Problemen met configuratie en beheer voor Azure Cloud Services (klassiek): Veelgestelde vragen (veelgestelde vragen)

We raden klanten aan om de volledige certificaatketen (leaf-certificaat, tussenliggende certificaten en basiscertificaat) te installeren in plaats van alleen het leaf-certificaat. Wanneer u alleen het leaf-certificaat installeert, vertrouwt u op Windows om de certificaatketen te bouwen door de CTL te doorlopen. Als onregelmatige netwerk- of DNS-problemen optreden in Azure of Windows Update wanneer Windows het certificaat probeert te valideren, kan het certificaat als ongeldig worden beschouwd. Door de volledige certificaatketen te installeren, kan dit probleem worden vermeden. In de blog bij How to install a chained SSL certificate shows how to do this.

Deze certificaten worden automatisch gemaakt wanneer er een extensie wordt toegevoegd aan de cloudservice. Meestal is dit de WAD-extensie of de RDP-extensie, maar dit kunnen andere zijn, zoals de Antimalware- of Log Collector-extensie. Deze certificaten worden alleen gebruikt voor het versleutelen en ontsleutelen van de privéconfiguratie voor de extensie. De vervaldatum wordt nooit gecontroleerd, dus het maakt niet uit of het certificaat is verlopen. 

U kunt deze certificaten negeren. Als u de certificaten wilt opschonen, kunt u ze allemaal verwijderen. Azure genereert een fout als u probeert een certificaat te verwijderen dat wordt gebruikt.

Zie het volgende richtlijnendocument:

Een certificaat verkrijgen voor gebruik met Windows Azure-websites (WAWS)

De CSR is slechts een tekstbestand. Het hoeft niet te worden gemaakt vanaf de computer waarop het certificaat uiteindelijk wordt gebruikt. Hoewel dit document is geschreven voor een App Service, is het maken van csr algemeen en geldt dit ook voor Cloud Services.

U kunt de volgende PowerShell-opdrachten gebruiken om uw beheercertificaten te vernieuwen:

Add-AzureAccount
Select-AzureSubscription -Current -SubscriptionName <your subscription name>
Get-AzurePublishSettingsFile

De Get-AzurePublish Instellingen File maakt een nieuw beheercertificaat in Abonnementsbeheercertificaten> in Azure Portal. De naam van het nieuwe certificaat ziet eruit als 'YourSubscriptionNam]-[CurrentDate]-credentials'.

U kunt deze taak automatiseren met behulp van een opstartscript (batch/cmd/PowerShell) en dat opstartscript registreren in het servicedefinitiebestand. Voeg zowel het opstartscript als het certificaat (.p7b-bestand) toe in de projectmap van dezelfde map van het opstartscript.

Dit certificaat wordt gebruikt voor het versleutelen van computersleutels in Azure-webrollen. Bekijk dit advies voor meer informatie.

Raadpleeg voor meer informatie de volgende artikelen:

• Opstarttaken voor een cloudservice configureren en uitvoeren
• Algemene opstarttaken voor cloudservices

De mogelijkheid om een nieuw certificaat voor RdP (Remote Desktop Protocol) te genereren, is binnenkort beschikbaar. U kunt ook dit script uitvoeren:

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 20 48 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

De mogelijkheid om blob of lokaal te kiezen voor uw csdef- en cscfg-uploadlocatie is binnenkort beschikbaar. Met New-AzureDeployment kunt u elke locatiewaarde instellen.

Mogelijkheid om metrische gegevens op exemplaarniveau te bewaken. Er zijn meer bewakingsmogelijkheden beschikbaar in Cloud Services bewaken.

U hebt het lokale opslagquotum voor het schrijven naar de logboekmap uitgeput. U kunt dit verhelpen door een van de volgende drie dingen uit te voeren:

• Schakel diagnostische gegevens in voor IIS en zorg ervoor dat de diagnostische gegevens periodiek naar blobopslag worden verplaatst.
• Verwijder logboekbestanden handmatig uit de logboekmap.
• Verhoog de quotumlimiet voor lokale resources.

Zie de volgende documenten voor meer informatie:

• Diagnostische gegevens opslaan en weergeven in Azure Storage
• IIS-logboeken stoppen met schrijven in cloudservice

U kunt logboekregistratie van Windows Azure Diagnostics (WAD) inschakelen via de volgende opties:

1. Inschakelen vanuit Visual Studio
2. Inschakelen via .NET-code
3. Inschakelen via PowerShell

Als u de huidige WAD-instellingen van uw cloudservice wilt ophalen, kunt u get-AzureServiceDiagnosticsExtensions PowerShell-cmd gebruiken of u kunt deze bekijken via de portal via de blade Cloud Services -> Extensies.

U kunt de time-out in uw servicedefinitiebestand (csdef) als volgt opgeven:

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="mgVS2015Worker" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
  <WorkerRole name="WorkerRole1" vmsize="Small">
    <ConfigurationSettings>
      <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
    </ConfigurationSettings>
    <Imports>
      <Import moduleName="RemoteAccess" />
      <Import moduleName="RemoteForwarder" />
    </Imports>
    <Endpoints>
      <InputEndpoint name="Endpoint1" protocol="tcp" port="10100"   idleTimeoutInMinutes="30" />
    </Endpoints>
  </WorkerRole>

Zie Nieuw: Configureerbare time-out voor inactiviteit voor Azure Load Balancer voor meer informatie.

Als u een statisch IP-adres wilt instellen, moet u een gereserveerd IP-adres maken. Dit gereserveerde IP-adres kan worden gekoppeld aan een nieuwe cloudservice of aan een bestaande implementatie. Zie de volgende documenten voor meer informatie:

• Een gereserveerd IP-adres maken
• Het IP-adres van een bestaande cloudservice reserveren
• Een gereserveerd IP-adres koppelen aan een nieuwe cloudservice
• Een gereserveerd IP-adres koppelen aan een actieve implementatie
• Een gereserveerd IP-adres koppelen aan een cloudservice met behulp van een serviceconfiguratiebestand

Azure heeft IPS/IDS in fysieke datacenterservers om te beschermen tegen bedreigingen. Daarnaast kunnen klanten beveiligingsoplossingen van derden implementeren, zoals webtoepassingsfirewalls, netwerkfirewalls, antimalware, inbraakdetectie, preventiesystemen (IDS/IPS) en meer. Zie Uw gegevens en assets beschermen en voldoen aan wereldwijde beveiligingsnormen voor meer informatie.

Microsoft bewaakt voortdurend servers, netwerken en toepassingen om bedreigingen te detecteren. De multipronged threat-management-benadering van Azure maakt gebruik van inbraakdetectie, DDoS-aanvalspreventie (distributed Denial-of-Service), penetratietests, gedragsanalyses, anomaliedetectie en machine learning om de verdediging voortdurend te versterken en risico's te verminderen. Microsoft Antimalware voor Azure beschermt Azure Cloud Services en virtuele machines. Daarnaast hebt u de mogelijkheid om beveiligingsoplossingen van derden te implementeren, zoals firewalls van webtoepassingen, netwerkfirewalls, antimalware, inbraakdetectie- en preventiesystemen (IDS/IPS) en meer.

Windows 10 en Windows Server 2016 worden geleverd met ondersteuning voor HTTP/2 aan zowel client- als serverzijde. Als uw client (browser) verbinding maakt met de IIS-server via TLS die via TLS-extensies onderhandelt over HTTP/2, hoeft u geen wijzigingen aan te brengen aan de serverzijde. Dit komt doordat, via TLS, de h2-14-header die het gebruik van HTTP/2 opgeeft, standaard wordt verzonden. Als uw client daarentegen een upgradeheader verzendt om een upgrade naar HTTP/2 uit te voeren, moet u de onderstaande wijziging aan de serverzijde aanbrengen om ervoor te zorgen dat de upgrade werkt en u uiteindelijk een HTTP/2-verbinding hebt.

1. Voer regedit.exe uit.
2. Blader naar registersleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
3. Maak een nieuwe DWORD-waarde met de naam DuoEnabled.
4. Stel de waarde in op 1.
5. Start de server opnieuw op.
6. Ga naar uw standaardwebsite en maak onder Bindingen een nieuwe TLS-binding met het zelfondertekende certificaat dat u zojuist hebt gemaakt.

Zie voor meer informatie:

• HTTP/2 op IIS
• Video: HTTP/2 in Windows 10: Browser, Apps en Webserver

Deze stappen kunnen worden geautomatiseerd via een opstarttaak, zodat wanneer een nieuw PaaS-exemplaar wordt gemaakt, de bovenstaande wijzigingen in het systeemregister kunnen worden uitgevoerd. Zie Opstarttaken configureren en uitvoeren voor een cloudservice voor meer informatie.

Zodra dit is gebeurd, kunt u controleren of http/2 is ingeschakeld of niet met behulp van een van de volgende methoden:

• Schakel protocolversie in IIS-logboeken in en bekijk de IIS-logboeken. In de logboeken wordt HTTP/2 weergegeven.
• Schakel F12 Developer Tool in Internet Explorer of Microsoft Edge in en schakel over naar het tabblad Netwerk om het protocol te verifiëren.

Zie HTTP/2 op IIS voor meer informatie.

Cloud Services biedt geen ondersteuning voor het Azure RBAC-model (op rollen gebaseerd toegangsbeheer), omdat het geen azure Resource Manager-service is.

Zie Inzicht in de verschillende rollen in Azure.

Microsoft volgt een strikt proces dat interne technici niet toestaat om extern bureaublad naar uw cloudservice te brengen zonder schriftelijke toestemming (e-mail of andere schriftelijke communicatie) van de eigenaar of de ontwerpfunctie.

Deze fout kan optreden als u het RDP-bestand gebruikt vanaf een computer die is gekoppeld aan Microsoft Entra-id. Volg deze stappen om dit probleem op te lossen:

1. Klik met de rechtermuisknop op het RDP-bestand dat u hebt gedownload en selecteer Bewerken.
2. Voeg '\' toe als voorvoegsel voor de gebruikersnaam. Gebruik bijvoorbeeld .\username in plaats van gebruikersnaam.

Uw Azure-abonnement heeft een limiet voor het aantal kernen dat u kunt gebruiken. Schalen werkt niet als u alle beschikbare kernen hebt gebruikt. Als u bijvoorbeeld een limiet van 100 kernen hebt, betekent dit dat u 100 vm-exemplaren van de grootte van 100 A1 kunt hebben voor uw cloudservice of 50 A2-exemplaren van virtuele machines.

Automatisch schalen op basis van metrische geheugengegevens voor een Cloud Services wordt momenteel niet ondersteund.

U kunt Application Insights gebruiken om dit probleem te omzeilen. Automatisch schalen ondersteunt Application Insights als bron voor metrische gegevens en kan het aantal rolinstanties schalen op basis van metrische gastgegevens, zoals 'Geheugen'. U moet Application Insights configureren in uw Cloud Service-projectpakketbestand (*.cspkg) en de Azure Diagnostics-extensie inschakelen voor de service om dit te implementeren.

Zie Aan de slag met automatisch schalen met aangepaste metrische gegevens in Azure voor meer informatie over het gebruik van aangepaste metrische gegevens via Application Insights voor het configureren van automatisch schalen in Cloud Services

Zie Voor meer informatie over het integreren van Azure Diagnostics met Application Insights voor Cloud Services, cloudservice , virtuele machine of Service Fabric diagnostische gegevens verzenden naar Application Insights

Zie Application Insights voor Azure Cloud Services voor meer informatie over het inschakelen van Application Insights voor Cloud Services

Zie Diagnostische gegevens instellen voor Azure Cloud Services en virtuele machines voor meer informatie over het inschakelen van Logboekregistratie van Azure Diagnostics voor Cloud Services

Als u wilt voorkomen dat clients de MIME-typen snuiven, voegt u een instelling toe in uw web.config-bestand .

<configuration>
   <system.webServer>
      <httpProtocol>
         <customHeaders>
            <add name="X-Content-Type-Options" value="nosniff" />
         </customHeaders>
      </httpProtocol>
   </system.webServer>
</configuration>

U kunt dit ook toevoegen als een instelling in IIS. Gebruik de volgende opdracht met het artikel algemene opstarttaken .

%windir%\system32\inetsrv\appcmd set config /section:httpProtocol /+customHeaders.[name='X-Content-Type-Options',value='nosniff']

Gebruik het IIS-opstartscript uit het artikel algemene opstarttaken .

Zie Servicespecifieke limieten.

Dit is verwacht gedrag en dit mag geen probleem veroorzaken voor uw toepassing. Logboekopname is ingeschakeld voor het station %approot% in Azure PaaS-VM's, wat in feite dubbele ruimte verbruikt die bestanden normaal in beslag nemen. Er zijn echter verschillende dingen om rekening mee te houden dat dit in feite een niet-probleem wordt.

De schijfgrootte %approot% wordt berekend als <grootte van .cspkg + max logboekgrootte + een marge vrije ruimte> of 1,5 GB, afhankelijk van wat groter is. De grootte van uw VIRTUELE machine heeft geen invloed op deze berekening. (De VM-grootte is alleen van invloed op de grootte van het tijdelijke C: station.)

Het wordt niet ondersteund om naar het station %approot% te schrijven. Als u naar de Azure-VM schrijft, moet u dit doen in een tijdelijke LocalStorage-resource (of een andere optie, zoals Blob Storage, Azure Files, enzovoort). De hoeveelheid vrije ruimte in de map %approot% is dus niet zinvol. Als u niet zeker weet of uw toepassing naar het station %approot% schrijft, kunt u uw service altijd een paar dagen laten uitvoeren en vervolgens de grootten 'voor' en 'na' vergelijken. 

Azure schrijft niets naar het station %approot%. Zodra de VHD is gemaakt op basis van uw .cspkg en is gekoppeld aan de Virtuele Azure-machine, is uw toepassing het enige dat naar dit station kan schrijven. 

De logboekinstellingen zijn niet configureerbaar, dus u kunt deze niet uitschakelen.

U kunt de Antimalware-extensie inschakelen met behulp van een PowerShell-script in de opstarttaak. Volg de stappen in deze artikelen om deze te implementeren:

• Een PowerShell-opstarttaak maken
• Set-AzureServiceAntimalwareExtension

Zie Antimalware-implementatiescenario's voor meer informatie over antimalware-implementatiescenario's en hoe u deze kunt inschakelen vanuit de portal.

U kunt SNI inschakelen in Cloud Services met behulp van een van de volgende methoden:

Methode 1: PowerShell gebruiken

De SNI-binding kan worden geconfigureerd met behulp van de PowerShell-cmdlet New-WebBinding in een opstarttaak voor een cloudservicerolinstantie, zoals hieronder:

New-WebBinding -Name $WebsiteName -Protocol "https" -Port 443 -IPAddress $IPAddress -HostHeader $HostHeader -SslFlags $sslFlags

Zoals hier wordt beschreven, kan de $sslFlags een van de volgende waarden zijn:

Methode 2: Code gebruiken

De SNI-binding kan ook worden geconfigureerd via code in het opstarten van de rol, zoals beschreven in dit blogbericht:

//<code snip> 
                var serverManager = new ServerManager(); 
                var site = serverManager.Sites[0]; 
                var binding = site.Bindings.Add(":443:www.test1.com", newCert.GetCertHash(), "My"); 
                binding.SetAttributeValue("sslFlags", 1); //enables the SNI 
                serverManager.CommitChanges(); 
    //</code snip>

Met behulp van een van de bovenstaande benaderingen moeten de respectieve certificaten (*.pfx) voor de specifieke hostnamen eerst worden geïnstalleerd op de rolinstanties met behulp van een opstarttaak of via code om ervoor te zorgen dat de SNI-binding effectief is.

Cloud Service is een klassieke resource. Alleen resources die zijn gemaakt via Azure Resource Manager ondersteunen tags. U kunt geen tags toepassen op klassieke resources, zoals cloudservice.

We werken aan het overbrengen van deze functie in Azure Portal. Ondertussen kunt u de volgende PowerShell-opdrachten gebruiken om de SDK-versie op te halen:

Get-AzureService -ServiceName "<Cloud Service name>" | Get-AzureDeployment | Where-Object -Property SdkVersion -NE -Value "" | select ServiceName,SdkVersion,OSVersion,Slot

Een al geïmplementeerde cloudservice wordt gefactureerd voor de compute en opslag die wordt gebruikt. Dus zelfs als u de Azure-VM afsluit, wordt u nog steeds gefactureerd voor de opslag.

Dit is wat u kunt doen om uw facturering te verminderen zonder het IP-adres voor uw service te verliezen:

1. Reserveer het IP-adres voordat u de implementaties verwijdert. U wordt alleen gefactureerd voor dit IP-adres. Zie prijzen voor IP-adressen voor meer informatie over facturering via IP-adressen.
2. Verwijder de implementaties. Verwijder de xxx.cloudapp.net niet, zodat u deze in de toekomst kunt gebruiken.
3. Als u de cloudservice opnieuw wilt implementeren met hetzelfde gereserveerde IP-adres dat u in uw abonnement hebt gereserveerd, raadpleegt u Gereserveerde IP-adressen voor Cloud Services en Virtuele machines.