Application Gateway'de arka uç durumu sorunlarını giderme

  • Makale
  • Okumak için 17 dakika

Genel Bakış

Varsayılan olarak Azure Application Gateway arka uç sunucularının durumunu denetlemek ve isteklere hizmet vermeye hazır olup olmadıklarını öğrenmek için bu sunucuları yoklar. Kullanıcılar ayrıca ana bilgisayar adını, yoklama yolunu ve Sağlıklı olarak kabul edilecek durum kodlarını ifade etmek için özel araştırmalar da oluşturabilir. Her durumda, arka uç sunucusu başarıyla yanıt vermiyorsa Application Gateway iyi durumda değil olarak işaretler ve sunucuya istekleri iletmeyi durdurur. Sunucu başarıyla yanıt vermeye başladıktan Application Gateway istekleri iletmeyi sürdürür.

Arka uç durumunu denetleme

Arka uç havuzun durumunu kontrol etmek için arka uç havuzu sayfasındaki Arka Uç Durumu sayfasını Azure portal. Veya , CLIveya Azure PowerShell kullanabilirsinizREST API.

Bu yöntemlerden herhangi biri tarafından alınan durum aşağıdakilerden biri olabilir:

  • Sağlam

  • Uygun Değil

  • Bilinmiyor

Bir sunucunun arka uç durumunun İyi durumda olması, Application Gateway sunucuya iletecek olması anlamına gelir. Ancak arka uç havuzunda bulunan tüm sunucuların arka uç durumu İyi değil veya bilinmiyorsa, uygulamalara erişmeye çalışsanız sorunlarla karşılaşabilirsiniz. Bu makalede gösterilen hataların her biri için belirtiler, neden ve çözüm açıklanmıştır.

Arka uç durumu: Sağlıksız

Arka uç durumu Iyi durumda değil ise portal görünümü aşağıdaki ekran görüntüsüne benzer:

Application Gateway uç durumu - Sağlıksız

Azure PowerShell, CLI veya Azure REST API sorgu kullanıyorsanız aşağıdakine benzer bir yanıt alırsanız:

PS C:\Users\testuser\> Get-AzApplicationGatewayBackendHealth -Name "appgw1" -ResourceGroupName "rgOne"
BackendAddressPools :
{Microsoft.Azure.Commands.Network.Models.PSApplicationGatewayBackendHealthPool}
BackendAddressPoolsText : [
{
                              "BackendAddressPool": {
                                "Id": "/subscriptions/536d30b8-665b-40fc-bd7e-68c65f816365/resourceGroups/rgOne/providers/Microsoft.Network/applicationGateways/appgw1/b
                          ackendAddressPools/appGatewayBackendPool"
                              },
                              "BackendHttpSettingsCollection": [
                                {
                                  "BackendHttpSettings": {
                                    "TrustedRootCertificates": [],
                                    "Id": "/subscriptions/536d30b8-665b-40fc-bd7e-68c65f816365/resourceGroups/rgOne/providers/Microsoft.Network/applicationGateways/appg
                          w1/backendHttpSettingsCollection/appGatewayBackendHttpSettings"
                                  },
                                  "Servers": [
                                    {
                                      "Address": "10.0.0.5",
                                      "Health": "Healthy"
                                    },
                                    {
                                      "Address": "10.0.0.6",
                                      "Health": "Unhealthy"
                                    }
                                  ]
                                }
                              ]
                            }
                        ]

Arka uç havuzunda bulunan tüm sunucular için iyi durumda olmayan bir arka uç sunucusu durumuyla karşılaştıktan sonra istekler sunuculara ilet duyulmaz ve Application Gateway, istekte bulunan istemciye "502 Hatalı Ağ Geçidi" hatası döndürür. Bu sorunu gidermek için Arka Uç Durumu sekmesindeki Ayrıntılar sütununu kontrol edin.

Ayrıntılar sütununda görüntülenen ileti, sorun hakkında daha ayrıntılı içgörüler sağlar ve bu içgörüleri temel alarak sorunu gidermeye başlayabilirsiniz.

Not

Varsayılan yoklama isteği <protocol> :// 127.0.0.1: / biçiminde <port> gönderilir. Örneğin, http://127.0.0.1:80 80 bağlantı noktası üzerinde bir http araştırması için. Yalnızca 200 ile 399 arasında HTTP durum kodları iyi durumda olarak kabul edilir. Protokol ve hedef bağlantı noktası HTTP ayarlarından devralınmış olur. Farklı bir Application Gateway, ana bilgisayar adı veya yol üzerinde araştırma yapmak ve farklı bir durum kodunu Sağlıklı olarak tanımak için bir özel yoklama yapılandırmak ve HTTP ayarlarıyla ilişkilendirmek için.

Hata iletileri

Arka uç sunucusu zaman aşımı

İleti: Arka uç tarafından application gateway'in durum yoklamalarına yanıt vermek için gereken süre, yoklama ' ayarında zaman aşımı eşiğinden fazladır.

Neden: Bu Application Gateway uç sunucusuna bir HTTP (S) yoklama isteği gönderdikten sonra, yapılandırılmış bir süre için arka uç sunucusundan bir yanıt bekler. Arka uç sunucusu yapılandırılan süre içinde (zaman aşımı değeri) yanıt vermezse, yapılandırılan zaman aşımı süresi içinde yanıt vermeye başlayana kadar iyi değil olarak işaretlenir.

Çözünürlük: Arka uç sunucusunun veya uygulamanın yapılandırılan zaman aşımı süresi içinde neden yanıt vermemiş olduğunu ve uygulama bağımlılıklarını da kontrol edin. Örneğin, veritabanının yanıtta gecikmeye neden olacak herhangi bir sorun olup olmadığını kontrol edin. Uygulamanın davranışını biliyorsanız ve yalnızca zaman aşımı değerinden sonra yanıt verecekse, özel yoklama ayarlarından zaman aşımı değerini artırabilirsiniz. Zaman aşımı değerini değiştirmek için özel bir araştırmaya sahipsiniz. Özel yoklama yapılandırma hakkında bilgi için belge sayfasına bakın.

Zaman aşımı değerini artırmak için şu adımları izleyin:

  1. Doğrudan arka uç sunucusuna erişin ve sunucunun bu sayfada yanıt verme süresine bakın. Geliştirici araçlarını kullanarak tarayıcı dahil olmak üzere arka uç sunucusuna erişmek için herhangi bir aracı kullanabilirsiniz.

  2. Uygulamanın yanıt verme süresi hakkında bilgi edindikten sonra Durum Yoklamaları sekmesini ve ardından HTTP ayarlarınızla ilişkili araştırmayı seçin.

  3. Uygulama yanıt süresinden büyük herhangi bir zaman aşımı değerini saniyeler içinde girin.

  4. Özel yoklama ayarlarını kaydedin ve arka uç durumunun Şimdi iyi görünüyor olarak gösterip gösterir olmadığını kontrol edin.

DNS çözümleme hatası

İleti: Application Gateway arka uç için yoklama oluşturulamdı. Bu durum genellikle arka ucun FQDN değerinin doğru girilmemesinden kaynaklanır.

Neden: Arka uç havuzu IP Adresi/FQDN veya App Service türünde ise, Application Gateway Etki Alanı Adı Sistemi (DNS) (özel veya Azure varsayılan) aracılığıyla girilen FQDN'nin IP adresine çözümler ve HTTP bağlantı noktası üzerinde belirtilen TCP bağlantı noktası üzerinde sunucuya bağlanmayı Ayarlar. Ancak bu ileti görüntülenirse, Application Gateway FQDN'nin IP adresinin başarıyla çözümlenemiyor olması önerilebilir.

Çözüm:

  1. Arka uç havuzuna girilen FQDN'nin doğru olduğunu ve bunun genel bir etki alanı olduğunu doğrulayın ve yerel makineden çözümlemeyi deneyin.

  2. IP adresini çözümleyebilirsiniz, sanal ağ dns yapılandırmasında bir sorun olabilir.

  3. Sanal ağın özel bir DNS sunucusuyla yapılandırıldığından emin olun. Öyleyse, DNS sunucusunun neden belirtilen FQDN'nin IP adresine çözümleyene olmadığını kontrol edin.

  4. Azure varsayılan DNS kullanıyorsanız, etki alanı adı kayıt şirketinize uygun A kaydı veya CNAME kaydı eşlemenin tamam olup olmadığını kontrol edin.

  5. Etki alanı özel veya iç ise, aynı sanal ağ üzerinde bir VM'den çözümlemeyi deneyin. Sorunu çöze biliyorsanız yeniden başlatın Application Gateway yeniden kontrol edin. Bu Application Gateway yeniden başlatmak için, bu bağlantılı kaynaklarda açıklanan PowerShell komutlarını kullanarak durdurmanız ve başlatmanız gerekir.

Arka uç havuzunun DNS girişlerinde güncelleştirmeler

İleti: Arka uç durumu alınamadı. Bu durum, v1 SKU'su durumunda 65503-65534 bağlantı noktalarında uygulama ağ geçidi alt ağı üzerinde bir NSG/UDR/Güvenlik Duvarı ve v2 SKU'su durumunda 65200-65535 bağlantı noktaları veya arka uç havuzunda yapılandırılan FQDN'nin bir IP adresine çözümlenemezse gerçekleşir. Daha fazla bilgi edinmek için - ziyaret https://aka.ms/UnknownBackendHealth edin.

Neden: Application Gateway başlatma sırasında arka uç havuzu için DNS girişlerini çözümler ve çalışırken bunları dinamik olarak güncelleştirmez.

Çözüm:

Application Gateway IP adreslerini kullanmaya başlamak için arka uç sunucusu DNS girişlerinde yapılan herhangi bir değişiklik sonrasında yeniden başlatılması gerekir. Bu işlem, Azure CLI veya Azure PowerShell aracılığıyla tamamlanır.

Azure PowerShell

# Get Azure Application Gateway
$appgw=Get-AzApplicationGateway -Name <appgw_name> -ResourceGroupName <rg_name>
 
# Stop the Azure Application Gateway
Stop-AzApplicationGateway -ApplicationGateway $appgw
 
# Start the Azure Application Gateway
Start-AzApplicationGateway -ApplicationGateway $appgw

Azure CLI

# Stop the Azure Application Gateway
az network application-gateway stop -n <appgw_name> -g <rg_name>

# Start the Azure Application Gateway
az network application-gateway start -n <appgw_name> -g <rg_name>

TCP bağlantı hatası

İleti: Application Gateway uçta bağlantı kuramıyor. Lütfen arka ucun yoklama için kullanılan bağlantı noktası üzerinde yanıt verme durumuna dikkat edin. Ayrıca herhangi bir NSG/UDR/Güvenlik Duvarının bu arka ucun IP ve bağlantı noktasına erişimi engelleyerek engellemesini de denetleme

Neden: DNS çözümleme aşamasından sonra Application Gateway, HTTP ayarlarında yapılandırılan TCP bağlantı noktası üzerinde arka uç sunucusuna bağlanmaya çalışır. Belirtilen Application Gateway bağlantı noktası üzerinde TCP oturumu kuralamazsa, araştırma bu iletiyle Birlikte Sağlıksız olarak işaretlenir.

Çözüm: Bu hatayı alırsanız şu adımları izleyin:

  1. Tarayıcı veya PowerShell kullanarak HTTP ayarlarında belirtilen bağlantı noktası üzerinden arka uç sunucusuna bağlanıp bağlanamayabilirsiniz. Örneğin, aşağıdaki komutu çalıştırın: Test-NetConnection -ComputerName www.bing.com -Port 443

  2. Belirtilen bağlantı noktası istenen bağlantı noktasıysa, arka uç sunucusuna bağlanmak Application Gateway bağlantı noktası numarasını girin

  3. Yerel makinenizin bağlantı noktasına da bağlanamıyorsanız:

    a. Arka uç sunucusunun ağ bağdaştırıcısının ve alt ağının ağ güvenlik grubu (NSG) ayarlarını ve yapılandırılan bağlantı noktasına gelen bağlantılara izin verili olup olmadığını kontrol edin. Bağlantılara izin vermek için yeni bir kural oluşturun. NSG kuralları oluşturma hakkında bilgi edinmek için belge sayfasına bakın.

    b. Application Gateway alt ağının NSG ayarlarının giden genel ve özel trafiğe izin verip izin vermey olmadığını kontrol edin. NSG kuralları oluşturma hakkında daha fazla bilgi edinmek için 3a. adımda sağlanan belge sayfasını kontrol edin.

            $vnet = Get-AzVirtualNetwork -Name "vnetName" -ResourceGroupName "rgName"
        Get-AzVirtualNetworkSubnetConfig -Name appGwSubnet -VirtualNetwork $vnet

    c. Herhangi bir yönlendirme anomalisi için Application Gateway uç sunucusunun alt ağının kullanıcı tanımlı yollar (UDR) ayarlarını kontrol edin. UDR'nin trafiği arka uç alt ağın dışında yönlendirenin emin olun. Örneğin, ağ sanal gereçleri yollarını veya ağ sanal gereçleri ve/veya VPN Application Gateway alt ağına tanıt Azure ExpressRoute yolları kontrol edin.

    d. Bir ağ bağdaştırıcısının geçerli yollarını ve kurallarını kontrol etmek için aşağıdaki PowerShell komutlarını kullanabilirsiniz:

            Get-AzEffectiveNetworkSecurityGroup -NetworkInterfaceName "nic1" -ResourceGroupName "testrg"
        Get-AzEffectiveRouteTable -NetworkInterfaceName "nic1" -ResourceGroupName "testrg"

  4. NSG veya UDR ile ilgili herhangi bir sorun bulamazsanız, arka uç sunucunuzda istemcilerin yapılandırılan bağlantı noktalarında TCP oturumu kurmasını engelleyen uygulamayla ilgili sorunlar olup olmadığını kontrol edin. Kontrol etmek için birkaç şey:

    a. Bir komut istemi açın (Win+R - > cmd), girin netstat ve Enter tarak seçin.

    b. Sunucunun yapılandırılan bağlantı noktasını dinlediğini kontrol edin. Örnek:

            Proto Local Address Foreign Address State PID
        TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4

    c. Yapılandırılmış bağlantı noktası üzerinde dinliyorsa web sunucusu ayarlarınızı kontrol edin. Örneğin: IIS'de site bağlamaları, NGINX'te sunucu bloğu ve Apache'da sanal konak.

    d. Bağlantı noktasına gelen trafiğe izin verilmiyor olduğundan emin olmak için işletim sistemi güvenlik duvarı ayarlarınızı kontrol edin.

HTTP durum kodu eşleşmez

İleti: Arka uç HTTP ' yanıtının durum kodu yoklama ayarıyla eşleşmedi. Expected:{HTTPStatusCode0} Alındı:{HTTPStatusCode1}.

Neden: TCP bağlantısı kurulduktan ve bir TLS el sıkışması yapıldıktan sonra (TLS etkinleştirildiyse), Application Gateway yoklamayı arka uç sunucusuna http GET isteği olarak gönderir. Daha önce açıklandığı gibi, varsayılan yoklama <protocol> ://127.0.0.1: / olur ve yanıt durum kodlarını 200 ile 399 arasında sağlıklı olarak <port> kabul ediyor. Sunucu başka bir durum kodu döndürürse, bu iletiyle birlikte İyi durumda değil olarak işaretlenir.

Çözüm: Arka uç sunucusunun yanıt koduna bağlı olarak aşağıdaki adımları gerçekleştirebilirsiniz. Yaygın durum kodlarının birkaçı burada listelenmiştir:

Hata Eylemler
Yoklama durum kodu eşleşmesi: 401 alındı Arka uç sunucusunun kimlik doğrulaması gerekip gerekip gerek olmadığını kontrol edin. Application Gateway yoklamaları kimlik doğrulaması için kimlik bilgilerini geçemez. Yoklama " durum kodu eşleşmesinde HTTP 401'e izin ver veya sunucunun kimlik doğrulaması gerektirmeyen bir " yola araştırma.
Yoklama durum kodu eşleşmesi: 403 alındı Erişim yasak. Arka uç sunucusunda yola erişime izin verili olup olmadığını kontrol edin.
Yoklama durum kodu eşleşmesi: 404 alındı Sayfa bulunamadı. Ana bilgisayar adı yolunun arka uç sunucusunda erişilebilir olup olmadığını kontrol edin. Ana bilgisayar adı veya yol parametresini erişilebilir bir değerle değiştirme.
Yoklama durum kodu eşleşmesi: 405 alındı Aşağıdakiler için yoklama Application Gateway HTTP GET yöntemini kullanır. Sunucunuz bu yönteme izin verilip izin veli olmadığını kontrol edin.
Yoklama durum kodu eşleşmesi: 500 alındı İç sunucu hatası. Arka uç sunucusunun sistem durumunu ve hizmetlerin çalışıp çalışmadığını denetleyin.
Yoklama durum kodu eşleşmesi: 503 alındı Hizmet kullanılamıyor. Arka uç sunucusunun sistem durumunu ve hizmetlerin çalışıp çalışmadığını denetleyin.

Veya yanıtın meşru olduğunu ve diğer durum kodlarını Sağlıklı Application Gateway kabul etmek istemeyebilirsiniz, özel bir yoklama oluşturabilirsiniz. Bu yaklaşım, arka uç web sitesinin kimlik doğrulamasına ihtiyacı olduğu durumlarda kullanışlıdır. Yoklama istekleri herhangi bir kullanıcı kimlik bilgisi taşımaz, bunlar başarısız olur ve arka uç sunucusu tarafından bir HTTP 401 durum kodu döndürülür.

Özel araştırma oluşturmak için şu adımları izleyin.

HTTP yanıt gövdesi eşleşmez

İleti: Arka uç ' HTTP yanıtının gövdesi yoklama ayarıyla eşleşmedi. Alınan yanıt gövdesi {string} öğesini içermez.

Neden: Özel bir yoklama sanız, yanıt gövdesinden bir dize eşleştirerek arka uç sunucusunu Sağlıklı olarak işaretleme seçeneğiniz vardır. Örneğin, "yetkisiz Application Gateway eşleşmesi için bir dize olarak kabul etmek üzere yapılandırmayı yapılandırmış oluruz. Yoklama isteği için arka uç sunucusu yanıtı yetkisiz dizesini içeriyorsa, Sağlıklı olarak işaretlenir. Aksi takdirde, bu iletiyle birlikte İyi durumda değil olarak işaretlenir.

Çözüm: Bu sorunu çözmek için şu adımları izleyin:

  1. Arka uç sunucusuna yerel olarak veya yoklama yolundaki bir istemci makineden erişin ve yanıt gövdesini kontrol edin.

  2. Özel yoklama yapılandırmasının Application Gateway gövdesinin yapılandırılanla eşle olduğunu doğrulayın.

  3. Eşleşmezse, kabul edilecek doğru dize değerine sahip olacak şekilde yoklama yapılandırmasını değiştirebilirsiniz.

Araştırma eşleştirme hakkında daha Application Gateway bilgi.

Not

TLS ile ilgili tüm hata iletileri için SNI davranışı ve v1 ile v2 SKU'su arasındaki farklar hakkında daha fazla bilgi edinmek için TLS'ye genel bakış sayfasına bakın.

Arka uç sunucu sertifikası geçersiz CA

İleti: Arka uç tarafından kullanılan sunucu sertifikası, iyi bilinen bir Sertifika Yetkilisi (CA) tarafından imzalanmaz. Arka uç tarafından kullanılan Application Gateway sertifikanın kök sertifikasını karşıya yükerek arka ucun arka uçta olmasına izin ver.

Neden: Application Gateway v2 ile 2.00.000 SSL, sunucuyu Sağlıklı olarak kabul etmek için arka uç sunucusunun sertifikasının doğrulanmış olması gerekir. Bir TLS/SSL sertifikasının güvenilir olması için, arka uç sunucusunun sertifikasının, sertifikanın güvenilen depolama alanı içinde yer alan bir CA tarafından Application Gateway. Sertifika güvenilir bir CA tarafından verildiyse (örneğin, otomatik olarak imzalanan bir sertifika kullanılmışsa), kullanıcılar sertifikayı Application Gateway.

Çözüm: Güvenilen kök sertifikayı dışarı aktarın ve sertifikayı sertifikaya yüklemek için Application Gateway. (Bu adımlar, Windows için.)

  1. Uygulamanın barındır bulunduğu makinede oturum açma.

  2. Win+R'yi seçin veya Başlat düğmesine sağ tıklayın ve ardından Çalıştır'ı seçin.

  3. girin certmgr.msc ve Enter tarak seçin. Başlat menüsünde Sertifika Yöneticisi'ni de arayabilirsiniz.

  4. Sertifikayı ( genellikle içinde) \Certificates - Current User\\Personal\\Certificates\ bulun ve açın.

  5. Kök sertifikayı ve ardından Sertifikayı Görüntüle'yi seçin.

  6. Sertifika özellikleri'nin Ayrıntılar sekmesini seçin.

  7. Ayrıntılar sekmesinde Dosyaya Kopyala seçeneğini belirleyin ve dosyayı Base-64 ile kodlanmış X.509 () dosyasına kaydedin. CER) biçimini seçin.

  8. Application Gateway HTTP Ayarlar sayfasını Azure portal.

  9. HTTP ayarlarını açın, Sertifika Ekle'yi seçin ve az önce kaydedilen sertifika dosyasını bulun.

  10. HTTP ayarlarını kaydetmek için Kaydet'i seçin.

Alternatif olarak, tarayıcı aracılığıyla sunucuya doğrudan erişerek (Application Gateway atlayarak) ve kök sertifikayı tarayıcıdan dışarı aktararak kök sertifikayı bir istemci makineden dışarı aktarabilirsiniz.

Sertifikalar'da Güvenilen Kök Sertifikaları ayıklama ve karşıya yükleme hakkında daha fazla bilgi Application Gateway bkz. Güvenilen kök sertifikayı dışarı aktarma (v2 SKU'su için).

Güvenilen kök sertifika uyuşmazlığı

İleti: Arka uç tarafından kullanılan sunucu sertifikasının kök sertifikası, uygulama ağ geçidine eklenen güvenilen kök sertifikayla eşle değil. Arka ucu izin vermek için doğru kök sertifikayı ekleyin.

Neden: Application Gateway v2 ile 2.00.000 SSL, sunucuyu Sağlıklı olarak kabul etmek için arka uç sunucusunun sertifikasının doğrulanmış olması gerekir. Bir TLS/SSL sertifikasının güvenilir olması için arka uç sunucu sertifikasının, sertifikanın güvenilen depolama depolamaya dahil edilen bir CA tarafından Application Gateway. Sertifika güvenilir bir CA (örneğin, otomatik olarak imzalanan bir sertifika kullanıldı) tarafından verildi ise, kullanıcılar sertifikayı Application Gateway.

HTTP ayarlarına yüklenen sertifika Application Gateway arka uç sunucu sertifikasının kök sertifikasıyla eşleşmesi gerekir.

Çözüm: Bu hata iletisini alırsanız, Application Gateway'a yüklenen sertifika ile arka uç sunucusuna yüklenen sertifika arasında bir eşleşmezlik vardır.

Doğru güvenilen kök sertifikayı sertifikaya yüklemek için önceki yöntemde yer alan 1-11 Application Gateway.

Sertifikalar'da Güvenilen Kök Sertifikaları ayıklama ve karşıya yükleme hakkında daha fazla bilgi Application Gateway bkz. Güvenilen kök sertifikayı dışarı aktarma (v2 SKU'su için).

Not

Arka uç sunucusu, TLS el sıkışması sırasında Kök > Ara (varsa) ve Yaprak dahil olmak üzere sertifikanın tam zincirini > değiştirmezse de bu hata oluşabilir. Doğrulamak için, herhangi bir istemciden OpenSSL komutlarını kullanabilir ve bu yoklamada yapılandırılan ayarları kullanarak arka uç sunucusuna Application Gateway edebilirsiniz.

Örnek:

OpenSSL> s_client -connect 10.0.0.4:443 -servername www.example.com -showcerts

Çıkışta döndürülen sertifikanın tam zinciri göster gösternse, sertifikayı kök sertifika da dahil olmak üzere tam zincirle birlikte yeniden dışarı aktarın. Bu sertifikayı arka uç sunucunuzda yapılandırabilirsiniz.

  CONNECTED(00000188)\
  depth=0 OU = Domain Control Validated, CN = \*.example.com\
  verify error:num=20:unable to get local issuer certificate\
  verify return:1\
  depth=0 OU = Domain Control Validated, CN = \*.example.com\
  verify error:num=21:unable to verify the first certificate\
  verify return:1\
  \-\-\-\
  Certificate chain\
   0 s:/OU=Domain Control Validated/CN=*.example.com\
     i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2\
  \-----BEGIN CERTIFICATE-----\
  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\
  \-----END CERTIFICATE-----

Arka uç sertifikası geçersiz ortak ad (CN)

İleti: Arka uç sertifikasının Ortak Adı (CN), yoklamanın ana bilgisayar üst bilgisiyle eşle değil.

Neden: Application Gateway arka uç HTTP ayarlarında belirtilen ana bilgisayar adının, arka uç sunucusunun TLS/SSL sertifikası tarafından sunulan CN ile eş olup olmadığını denetler. Bu, Standard_v2 SKU WAF_v2 (V2) davranışıdır. Standart ve WAF SKU's (v1) Sunucu Adı Belirtme (SNI), arka uç havuzu adreste FQDN olarak ayarlanır. SNI davranışı ve v1 ile v2 SKU'su arasındaki farklar hakkında daha fazla bilgi için bkz. TlSsonlandırmaya genel bakış ve Application Gateway.

v2 SKU'da, bir varsayılan yoklama varsa (özel yoklama yapılandırılmamış ve ilişkilendirilir), SNI HTTP ayarlarında belirtilen ana bilgisayar adı ile ayarlanır. Veya arka uç adres havuzunun geçerli bir FQDN içerdiği HTTP ayarlarında "Arka uç adresinden ana bilgisayar adı seçin" belirtildiğinde bu ayar uygulanır.

HTTP ayarlarıyla ilişkilendirilmiş bir özel yoklama varsa SNI, özel yoklama yapılandırmasında belirtilen ana bilgisayar adıyla ayarlanır. Veya özel yoklamada arka uç HTTP ayarlarından ana bilgisayar adı seç seçilirse, SNI, HTTP ayarlarında belirtilen ana bilgisayar adıyla ayarlanır.

HTTP ayarlarında arka uç adresinden ana bilgisayar adı seçin ayarı ayarlanırsa, arka uç adres havuzu geçerli bir FQDN'yi içermesi gerekir.

Bu hata iletisini alırsanız, arka uç sertifikasının CN'si özel yoklamada veya HTTP ayarlarında yapılandırılan ana bilgisayar adıyla eşleşmez (arka uç HTTP ayarlarından ana bilgisayar adı seçin seçiliyse). Varsayılan yoklama kullanıyorsanız ana bilgisayar adı 127.0.0.1 olarak ayarlanır. Bu istenen bir değer yoksa, özel bir araştırma oluşturmanız ve bunu HTTP ayarlarıyla ilişkilendirmeniz gerekir.

Çözüm:

Sorunu çözmek için aşağıdaki adımları izleyin.

Windows için:

  1. Uygulamanın barındır bulunduğu makinede oturum açma.

  2. Win+R'yi seçin veya Başlat düğmesine sağ tıklayın ve Çalıştır'ı seçin.

  3. certmgr.msc girin ve Enter tarak seçin. Başlat menüsünde Sertifika Yöneticisi'ni de arayabilirsiniz.

  4. Sertifikayı (genellikle \Certificates - Current User\\Personal\\Certificates içinde) bulun ve sertifikayı açın.

  5. Ayrıntılar sekmesinde sertifika konusunu kontrol edin.

  6. Ayrıntılardan sertifikanın CN'sını doğrulayın ve özel araştırmanın ana bilgisayar adı alanına veya HTTP ayarlarına aynı adı girin (arka uç HTTP ayarlarından ana bilgisayar adı seçin seçiliyse). Web siteniz için istenen ana bilgisayar adı buysa, bu etki alanı için bir sertifika alamanız veya özel yoklama ya da HTTP ayarı yapılandırmasına doğru ana bilgisayar adını girmeniz gerekir.

OpenSSL kullanan Linux için:

  1. OpenSSL'de şu komutu çalıştırın:

    openssl x509 -in certificate.crt -text -noout

  2. Görüntülenen özelliklerden sertifikanın CN'lerini bulun ve http ayarlarının ana bilgisayar adı alanına aynı adı girin. Web siteniz için istenen ana bilgisayar adı buysa, bu etki alanı için bir sertifika alamanız veya özel yoklama ya da HTTP ayarı yapılandırmasına doğru ana bilgisayar adını girmeniz gerekir.

Arka uç sertifikası geçersiz

İleti: Arka uç sertifikası geçersiz. Geçerli tarih, sertifikanın " Geçerlilik başlangıç ve Geçerlilik bitiş tarihi aralığı içinde " " " değildir.

Neden: Her sertifika bir geçerlilik aralığıyla gelir ve sunucunun TLS/SSL sertifikası geçerli olmadığı sürece HTTPS bağlantısı güvenli olmayacaktır. Geçerli veriler ile geçerli arasında ve aralığında olmalıdır. Yoksa sertifika geçersiz olarak kabul edilir ve bu, arka uç sunucusunun iyi durumda Application Gateway bir güvenlik sorununa neden olur.

Çözüm: TLS/SSL sertifikanın süresi dolduğunda, sertifikayı satıcınıza yeniler ve sunucu ayarlarını yeni sertifikayla güncelleştirin. Otomatik olarak imzalanan bir sertifika ise geçerli bir sertifika oluşturmalı ve kök sertifikayı http ayarlarına Application Gateway gerekir. Bunu yapmak için şu adımları uygulayın:

  1. Portalda Application Gateway HTTP ayarlarınızı açın.

  2. Süresi dolan sertifikayı olan ayarı seçin, Sertifika Ekle'yi seçin ve yeni sertifika dosyasını açın.

  3. Sertifikanın yanındaki Sil simgesini kullanarak eski sertifikayı kaldırın ve kaydet'i seçin.

Sertifika doğrulaması başarısız oldu

İleti: Arka uç sertifikasının geçerliliği doğrulanamadı. Nedeni bulmak için {errorCode} hata koduyla ilişkili iletinin OpenSSL tanılamasını kontrol edin

Neden: Sertifikanın geçerliliğini Application Gateway başarısız olduğunda bu hata oluşur.

Çözüm: Bu sorunu çözmek için sunucunuzda sertifikanın düzgün şekilde oluşturulmuş olduğunu doğrulayın. Örneğin, sertifikayı ve özelliklerini doğrulamak için OpenSSL kullanabilir ve ardından sertifikayı http ayarlarına yeniden Application Gateway ebilirsiniz.

Arka uç durumu: bilinmiyor

Arka uç durumu Bilinmiyor olarak gösteriliyorsa portal görünümü aşağıdaki ekran görüntüsüne benzer:

Application Gateway uç durumu - Bilinmiyor

Bu davranış aşağıdaki nedenlerden biri veya daha fazlası için oluşabilir:

  1. Application Gateway alt ağı üzerinde NSG, "İnternet" üzerinden 65503-65534 (v1 SKU) veya 65200-65535 (v2 SKU) bağlantı noktalarına gelen erişimi engelliyor.
  2. Application Gateway alt ağı üzerinde UDR varsayılan yola (0.0.0.0/0) ayarlanır ve sonraki atlama "İnternet" olarak belirtilmez.
  3. Varsayılan yol, BGP üzerinden bir sanal ağa ExpressRoute/VPN bağlantısı tarafından tanıtıldı.
  4. Özel DNS sunucusu ortak etki alanı adlarını çözümleyemeyen bir sanal ağda yapılandırıldı.
  5. Application Gateway iyi durumda değil.

Çözüm:

  1. NSG'nizin İnternet'te 65503-65534 (v1 SKU) veya 65200-65535 (v2 SKU) bağlantı noktalarına erişimi engelleyerek engellemesini kontrol edin:

    a. Genel Application Gateway sekmesinde Sanal Ağ/Alt Ağ bağlantısını seçin.

    b. Sanal ağ'nizin Alt Ağlar sekmesinde, sanal ağların Application Gateway alt ağı seçin.

    c. NSG'nin yapılandırılmış olup olmadığını kontrol edin.

    d. Bir NSG yapılandırılmışsa, Arama sekmesinde veya Tüm kaynaklar altında bu NSG kaynağını arayın.

    e. Gelen Kuralları bölümünde, v1 SKU'su için 65503-65534 hedef bağlantı noktası aralığına veya Kaynak olarak Herhangi bir veya İnternet olarak ayarlanmış 65200-65535 v2 SKU'ya izin vermek için bir gelen kuralı ekleyin.

    f. Kaydet'i seçin ve arka ucu Sağlıklı olarak görüntüleyenizi doğrulayın. Alternatif olarak, bunu PowerShell/CLI aracılığıyla da tamamabilirsiniz.

  2. UDR'nizin varsayılan yolu (0.0.0.0/0) olup olmadığını ve sonraki atlamanın İnternet olarak ayarlayıp ayarlan olmadığını kontrol edin:

    a. Alt ağın belirlenmesi için 1a ve 1b adımlarını izleyin.

    b. Yapılandırılmış bir UDR olup olmadığını kontrol edin. Varsa, arama çubuğunda veya Tüm kaynaklar'ın altında kaynağı aratın.

    c. Sonraki atlama İnternet olarak ayarlanmazken varsayılan yolların (0.0.0.0/0) olup olmadığını kontrol edin. Ayar Sanal Gereç veya Sanal Ağ Geçidi ise, sanal aletinizin veya şirket içi cihazınızın paketi değiştirmeden paketi İnternet hedefine düzgün bir şekilde yönlendirene emin olun.

    d. Aksi takdirde, sonraki atlamayı İnternet olarak değiştirerek Kaydet'i seçin ve arka uç sistem durumunu doğrulayın.

  3. BGP üzerinden sanal ağa ExpressRoute/VPN bağlantısı tarafından tanıtilen varsayılan yol:

    a. BGP üzerinden sanal ağa expressRoute/VPN bağlantınız varsa ve varsayılan bir yol gösterirken paketin değiştirmeden İnternet hedefine geri yönlendiril olduğundan emin olun. Application Gateway portalında Bağlantı Sorunlarını Giderme seçeneğini kullanarak Application Gateway edebilirsiniz.

    b. Hedefi 1.1.1.1 gibi İnternet'e yönlendirilebilir herhangi bir IP adresi olarak el ile seçin. Hedef bağlantı noktasını herhangi bir şey olarak ayarlayın ve bağlantı noktasını doğrulayın.

    c. Sonraki atlama sanal ağ geçidi ise, ExpressRoute veya VPN üzerinden tanıtan varsayılan bir yol olabilir.

  4. Sanal ağ üzerinde yapılandırılmış özel bir DNS sunucusu varsa, sunucunun (veya sunucuların) genel etki alanlarını çözümleyene kadar olduğunu doğrulayın. Genel etki alanı adı çözümlemesi, OCSP sunucuları Application Gateway dış etki alanlarına ulaşarak sertifikanın iptal durumunu denetlemesi gereken senaryolarda gerekli olabilir.

  5. Uygulamanın iyi Application Gateway çalıştığını doğrulamak için portalda Kaynak Durumu seçeneğine gidin ve durumunun Sağlıklı olduğunu doğrulayın. Sağlıksız veya Düzeyi Düşürülmüş bir durum görüyorsanız dehaya başvurun.

Sonraki adımlar

Tanılama ve günlüğe kaydetme Application Gateway hakkında daha fazla bilgi öğrenin.