Solucionar problemas Proxy de Aplicativo Web

Este artigo é relevante para a versão local do Web Proxy de Aplicativo. Para habilitar o acesso seguro a aplicativos locais na nuvem, consulte o conteúdo Microsoft Entra Proxy de Aplicativo.

Aplica-se a: Windows Server 2022, Windows Server 2019 Windows Server 2016

Esta seção fornece procedimentos de solução de problemas para Proxy de Aplicativo Web, incluindo explicações e soluções de evento. Há três locais em que os erros são exibidos:

  • No console de administrador do Web Proxy de Aplicativo

    Cada ID de evento listada no console de administrador pode ser exibida no windows Visualizador de Eventos e as descrições e soluções correspondentes são encontradas abaixo.

    Abra Visualizador de Eventos e procure eventos relacionados à Web Proxy de Aplicativo em Logs de Aplicativos e Serviços>Microsoft>Windows>Web Proxy de Aplicativo>Administração.

    A captura de tela do Visualizador de Eventos mostra eventos relacionados ao Proxy de Aplicativo Web.

    Se necessário, os logs detalhados estarão disponíveis ativando logs de análise e depuração e ativando o log de sessão da Web Proxy de Aplicativo, encontrado no Windows Visualizador de Eventos em \Microsoft\Windows\Web Proxy de Aplicativo\Administração.

  • Em erros do PowerShell

    Os eventos para problemas encontrados durante a configuração são exibidos no PowerShell.

    Todos os erros são apresentados ao usuário do PowerShell usando prompts de erro padrão do PowerShell. Todos os cmdlets do PowerShell são registrados como eventos. Todos os eventos que ocorrem no PowerShell estão listados no Windows Visualizador de Eventos com a ID número 12016 e são definidos abaixo na seção PowerShell.

  • No Analisador de Práticas Recomendadas

    Esses eventos são descritos no Analisador de Melhores Práticas para Web Proxy de Aplicativo.

Mensagens do PowerShell

Evento ou sintoma Causa possível Resolução
O certificado de confiança ("ProxyTrust do ADFS – <nome> do computador WAP") não é válido Isso pode ser causado por qualquer um dos seguintes:

- O computador Proxy de Aplicativo ficou desligado por muito tempo.
- Desconexões entre o Web Proxy de Aplicativo e o AD FS
– Problemas de infraestrutura de certificado
- As alterações no computador AD FS ou o processo de renovação entre o web Proxy de Aplicativo e o AD FS não foram executados conforme planejado a cada 8 horas, então eles precisam renovar a confiança
- O relógio do computador web Proxy de Aplicativo e do AD FS não são sincronizados.

Verifique se os relógios estão sincronizados. Execute o Install-WebApplicationProxy cmdlet.
Os dados de configuração não foram encontrados no AD FS Isso pode ser porque o Proxy de Aplicativo da Web ainda não foi totalmente instalado ou devido a alterações no banco de dados do AD FS ou corrupção do banco de dados. Executar o Install-WebApplicationProxy cmdlet
Ocorreu um erro quando o Proxy de Aplicativo da Web tentou ler a configuração do AD FS. Isso pode indicar que o AD FS não é acessível ou que o AD FS encontrou um problema interno ao tentar ler a configuração do banco de dados do AD FS. Verifique se o AD FS está acessível e funcionando corretamente.
Os dados de configuração armazenados no AD FS estão corrompidos ou Proxy de Aplicativo Web não pôde analisá-los.

OU

O Proxy de Aplicativo Web não pôde recuperar a lista de partes confiáveis do AD FS.

Isso poderá ocorrer se os dados de configuração forem modificados no AD FS. Reinicie o serviço Proxy de Aplicativo Web. Se o problema persistir, execute o Install-WebApplicationProxy cmdlet.

Eventos do console de administrador

Os eventos do console de administrador a seguir são indicativos de erros de autenticação, tokens inválidos ou cookies expirados.

Evento ou sintoma Causa possível Resolução
11005

O Proxy de Aplicativo da Web não pôde criar a chave de criptografia de cookie usando o segredo da configuração.

O parâmetro de configuração AccessCookiesEncryptionKey global foi alterado pelo cmdlet do PowerShell: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey Nenhuma ação é necessária. O cookie problemático foi removido e o usuário foi redirecionado ao STS para autenticação.
12000

O Proxy de Aplicativo da Web não pôde marcar para alterações de configuração por pelo menos 60 minutos

O Proxy de Aplicativo Web não pode acessar a configuração do Proxy de Aplicativo Web usando o cmdlet Get-WebApplicationProxyConfiguration/Application. Isso é causado pela falta de conectividade com o AD FS ou pela necessidade de renovar a confiança com o AD FS. Verifique a conectividade com o AD FS. Você pode fazer isso usando o link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Verifique se há confiança estabelecida entre o AD FS e o web Proxy de Aplicativo. Se essas soluções não funcionarem, execute o Install-WebApplicationProxy cmdlet.
12003

O Proxy de Aplicativo web não pôde analisar o cookie de acesso.

Isso pode indicar que o Proxy de Aplicativo Web e o AD FS não estão conectados ou que não recebem a mesma configuração. Verifique a conectividade com o AD FS. Você pode fazer isso usando o link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Verifique se há confiança estabelecida entre o AD FS e o web Proxy de Aplicativo. Se essas soluções não funcionarem, execute o Install-WebApplicationProxy cmdlet.
12004

A Web Proxy de Aplicativo recebeu uma solicitação com um cookie de acesso nãovalido.

Esse evento pode indicar que a Web Proxy de Aplicativo e o AD FS não estão conectados ou que não recebem a mesma configuração.

Se você executou o AccessCookiesEncryptionKey parâmetro foi alterado pelo Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey cmdlet do PowerShell, esse evento será normal e não exigirá etapas de resolução.

Verifique a conectividade com o AD FS. Você pode fazer isso usando o link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Verifique se há confiança estabelecida entre o AD FS e o web Proxy de Aplicativo. Se essas soluções não funcionarem, execute o Install-WebApplicationProxy cmdlet.
12008

O Proxy de Aplicativo Web excedeu o número máximo de tentativas de autenticação kerberos permitidas para o servidor de back-end.

Esse evento pode indicar uma configuração incorreta entre o Proxy de Aplicativo Web e o servidor de aplicativo de back-end ou um problema na configuração de data e hora em ambos os computadores. O servidor de back-end recusou o tíquete Kerberos criado pela Web Proxy de Aplicativo. Verifique se a configuração do Proxy de Aplicativo Web e do servidor de aplicativo de back-end estão configuradas corretamente.

Verifique se a configuração de data e hora no Proxy de Aplicativo Web e no servidor de aplicativos de back-end estão sincronizados.

12011

A Web Proxy de Aplicativo recebeu uma solicitação com uma assinatura de cookie de acesso não válida.

Esse evento pode indicar que a Web Proxy de Aplicativo e o AD FS não estão conectados ou que não recebem a mesma configuração. Se você executou o AccessCookiesEncryptionKey parâmetro foi alterado pelo Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey cmdlet do PowerShell, esse evento será normal e não exigirá etapas de resolução. Verifique a conectividade com o AD FS. Você pode fazer isso usando o link https://<FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xml. Verifique se há confiança estabelecida entre o AD FS e o web Proxy de Aplicativo. Se essas soluções não funcionarem, execute o Install-WebApplicationProxy cmdlet.
12027

O proxy encontrou um erro inesperado durante o processamento da solicitação. O nome fornecido não é um nome de conta devidamente formado.

Esse evento pode indicar uma configuração incorreta entre o web Proxy de Aplicativo e o servidor do controlador de domínio ou um problema na configuração de data e hora em ambos os computadores. O controlador de domínio recusou o tíquete Kerberos criado pela Web Proxy de Aplicativo. Verifique se a configuração do Proxy de Aplicativo Web e do servidor de aplicativos de back-end estão configuradas corretamente, especialmente a configuração do SPN. Verifique se o Proxy de Aplicativo Web é ingressado no domínio do mesmo domínio que o controlador de domínio para garantir que o controlador de domínio estabeleça confiança com a Web Proxy de Aplicativo. Verifique se a configuração de data e hora na Web Proxy de Aplicativo e no controlador de domínio estão sincronizadas.
13012

A Web Proxy de Aplicativo recebeu uma assinatura de token de borda nãovalida

Certifique-se de que você atualizou o Proxy de Aplicativo Web com o Web Proxy de Aplicativo não pode detectar o certificado atualizado depois que ele é atualizado automaticamente no Windows Server 2012 R2.
13013

A Web Proxy de Aplicativo recebeu uma solicitação que continha um token de borda expirado.

O Proxy de Aplicativo Web e o AD FS não têm relógios sincronizados. Sincronize os relógios entre o Web Proxy de Aplicativo e o AD FS.
13014

A Web Proxy de Aplicativo recebeu uma solicitação com um token de borda nãovalido. O token não é válido porque não pôde ser analisado.

Isso pode indicar um problema com a configuração do AD FS. Verifique a configuração do AD FS e, se necessário, restaure a configuração padrão.
13015

A Web Proxy de Aplicativo recebeu uma solicitação com um cookie de acesso expirado.

Isso pode indicar relógios que não estão sincronizados. Se você estiver trabalhando com um cluster de computadores web Proxy de Aplicativo, verifique se a hora e a data dos computadores estão sincronizadas.
13016

A Web Proxy de Aplicativo não pode recuperar um tíquete Kerberos em nome do usuário porque não há UPN no token de borda ou no cookie de acesso.

Há um problema com a configuração do STS. Corrija a configuração de declaração UPN no STS.
13019

O Proxy de Aplicativo web não pode recuperar um tíquete Kerberos em nome do usuário devido ao seguinte erro geral de API

Esse evento pode indicar uma configuração incorreta entre o web Proxy de Aplicativo e o servidor do controlador de domínio ou um problema na configuração de data e hora em ambos os computadores. O controlador de domínio recusou o tíquete Kerberos criado pela Web Proxy de Aplicativo. Verifique se a configuração do Proxy de Aplicativo Web e do servidor de aplicativos de back-end estão configuradas corretamente, especialmente a configuração do SPN. Verifique se o Proxy de Aplicativo Web é ingressado no domínio do mesmo domínio que o controlador de domínio para garantir que o controlador de domínio estabeleça confiança com a Web Proxy de Aplicativo. Verifique se a configuração de data e hora na Web Proxy de Aplicativo e no controlador de domínio estão sincronizadas.
13020

O Proxy de Aplicativo Web não pode recuperar um tíquete Kerberos em nome do usuário porque o SPN do servidor de back-end não está definido.

Esse evento pode indicar uma configuração incorreta entre o web Proxy de Aplicativo e o servidor do controlador de domínio ou um problema na configuração de data e hora em ambos os computadores. O controlador de domínio recusou o tíquete Kerberos criado pela Web Proxy de Aplicativo. Verifique se a configuração do Proxy de Aplicativo Web e do servidor de aplicativos de back-end estão configuradas corretamente, especialmente a configuração do SPN. Verifique se o Proxy de Aplicativo Web é ingressado no domínio do mesmo domínio que o controlador de domínio para garantir que o controlador de domínio estabeleça confiança com a Web Proxy de Aplicativo. Verifique se a configuração de data e hora na Web Proxy de Aplicativo e no controlador de domínio estão sincronizadas.
13022

O Proxy de Aplicativo Web não pode autenticar o usuário porque o servidor de back-end responde às tentativas de autenticação kerberos com um erro HTTP 401.

Esse evento pode indicar uma configuração incorreta entre o Proxy de Aplicativo Web e o servidor de aplicativo de back-end ou um problema na configuração de data e hora em ambos os computadores. O servidor de back-end recusou o tíquete Kerberos criado pela Web Proxy de Aplicativo. Verifique se a configuração do Proxy de Aplicativo Web e do servidor de aplicativo de back-end estão configuradas corretamente. Verifique se a configuração de data e hora no Proxy de Aplicativo Web e no servidor de aplicativos de back-end estão sincronizados.
13025

O cliente não apresentou um certificado SSL ao Web Proxy de Aplicativo.

Esse evento pode indicar um problema na configuração de data e hora. Verifique se a infraestrutura de certificado é válida e que a hora e a data do Proxy de Aplicativo Web e do AD FS sejam sincronizados. Verifique se a impressão digital configurada para o web Proxy de Aplicativo é a correta.
13026

O cliente apresentou um certificado SSL ao Web Proxy de Aplicativo, mas o certificado não é válido: o certificado não corresponde à impressão digital.

Esse evento pode indicar um problema na configuração de data e hora. Verifique se a infraestrutura de certificado é válida e que a hora e a data do Proxy de Aplicativo Web e do AD FS sejam sincronizados. Verifique se a impressão digital configurada para o web Proxy de Aplicativo é a correta.
13028

A Web Proxy de Aplicativo recebeu uma solicitação que continha um token de borda que ainda não é válido.

Esse evento pode indicar um problema na configuração de data e hora. Verifique se a infraestrutura de certificado é válida e que a hora e a data do Proxy de Aplicativo Web e do AD FS sejam sincronizados.
13030

O cliente apresentou um certificado SSL ao Web Proxy de Aplicativo, mas o provedor de confiança não confia na autoridade de certificado que emitiu o certificado do cliente.

Esse evento pode indicar um problema na configuração de data e hora. Verifique se a infraestrutura de certificado é válida e que a hora e a data do Proxy de Aplicativo Web e do AD FS sejam sincronizados. Verifique se a impressão digital configurada para o web Proxy de Aplicativo é a correta.
13031

O cliente apresentou um certificado SSL ao Web Proxy de Aplicativo, mas a cadeia de certificados terminou em um certificado raiz que não é confiável pelo provedor de confiança.

Esse evento pode indicar um problema na configuração de data e hora. Verifique se a infraestrutura de certificado é válida e que a hora e a data do Proxy de Aplicativo Web e do AD FS sejam sincronizados. Verifique se a impressão digital configurada para o web Proxy de Aplicativo é a correta.
13032

O cliente apresentou um certificado SSL ao Web Proxy de Aplicativo, mas o certificado não era válido para o uso solicitado.

Esse evento pode indicar um problema na configuração de data e hora. Verifique se a infraestrutura de certificado é válida e que a hora e a data do Proxy de Aplicativo Web e do AD FS sejam sincronizados. Verifique se a impressão digital configurada para o web Proxy de Aplicativo é a correta.
13033

O cliente apresentou um certificado SSL ao Web Proxy de Aplicativo, mas o certificado não estava dentro do período de validade ao verificar o relógio do sistema atual ou o carimbo de data/hora no arquivo assinado.

Esse evento pode indicar um problema na configuração de data e hora. Verifique se a infraestrutura de certificado é válida e que a hora e a data do Proxy de Aplicativo Web e do AD FS sejam sincronizados. Verifique se a impressão digital configurada para o web Proxy de Aplicativo é a correta.
13034

O cliente apresentou um certificado SSL ao Web Proxy de Aplicativo, mas o certificado não era válido.

Esse evento pode indicar um problema na configuração de data e hora. Verifique se a infraestrutura de certificado é válida e que a hora e a data do Proxy de Aplicativo Web e do AD FS sejam sincronizados. Verifique se a impressão digital configurada para o web Proxy de Aplicativo é a correta.

Os eventos do console de administrador a seguir são indicativos de problemas relacionados à configuração, como provisionamento, solicitações que não são bem-sucedidas, servidores de back-end que são inacessíveis e estouros de buffer.

Evento ou sintoma Causa possível Resolução
12019

O web Proxy de Aplicativo não pôde criar um ouvinte para a URL a seguir.

Uma possível causa para o evento é que outro serviço está ouvindo a mesma URL. O administrador deve garantir que ninguém ouça ou se associe às mesmas URLs. Para marcar isso, execute o comando: netsh http show urlacl. Se essa URL for usada por outro componente em execução no computador web Proxy de Aplicativo, remova-a ou use uma URL diferente para publicar os aplicativos por meio do Web Proxy de Aplicativo.
12020

O Proxy de Aplicativo Web não pôde criar uma reserva para a URL a seguir.

Uma possível causa para o evento é que outro serviço tem uma reserva na mesma URL. O administrador deve garantir que ninguém se associe às mesmas URLs. Para marcar isso, execute o comando: netsh http show urlacl. Se essa URL for usada por outro componente em execução no computador web Proxy de Aplicativo, remova-a ou use uma URL diferente para publicar os aplicativos por meio do Web Proxy de Aplicativo.
12021

O Proxy de Aplicativo Web não pôde associar o certificado do servidor SSL. Todas as outras configurações foram aplicadas.

Não é possível criar e definir um registro de configuração de dados de certificado SSL. Verifique se as impressões digitais de certificado configuradas para aplicativos web Proxy de Aplicativo estão instaladas em todos os computadores web Proxy de Aplicativo com uma chave privada no repositório de computadores local.
13001

O certificado do servidor SSL apresentado à Web Proxy de Aplicativo pelo servidor de back-end não é válido; o certificado não é confiável.

Um ou mais erros foram encontrados no certificado SSL (Secure Sockets Layer) enviado pelo servidor. Isso pode indicar que o servidor de back-end forneceu um SSL que não era válido ou que não há confiança entre o Proxy de Aplicativo Web e o servidor de back-end. Validar um certificado SSL do servidor de back-end. Verifique se o computador web Proxy de Aplicativo está configurado com os CAs raiz certos para confiar no certificado do servidor de back-end.
13006 Quando o código de erro é 0x80072ee7, a falha é causada pela incapacidade de resolve a URL do servidor de back-end. Outros códigos de erro são descritos na função WinHttpSendRequest (winhttp.h) Verifique se a URL do servidor de back-end está correta e se seu nome pode ser resolvido corretamente no computador web Proxy de Aplicativo.
13007

A resposta HTTP do servidor de back-end não foi recebida no intervalo esperado.

A solicitação de servidor de back-end está com o tempo limite ou está lento ou sem resposta. Verifique a configuração do servidor de back-end. Se for lento, marcar a conectividade com o servidor de back-end e também considere alterar o cmdlet do parâmetro de configuração global Proxy de Aplicativo Web para InactiveTransactionsTimeoutSec.

Referências