Behebung von Cloudflare-5XX-Fehlern
Überblick
Bei der Behebung der meisten 5XX-Fehler besteht die richtige Vorgehensweise darin, sich zuerst für Fehlersuche und Datensammlung an den Hosting-Provider oder den Website-Administrator zu wenden.
Erforderliche Fehlerdetails für Ihren Hosting-Provider
- Spezifischer 5XX-Fehlercode und Meldung
- Die Zeit, zu der der 5XX-Fehler aufgetreten ist, und die Zeitzone
- Die URL, die zum HTTP-5XX-Fehler geführt hat (z. B.: https://www.example.com/images/icons/image1.png)
Zusätzliche Details, die Sie Ihrem Hosting-Provider oder Website-Administrator vorlegen müssen, sind in jeder der folgenden Fehlerbeschreibungen aufgeführt. Auf Cloudflares Custom Error Pages wird die Erscheinung der standardmäßigen Fehlerseiten geändert, die in diesem Artikel beschrieben werden.
Fehleranalyse
Fehleranalysen nach Domain sind innerhalb des Support-Portals für Ihr Konto verfügbar. Fehleranalysen geben Einsicht in allgemeine Fehler nach HTTP-Fehlercode und geben die URLs, Antworten, IP-Adressen der Ursprungsserver und die Cloudflare-Rechenzentren an, die zur Diagnose und Behebung des Problems nötig sind. Fehleranalysen basieren auf einer Traffic-Stichprobe von 1 %.
Zur Ansicht der Fehleranalyse:
- Navigieren Sie zum Cloudflare-Support-Portal. Informationen, wie Sie zum Support-Portal gelangen, finden Sie in den Anweisungen zum Ausfüllen eines Support-Tickets.
- Scrollen Sie nach unten zum Abschnitt Fehleranalyse.
- Klicken Sie auf Zur Fehleranalyse.
- Geben Sie die zu untersuchende Domain ein.
- Es wird ein Diagramm mit Fehlern im zeitlichen Verlauf angezeigt.
- Klicken Sie einen Statuscode in der Tabelle neben dem Diagramm an, um die Traffic-Fehlerdetails zu erweitern.
Fehler 500: interner Server-Fehler
Fehler 500 weist im Allgemeinen auf ein Problem mit Ihrem Ursprungswebserver hin. Fehler bei Herstellung der Datenbankverbindung ist eine übliche HTTP-500-Fehlermeldung, die von Ihrem Ursprungswebserver generiert wird. Wenden Sie sich zur Behebung des Fehlers an Ihren Hosting-Provider.
Lösung
Legen Sie Ihrem Hosting-Provider Details vor, die bei der Behebung des Fehlers von Nutzen sein können.
Wenn der 500-Fehler jedoch „cloudflare“ oder „cloudflare-nginx“ im HTML-Antworttext enthält, müssen Sie dem Cloudflare-Support die folgenden Informationen bereitstellen:
- Ihren Domain-Namen
- Die Zeit, zu der der Fehler 500 aufgetreten ist, und die Zeitzone
- Die Ausgabe von www.example.com/cdn-cgi/trace aus dem Browser, in dem der 500-Fehler aufgetreten ist (ersetzen Sie www.example.com durch Ihren tatsächlichen Domain- und Hostnamen)
Fehler 502: ungültiges Gateway, oder Fehler 504: Gateway-Timeout
Ein HTTP-Fehler 502 oder 504 tritt auf, wenn Cloudflare keinen Kontakt mit Ihrem Ursprungswebserver herstellen kann.
Dafür gibt es zwei mögliche Ursachen:
- (Häufigste Ursache) 502/504 von Ihrem Ursprungswebserver
- 502/504 von Cloudflare
502/504 von Ihrem Ursprungswebserver
Cloudflare gibt einen Cloudflare-gekennzeichneten HTTP-Fehler 502 oder 504 zurück, wenn Ihr Ursprungswebserver mit einem HTTP-Fehler 502 „ungültiges Gateway“ oder 504 „Gateway-Timeout“ antwortet:
Lösung
Kontaktieren Sie Ihren Hosting-Provider zur Behebung dieser häufigen Ursachen an Ihrem Ursprungswebserver:
- Es muss sichergestellt werden, dass der Ursprungsserver auf Anfragen nach Hostnamen und Domain in der URL des Besuchers, die den Fehler 502 oder 504 generiert hat, antwortet.
- Es muss untersucht werden, ob übermäßige Serverauslastungen, Abstürze oder Netzwerkfehler vorliegen.
- Es müssen Anwendungen oder Dienste identifiziert werden, die wegen Zeitüberschreitung deaktiviert oder blockiert wurden.
502/504 von Cloudflare
Ein Fehler 502 oder 504, der seinen Ursprung bei Cloudflare hat, erscheint wie folgt:
Wenn im Fehler nicht „cloudflare“ aufgeführt ist, sollten Sie Ihren Hosting-Provider um Unterstützung für 502/504-Fehler von Ihrem Ursprung bitten.
Lösung
Teilen Sie dem Cloudflare-Support diese erforderlichen Details mit, um Verzögerungen bei der Bearbeitung Ihrer Anfrage zu vermeiden:
- Die Zeit, zu der das Problem aufgetreten ist, und die Zeitzone
- Die URL, die zur HTTP-Antwort 502 oder 504 geführt hat (z. B.: https://www.example.com/images/icons/image1.png)
- Die Ausgabe vom Browsen auf www.example.com/cdn-cgi/trace (ersetzen Sie www.example.com durch den Domain- und Hostnamen, der den HTTP-Fehler 502 oder 504 verursacht hat)
Fehler 503: Dienst vorübergehend nicht verfügbar
HTTP-Fehler 503 tritt auf, wenn Ihr Ursprungswebserver überlastet ist. Es gibt zwei mögliche Ursachen, die sich an einer Fehlermeldung erkennen lassen:
- Der Fehler enthält nicht „cloudflare“ oder „cloudflare-nginx“ im HTML-Antworttext.
Lösung: Kontaktieren Sie Ihren Hosting-Provider, um zu überprüfen, ob er Anfragen an Ihren Ursprungswebserver einer Ratenbegrenzung unterzieht.
- Der Fehler enthält „cloudflare“ oder „cloudflare-nginx“ im HTML-Antworttext.
Lösung: In einem Cloudflare-Rechenzentrum ist ein Verbindungsproblem aufgetreten. Legen Sie dem Cloudflare-Support die folgenden Informationen vor:
- Ihren Domain-Namen
- Die Zeit, zu der der Fehler 503 aufgetreten ist, und die Zeitzone
- Die Ausgabe von www.example.com/cdn-cgi/trace aus dem Browser, in dem der 503-Fehler aufgetreten ist (ersetzen Sie www.example.com durch Ihren tatsächlichen Domain- und Hostnamen)
520: Webserver gibt unbekannten Fehler zurück
Fehler 520 tritt auf, wenn der Ursprungsserver eine leere, unbekannte oder unerwartete Antwort an Cloudflare zurückgibt.
Lösung
Bitten Sie Ihren Hosting-Provider oder Website-Administrator, die Fehlerprotokolle Ihres Ursprungswebservers auf Abstürze zu überprüfen und nach diesen häufigen Ursachen zu suchen:
- Abstürze von Anwendungen auf dem Ursprungswebserver.
- Cloudflare-IPs auf Ihrem Ursprungsserver nicht erlaubt
- Header überschreiten 16 KB (gewöhnlich wegen zu vieler Cookies)
- Eine leere Antwort vom Ursprungswebserver, bei der ein HTTP-Statuscode oder Antworttext fehlt.
- Fehlende Antwort-Header, oder der Ursprungswebserver gibt keine richtigen HTTP-Fehlerantworten zurück.
upstream prematurely closed connection while reading response header from upstreamist ein häufiger Fehler, den wir in unseren Protokollen finden können. Das deutet darauf hin, dass der Ursprungswebserver Probleme hatte, die bewirkt haben, dass Cloudflare 520-Fehler erzeugt hat.
Wenn 520-Fehler weiterhin auftreten, nachdem Sie sich an Ihren Hosting-Provider oder Website-Administrator gewandt haben, legen Sie dem Cloudflare-Support bitte die folgenden Informationen vor:
- Vollständige URL(s) der angeforderten Ressource, als der Fehler auftrat.
- Cloudflare cf-ray aus der 520-Fehlermeldung
- Ausgabe von http://www.example.com/cdn-cgi/trace (ersetzen Sie www.example.com durch Ihren Hostnamen und Ihre Domain, bei der der 520-Fehler auftrat)
- Zwei
HAR-Dateien:
- eine Datei mit aktiviertem Cloudflare auf Ihrer Website und
- die andere mit vorübergehend deaktiviertem Cloudflare.
Fehler 521: Webserver ist ausgefallen
Fehler 521 tritt auf, wenn der Ursprungswebserver Verbindungsaufforderungen von Cloudflare ablehnt. Eventuell blockieren Sicherheitslösungen an Ihrem Ursprung legitime Verbindungen von bestimmten Cloudflare-IP-Adressen.
Die beiden häufigsten Ursachen für 521-Fehler sind:
- Eine Anwendung auf dem Ursprungswebserver ist offline.
- Cloudflare-Anfragen werden blockiert.
Lösung
Kontaktieren Sie Ihren Website-Administrator oder Hosting-Provider, damit diese häufigen Ursachen beseitigt werden:
- Es muss sichergestellt werden, dass Ihr Ursprungswebserver reaktionsfähig ist.
- Die Fehlerprotokolle des Ursprungswebservers müssen überprüft werden, um Abstürze oder Ausfälle von Webserver-Anwendungen zu identifizieren.
- Es muss bestätigt werden, dass Cloudflare-IP-Adressen nicht blockiert sind oder Rate Limiting unterliegen
- Alle Cloudflare-IP-Bereiche müssen in der Firewall Ihres Ursprungswebservers oder anderer Sicherheitssoftware erlaubt werden
- Wenn Ihr SSL/TLS-Modus auf Full oder Full (Strict) eingestellt ist, muss bestätigt werden, dass ein Cloudflare-Ursprungszertifikat installiert ist
- Weitere Informationen zur Fehlerbehebung finden Sie in der Cloudflare-Community.
Fehler 522: Zeitüberschreitung der Verbindung
Fehler 522 tritt auf, wenn bei Cloudflares Kontaktaufnahme mit dem Ursprungswebserver das Zeitlimit überschritten wird. Zwei unterschiedliche Timeouts verursachen HTTP-Fehler 522, und zwar abhängig davon, wann sie zwischen Cloudflare und dem Ursprungswebserver auftreten:
- Bevor eine Verbindung hergestellt wird, gibt der Ursprungswebserver innerhalb von 15 Sekunden, nachdem Cloudflare ein SYN gesendet hat, kein SYN+ACK an Cloudflare zurück.
- Nach Herstellung einer Verbindung bestätigt (ACK) der Ursprungswebserver Cloudflares Ressourcen-Anforderung nicht innerhalb von 90 Sekunden.
Lösung
Kontaktieren Sie Ihren Hosting-Provider, damit die folgenden häufigen Ursachen an Ihrem Ursprungswebserver überprüft werden:
- (Häufigste Ursache) Cloudflare-IP-Adressen unterliegen Rate Limiting oder werden in .htaccess, iptables oder Firewalls blockiert. Bestätigen Sie, dass Ihr Hosting-Provider Cloudflare-IP-Adressen erlaubt.
- Ein überlasteter oder offline geschalteter Ursprungswebserver verwirft eingehende Anfragen.
- Keepalives sind am Ursprungswebserver deaktiviert.
- Die IP-Adresse des Ursprungsservers in Ihrer Cloudflare-DNS-App stimmt nicht mit der IP-Adresse überein, die zurzeit von Ihrem Hosting-Provider für Ihren Ursprungswebserver bereitgestellt wird.
- An Ihrem Ursprungswebserver wurden Pakete verworfen.
Wenn Sie Cloudflare Pages verwenden, müssen Sie sich vergewissern, dass Sie eine benutzerdefinierte Domain eingerichtet haben und dass Ihr CNAME-Eintrag auf Ihre benutzerdefinierte Pages-Domain verweist. Anweisungen zur Einrichtung einer benutzerdefinierten Pages-Domain finden Sie hier.
Wenn nichts des oben Aufgeführten zu einer Lösung führt, sollten Sie die folgenden Informationen von Ihrem Hosting-Provider oder Website-Administrator anfordern, bevor Sie sich an den Cloudflare-Support wenden:
- Ein MTR oder Traceroute von Ihrem Ursprungswebserver zu einer Cloudflare-IP-Adresse, die am häufigsten mit Ihrem Ursprungswebserver verbunden war, bevor das Problem auftrat. Identifizieren Sie eine Cloudflare-IP-Verbindungsadresse, die in den Protokollen des Ursprungswebservers aufgezeichnet ist.
- Details der Untersuchungen des Hosting-Providers wie z. B. relevante Protokolle oder Korrespondenz mit dem Hosting-Provider.
Fehler 523: Ursprung ist nicht erreichbar
Fehler 523 tritt auf, wenn Cloudflare keinen Kontakt mit Ihrem Ursprungswebserver herstellen kann. Dies geschieht gewöhnlich, wenn ein Netzwerkgerät zwischen Cloudflare und dem Ursprungswebserver keine Route zur IP-Adresse des Ursprungsservers hat.
Lösung Kontaktieren Sie Ihren Hosting-Provider, damit die folgenden häufigen Ursachen an Ihrem Ursprungswebserver ausgeschlossen werden können:
- Lassen Sie bestätigen, dass die korrekte IP-Adresse des Ursprungsservers für A- oder AAAA-Einträge in Ihrer Cloudflare-DNS-App aufgeführt ist.
- Lassen Sie überprüfen, ob Probleme beim Routing im Internet zwischen Ihrem Ursprung und Cloudflare oder mit dem Ursprung selbst vorliegen.
Wenn nichts des oben Aufgeführten zu einer Lösung führt, sollten Sie die folgenden Informationen von Ihrem Hosting-Provider oder Website-Administrator anfordern:
- Ein MTR oder Traceroute von Ihrem Ursprungswebserver zu einer Cloudflare-IP-Adresse, die am häufigsten mit Ihrem Ursprungswebserver verbunden war, bevor das Problem auftrat. Identifizieren Sie eine Cloudflare-IP-Verbindungsadresse in den Protokollen des Ursprungswebservers.
- Wenn Sie Railgun über einen Cloudflare-Hosting-Partner verwenden, kontaktieren Sie Ihren Hosting-Provider, um die 523-Fehler überprüfen zu lassen.
- Wenn Sie Ihre Railgun-Installation selbst verwalten, müssen Sie die folgenden Informationen bereitstellen:
- Ein Traceroute zu Ihrem Ursprungswebserver von Ihrem Railgun-Server.
- Die neueste Syslog-Datei von Ihrem Railgun-Server.
Fehler 524: Zeitüberschreitung
Fehler 524 besagt, dass Cloudflare zwar eine erfolgreiche Verbindung mit dem Ursprungswebserver herstellen konnte, jedoch vor dem standardmäßigen Verbindungs-Timeout von 100 Sekunden keine HTTP-Antwort vom Ursprungsserver erhalten hat. Dies kann passieren, wenn Ihr Ursprungsserver einfach zu lange braucht, weil er zu viel Arbeit zu erledigen hat – z. B. eine große Datenabfrage, oder weil auf dem Server Ressourcen knapp sind und er deshalb nicht rechtzeitig Daten zurückliefern kann.
Lösung
Hier sind die Möglichkeiten, die wir vorschlagen würden, um dieses Problem zu umgehen:
- Implementieren Sie den Status-Abruf großer HTTP-Prozesse, um nicht auf diesen Fehler zu treffen.
- Kontaktieren Sie Ihren Hosting-Provider, damit die folgenden häufigen Ursachen an Ihrem Ursprungswebserver ausgeschlossen werden können:
- Ein Prozess mit langer Ausführungszeit auf dem Ursprungswebserver.
- Ein überlasteter Ursprungswebserver.
- Enterprise-Kunden können den Timeout für Fehler 524 auf bis zu 6000 Sekunden erhöhen, indem der Proxy-Lese-Timeout-API-Endpunkt verwendet wird.
- Wenn Sie regelmäßig HTTP-Anfragen ausführen, die länger als 100 Sekunden dauern (z. B. umfangreiche Datenexporte), sollten Sie diese Prozesse in der Cloudflare-DNS-App hinter eine Subdomain ohne Proxy (mit grauer Wolke) verschieben.
- Wenn Fehler 524 bei einer Domain auftritt, die Cloudflare-Railgun verwendet, vergewissern Sie sich, dass lan.timeout höher eingestellt ist als der Standardwert von 30 Sekunden, und starten Sie dann den Railgun-Dienst neu.
Fehler 525: SSL-Handshake fehlgeschlagen
Fehler 525 weisen darauf hin, dass der SSL-Handshake zwischen Cloudflare und dem Ursprungswebserver fehlgeschlagen ist. Fehler 525 tritt auf, wenn diese beiden Bedingungen erfüllt sind:
- Der SSL-Handshake zwischen Cloudflare und dem Ursprungswebserver schlägt fehl, und
- Full oder Full (Strict) SSL ist in der Registerkarte Übersicht Ihrer Cloudflare-SSL/TLS-App eingestellt.
Lösung
Kontaktieren Sie Ihren Hosting-Provider, damit die folgenden häufigen Ursachen an Ihrem Ursprungswebserver ausgeschlossen werden können:
- Kein gültiges SSL-Zertifikat installiert.
- Port 443 (oder ein anderer benutzerdefinierter sicherer Port) ist nicht offen.
- Kein SNI-Support
- Die von Cloudflare akzeptierten Verschlüsselungs-Suites stimmen nicht mit den vom Ursprungswebserver unterstützten Verschlüsselungs-Suites überein
Zusätzliche Überprüfungen
- Überprüfen Sie, ob an Ihrem Ursprungsserver ein Zertifikat installiert ist. Weitere Einzelheiten zur Durchführung einiger Tests finden Sie in diesem Artikel. Falls Sie kein Zertifikat haben, können Sie unser kostenloses Cloudflare-Ursprungsserver-CA-Zertifikat erstellen und installieren. Mit Ursprungsserver-CA-Zertifikaten können Sie den Traffic zwischen Cloudflare und Ihrem Ursprungswebserver verschlüsseln.
- Überprüfen Sie die Cipher Suites, die Ihr Server verwendet, um sicherzustellen, dass sie mit den von Cloudflare unterstützten Funktionen übereinstimmen.
- Überprüfen Sie die Fehlerprotokolle Ihres Servers anhand der Zeitstempel, zu denen Sie 525-Fehlermeldungen sehen, und überprüfen Sie, ob es Fehler gibt, die zum Zurücksetzen der Verbindung während des SSL-Handshakes führen könnten.
Fehler 526: Ungültiges SSL-Zertifikat
Fehler 526 tritt auf, wenn diese beiden Bedingungen erfüllt sind:
- Cloudflare kann das SSL-Zertifikat an Ihrem Ursprungswebserver nicht validieren, und
- Full SSL (Strict) SSL ist in der Registerkarte Übersicht Ihrer Cloudflare-SSL/TLS-App eingestellt.
Lösung
Bitten Sie Ihren Server-Administrator oder Hosting-Provider, die SSL-Zertifikate des Ursprungswebservers zu überprüfen und sicherzustellen, dass:
- das Zertifikat nicht abgelaufen ist,
- das Zertifikat nicht widerrufen wurde,
- Das Zertifikat wurde von einer Zertifizierungsstelle signiert (nicht selbstsigniert)
- Der angeforderte oder Ziel-Domainname und Hostname sind im allgemeinen Namen oder alternativen Antragstellernamen des Zertifikats enthalten
- Ihr Ursprungswebserver Verbindungen über SSL-Port 443 akzeptiert.
- Deaktivieren Sie Cloudflare vorübergehend und gehen Sie zu https://www.sslshopper.com/ssl-checker.html#hostname=www.example.com (ersetzen Sie www.example.com durch Ihren Hostnamen und Ihre Domain), um zu überprüfen, ob keine Probleme mit dem SSL-Zertifikat des Ursprungs vorliegen:
Wenn der Ursprungsserver ein selbstsigniertes Zertifikat verwendet, konfigurieren Sie die Domain für Full SSL anstatt Full SSL (Strict). Siehe empfohlene SSL-Einstellungen für Ihren Ursprung.
Fehler 527: Fehler „Railgun Listener on origin“
Ein 527-Fehler weist auf eine unterbrochene Verbindung zwischen Cloudflare und dem Railgun-Server (rg-listener) Ihres Ursprungs hin. Häufige Ursachen sind u. a.:
- Firewall-Störungen.
- Netzwerkvorfälle oder Paketverlust zwischen dem Railgun-Server und Cloudflare.
Häufige Ursachen für 527-Fehler sind u. a.:
Wenn Sie den Cloudflare-Support kontaktieren, geben Sie bitte die folgenden Informationen aus dem Railgun Listener an:
- Der vollständige Inhalt der railgun.conf-Datei
- Der vollständige Inhalt der railgun-nat.conf-Datei
- Railgun-Protokolldateien mit Details zu den beobachteten Fehlern.
Verbindungs-Timeouts
Die folgenden Railgun-Protokollfehler weisen auf einen Verbindungsfehler zwischen dem Railgun Listener und Ihrem Ursprungswebserver hin:
connection failed 0.0.0.0:443/example.com: dial tcp 0.0.0.0:443: i/o timeoutno response from origin (timeout) 0.0.0.0:80/example.comLösung
Bitten Sie Ihren Hosting-Provider um Unterstützung bei Tests von Verbindungsproblemen zwischen Ihrem Ursprungswebserver und Ihrem Railgun Listener. Zum Beispiel testet ein netcat-Befehl die Konnektivität, wenn er vom Railgun Listener an SERVERIP und PORT (80 bei HTTP bzw. 443 bei HTTPS) des Ursprungswebservers ausgeführt wird:
nc -vz SERVERIP PORT LAN-Timeout überschritten
Der folgende Protokollfehler für Railgun Listener wird generiert, wenn der Ursprungswebserver innerhalb des 30-sekündigen Standard-Timeouts keine HTTP-Antwort an den Railgun Listener sendet:
connection failed 0.0.0.0:443/example.com: dial tcp 0.0.0.0:443: i/o timeoutDie Zeit wird vom lan.timeout-Parameter der railgun.conf-Datei angepasst.
Lösung
Erhöhen Sie entweder den lan.timeout-Grenzwert in railgun.conf oder überprüfen Sie die Webserver-Konfiguration. Kontaktieren Sie Ihren Hosting-Provider, damit er überprüft, ob der Ursprungswebserver überlastet ist.
Verbindungsablehnungen
Die folgenden Fehler erscheinen in den Railgun-Protokollen, wenn Anfragen des Railgun Listener abgelehnt werden:
Error getting page: dial tcp 0.0.0.0:80:connection refusedLösung
Genehmigen Sie die IP-Adresse Ihres Railgun Listener an der Firewall Ihres Ursprungswebservers.
Fehler in Verbindung mit TLS/SSL
Wenn TLS-Verbindungen fehlschlagen, erscheinen die folgenden Fehler in den Railgun-Protokollen:
connection failed 0.0.0.0:443/example.com: remote error: handshake failureconnection failed 0.0.0.0:443/example.com: dial tcp 0.0.0.0:443:connection refusedconnection failed 127.0.0.1:443/www.example.com: x509: certificate is valid forexample.com, not www.example.comLösung
Wenn TLS/SSL-Fehler auftreten, überprüfen Sie Folgendes am Ursprungswebserver und vergewissern Sie sich, dass:
- Port 443 offen ist,
- vom Ursprungswebserver ein SSL-Zertifikat präsentiert wird,
- das SAN oder der allgemeine Name des SSL-Zertifikats des Ursprungswebservers den angeforderten Hostnamen enthält
- SSL ist in der Registerkarte Übersicht der Cloudflare-SSL/TLS-App auf Full oder Full (Strict) eingestellt
Fehler 530
Bei HTTP-Fehler 530 wird ein begleitender 1XXX-Fehler angezeigt. Suchen Sie den spezifischen 1XXX-Fehler im Cloudflare-Hilfe-Center, um Informationen zur Fehlerbehebung zu finden.