell セクションで以下に定義されています。

  • ベスト プラクティス アナライザーで

    これらのイベントについては、「ベスト プラクティス アナライザー for Web アプリケーション プロキシ」を参照してください

PowerShell メッセージ

イベントまたは症状 考えられる原因 解決方法
信頼証明書 ("ADFS ProxyTrust - <WAP マシン名>") が無効です これは、次のいずれかが原因で発生する可能性があります。

- アプリケーション プロキシマシンが長時間ダウンしました。
- Web アプリケーション プロキシと AD FS の間の切断
- 証明書インフラストラクチャの問題
- AD FS マシンの変更、または Web アプリケーション プロキシと AD FS の間の更新プロセスが 8 時間ごとに計画どおりに実行されなかった場合、信頼を更新する必要があります
- Web アプリケーション プロキシ コンピューターと AD FS のクロックが同期されていません。

クロックが同期されていることを確認します。 コマンドレットを実行します Install-WebApplicationProxy
AD FS で構成データが見つかりませんでした これは、Web アプリケーション プロキシがまだ完全にインストールされていないか、AD FS データベースの変更やデータベースの破損が原因である可能性があります。 コマンドレットを実行するInstall-WebApplicationProxy
Web アプリケーション プロキシが AD FS から構成を読み取ろうとしたときにエラーが発生しました。 これは、AD FS に到達できないか、AD FS データベースから構成を読み取ろうとして内部の問題が発生したことを示している可能性があります。 AD FS に到達可能で、正常に動作していることを確認します。
AD FS に格納されている構成データが破損しているか、Web アプリケーション プロキシが解析できませんでした。

または

Web アプリケーション プロキシが AD FS から証明書利用者の一覧を取得できませんでした。

これは、構成データが AD FS で変更された場合に発生する可能性があります。 Web アプリケーション プロキシ サービスを再起動します。 問題が解決しない場合は、コマンドレットを実行します Install-WebApplicationProxy

管理者コンソール イベント

次の管理者コンソール イベントは、認証エラー、無効なトークン、または有効期限が切れた Cookie を示しています。

イベントまたは症状 考えられる原因 解決方法
11005

Web アプリケーション プロキシ構成のシークレットを使用して Cookie 暗号化キーを作成できませんでした。

グローバル構成 AccessCookiesEncryptionKey パラメーターは、PowerShell コマンドレットによって変更されました。 Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey 何もする必要はありません。 問題のある Cookie が削除され、ユーザーは認証のために STS にリダイレクトされました。
12000

Web アプリケーション プロキシは、少なくとも 60 分間、構成の変更をチェックできませんでした

Web アプリケーション プロキシ は、 コマンドレットGet-WebApplicationProxyConfiguration/Applicationを使用して Web アプリケーション プロキシ構成にアクセスできません。 これは、AD FS との接続が不足しているか、AD FS との信頼を更新する必要がある場合に発生します。 AD FS との接続を確認します。 これを行うには、 リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlを使用します。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、コマンドレットを実行します Install-WebApplicationProxy
12003

Web アプリケーション プロキシがアクセス Cookie を解析できませんでした。

これは、Web アプリケーション プロキシと AD FS が接続されていないこと、または同じ構成を受け取らないことを示している可能性があります。 AD FS との接続を確認します。 これを行うには、 リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlを使用します。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、コマンドレットを実行します Install-WebApplicationProxy
12004

Web アプリケーション プロキシは、非検証アクセス Cookie を使用して要求を受信しました。

このイベントは、Web アプリケーション プロキシと AD FS が接続されていないこと、または同じ構成を受け取らないことを示している可能性があります。

パラメーターが AccessCookiesEncryptionKey PowerShell コマンドレットによって Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey 変更された場合、このイベントは正常であり、解決手順は必要ありません。

AD FS との接続を確認します。 これを行うには、 リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlを使用します。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、コマンドレットを実行します Install-WebApplicationProxy
12008

Web アプリケーション プロキシバックエンド サーバーに対して許可される Kerberos 認証試行の最大数を超えました。

このイベントは、Web アプリケーション プロキシとバックエンド アプリケーション サーバーの間の構成が正しくないか、両方のマシンでの時刻と日付の構成の問題を示している可能性があります。 バックエンド サーバーは、Web アプリケーション プロキシによって作成された Kerberos チケットを拒否しました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの構成が正しく構成されていることを確認します。

Web アプリケーション プロキシとバックエンド アプリケーション サーバーの時刻と日付の構成が同期されていることを確認します。

12011

Web アプリケーション プロキシが無効なアクセス Cookie 署名を持つ要求を受信しました。

このイベントは、Web アプリケーション プロキシと AD FS が接続されていないこと、または同じ構成を受け取らないことを示している可能性があります。 パラメーターが AccessCookiesEncryptionKey PowerShell コマンドレットによって Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey 変更された場合、このイベントは正常であり、解決手順は必要ありません。 AD FS との接続を確認します。 これを行うには、 リンク https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlを使用します。 AD FS と Web アプリケーション プロキシの間に信頼が確立されていることを確認します。 これらのソリューションが機能しない場合は、コマンドレットを実行します Install-WebApplicationProxy
12027

要求の処理中に、プロキシで予期しないエラーが発生しました。 指定された名前が適切な形式のアカウント名ではありません。

このイベントは、Web アプリケーション プロキシとドメイン コントローラー サーバーの間の正しくない構成、または両方のマシンでの時刻と日付の構成の問題を示している可能性があります。 ドメイン コントローラーは、Web アプリケーション プロキシによって作成された Kerberos チケットを拒否しました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの構成 (特に SPN 構成) が正しく構成されていることを確認します。 Web アプリケーション プロキシがドメイン コントローラーと同じドメインにドメインに参加していることを確認して、ドメイン コントローラーが Web アプリケーション プロキシとの信頼を確立していることを確認します。 Web アプリケーション プロキシとドメイン コントローラーの時刻と日付の構成が同期されていることを確認します。
13012

Web アプリケーション プロキシが非検証エッジ トークン署名を受け取った

更新された Web アプリケーション プロキシと Web アプリケーション プロキシが、Windows Server 2012 R2 で自動的に更新された証明書を検出できないことを確認します。
13013

Web アプリケーション プロキシは、期限切れのエッジ トークンを含む要求を受信しました。

Web アプリケーション プロキシと AD FS には同期クロックがありません。 Web アプリケーション プロキシと AD FS の間でクロックを同期します。
13014

Web アプリケーション プロキシは、非検証エッジ トークンを使用して要求を受信しました。 トークンは解析できなかったため、無効です。

これは、AD FS 構成に関する問題を示している可能性があります。 AD FS の構成を確認し、必要に応じて既定の構成を復元します。
13015

Web アプリケーション プロキシは、有効期限が切れたアクセス Cookie で要求を受け取った。

これは、同期されていないクロックを示している可能性があります。 Web アプリケーション プロキシ マシンのクラスターを使用している場合は、マシンの時刻と日付が同期されていることを確認します。
13016

Web アプリケーション プロキシは、エッジ トークンまたはアクセス Cookie に UPN がないため、ユーザーの代わりに Kerberos チケットを取得できません。

STS 構成に問題があります。 STS の UPN 要求構成を修正します。
13019

Web アプリケーション プロキシは、次の一般的な API エラーのため、ユーザーの代わりに Kerberos チケットを取得できません

このイベントは、Web アプリケーション プロキシとドメイン コントローラー サーバーの間の正しくない構成、または両方のマシンでの時刻と日付の構成の問題を示している可能性があります。 ドメイン コントローラーは、Web アプリケーション プロキシによって作成された Kerberos チケットを拒否しました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの構成 (特に SPN 構成) が正しく構成されていることを確認します。 Web アプリケーション プロキシがドメイン コントローラーと同じドメインにドメインに参加していることを確認して、ドメイン コントローラーが Web アプリケーション プロキシとの信頼を確立していることを確認します。 Web アプリケーション プロキシとドメイン コントローラーの時刻と日付の構成が同期されていることを確認します。
13020

バックエンド サーバー SPN が定義されていないため、Web アプリケーション プロキシはユーザーの代わりに Kerberos チケットを取得できません。

このイベントは、Web アプリケーション プロキシとドメイン コントローラー サーバーの間の正しくない構成、または両方のマシンでの時刻と日付の構成の問題を示している可能性があります。 ドメイン コントローラーは、Web アプリケーション プロキシによって作成された Kerberos チケットを拒否しました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの構成 (特に SPN 構成) が正しく構成されていることを確認します。 Web アプリケーション プロキシがドメイン コントローラーと同じドメインにドメインに参加していることを確認して、ドメイン コントローラーが Web アプリケーション プロキシとの信頼を確立していることを確認します。 Web アプリケーション プロキシとドメイン コントローラーの時刻と日付の構成が同期されていることを確認します。
13022

バックエンド サーバーが HTTP 401 エラーで Kerberos 認証の試行に応答するため、Web アプリケーション プロキシはユーザーを認証できません。

このイベントは、Web アプリケーション プロキシとバックエンド アプリケーション サーバーの間の構成が正しくないか、両方のマシンでの時刻と日付の構成の問題を示している可能性があります。 バックエンド サーバーは、Web アプリケーション プロキシによって作成された Kerberos チケットを拒否しました。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの構成が正しく構成されていることを確認します。 Web アプリケーション プロキシとバックエンド アプリケーション サーバーの時刻と日付の構成が同期されていることを確認します。
13025

クライアントが Web アプリケーション プロキシに SSL 証明書を提示しませんでした。

このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。
13026

クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、証明書が無効です。証明書が拇印と一致しません。

このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。
13028

Web アプリケーション プロキシはまだ有効ではないエッジ トークンを含む要求を受け取った。

このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。
13030

クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、信頼プロバイダーはクライアント証明書を発行した証明機関を信頼しません。

このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。
13031

クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、信頼プロバイダーによって信頼されていないルート証明書で証明書チェーンが終了しました。

このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。
13032

クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、要求された使用に対して証明書が無効でした。

このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。
13033

クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、署名されたファイル内の現在のシステム クロックまたはタイムスタンプに対して検証する際に、証明書の有効期間内にありません。

このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。
13034

クライアントは Web アプリケーション プロキシに SSL 証明書を提示しましたが、証明書が無効でした。

このイベントは、時刻と日付の構成に問題があることを示している可能性があります。 証明書インフラストラクチャが有効であり、Web アプリケーション プロキシと AD FS の時刻と日付が同期されていることを確認します。 Web アプリケーション プロキシ用に構成された拇印が正しいことを確認します。

次の管理者コンソール イベントは、プロビジョニング、成功しない要求、到達できないバックエンド サーバー、バッファー オーバーフローなどの構成に関する問題を示しています。

イベントまたは症状 考えられる原因 解決方法
12019

Web アプリケーション プロキシでは、次の URL のリスナーを作成できませんでした。

イベントの原因として考えられるのは、別のサービスが同じ URL をリッスンしていることです。 管理者は、誰も同じ URL をリッスンまたはバインドしていないことを確認する必要があります。 これをチェックするには、 コマンドを実行します。 netsh http show urlacl この URL が Web アプリケーション プロキシ コンピューターで実行されている別のコンポーネントで使用されている場合は、その URL を削除するか、別の URL を使用して Web アプリケーション プロキシを介してアプリケーションを発行します。
12020

Web アプリケーション プロキシでは、次の URL の予約を作成できませんでした。

イベントの原因として考えられるのは、別のサービスに同じ URL に予約があるということです。 管理者は、同じ URL にバインドするユーザーがいないことを確認する必要があります。 これをチェックするには、 コマンドを実行します。 netsh http show urlacl この URL が Web アプリケーション プロキシ コンピューターで実行されている別のコンポーネントで使用されている場合は、その URL を削除するか、別の URL を使用して Web アプリケーション プロキシを介してアプリケーションを発行します。
12021

Web アプリケーション プロキシ SSL サーバー証明書をバインドできませんでした。 その他のすべての構成設定が適用されました。

SSL 証明書データの構成レコードを作成して設定できません。 Web アプリケーション プロキシ アプリケーション用に構成されている証明書拇印が、ローカル コンピューター ストア内のすべての Web アプリケーション プロキシ コンピューターに秘密キーを持っていることを確認します。
13001

バックエンド サーバーによって Web アプリケーション プロキシに提示される SSL サーバー証明書が無効です。証明書は信頼されていません。

サーバーから送信された Secure Sockets Layer (SSL) 証明書で 1 つ以上のエラーが見つかりました。 これは、バックエンド サーバーが無効な SSL を提供したか、Web アプリケーション プロキシとバックエンド サーバーの間に信頼がないことを示している可能性があります。 バックエンド サーバーの SSL 証明書を検証します。 Web アプリケーション プロキシ マシンが、バックエンド サーバー証明書を信頼するように適切なルート CA で構成されていることを確認します。
13006 エラー コードが0x80072ee7されると、バックエンド サーバー URL を解決できないことが原因でエラーが発生します。 その他のエラー コードについては、「WinHttpSendRequest 関数 (winhttp.h)」を参照してください。 バックエンド サーバーの URL が正しく、Web アプリケーション プロキシ コンピューターからその名前が正しく解決できることを確認します。
13007

バックエンド サーバーからの HTTP 応答が、予想される期間内に受信されませんでした。

バックエンド サーバー要求がタイムアウトしたか、低速または応答しない。 バックエンド サーバーの構成を確認します。 低速の場合は、バックエンド サーバーへの接続をチェックし、 の Web アプリケーション プロキシグローバル構成パラメーター コマンドレットInactiveTransactionsTimeoutSecの変更も検討してください。

関連情報