500 クラス・エラーのトラブルシューティング
以下のセクションを使用して、 CIS プロキシー・サイトの 500 クラス・エラーを診断して解決します。
開始前に
500 クラス範囲のエラーのトラブルシューティングを支援するために、発信元ログを確認するか、サイト管理者に連絡して以下の情報を収集してください。
- 特定の 500 クラス・エラー・コードとメッセージ、および関連付けられている可能性があるすべてのレイ ID (
cf-ray
) - エラーが発生した時刻とタイム・ゾーン
- URL が原因で HTTP 500 クラスエラーが発生しました
CIS と起点 Web サーバー (すべてのロード・バランサー、キャッシュ、プロキシー、ファイアウォールを含む) の間のログを確認します。
Error 500: Internal Server Error
エラー 500 は通常、発信元 Web サーバーに問題があることを示します。 データベース接続の確立にエラーが発生しました。これは、お客様のオリジンウェブサーバーによって生成される一般的な HTTP 500エラーメッセージです。 解決する詳細については、起点ログを確認してください。
エラー 500 の解決策
500 エラーの HTML 応答本文に「cloudflare」または「cloudflare-nginx」が含まれている場合は、サポートに以下の情報を提供してください。
- ドメイン ID とインスタンス CRN
- 500 エラー発生の時刻とタイム・ゾーン
- 500 エラーが検出されたブラウザーからの
www.example.com/cdn-cgi/trace
の出力 (www.example.com
は実際のドメインとホスト名に置き換えてください)
Web サイトにアクセスしたときにブランク・ページまたはホワイト・ページが表示された場合は、 CIS を一時的に一時停止したときに問題が発生したかどうかを確認し、詳細について発信元ログを確認してください。
エラー 502 または 504: ゲートウェイまたはゲートウェイのタイムアウトが正しくありません
HTTP 502 または 504 エラーは、 CIS が貴社のオリジンウェブサーバーとの接続を確立できない場合に発生します。
2 つの原因が考えられます。
- 発信元 Web サーバーからの 502/504 (最も一般的)
- Cloudflare の 502/504
エラー 502 の解決
502/504エラーがオリジンウェブサーバーから発生している場合、 CIS は、オリジンウェブサーバーが標準の HTTP 502バッドゲートウェイまたは504ゲートウェイタイムアウトエラーで応答すると、 HTTP 502または504エラーを返します。 オリジン・ログを確認して、オリジン Web サーバーで以下の一般的な原因をトラブルシューティングします。
- 502または504エラーを発生させた訪問者の URL 内のホスト名とドメインに対するリクエストに、オリジンサーバーが応答することを確認する
- 過剰なサーバー負荷、異常終了、またはネットワーク障害の調査
- タイムアウトになった、またはブロックされたアプリケーションまたはサービスを識別する
502/504 エラーが Cloudflare からのものである場合は、以下の必要な詳細をサポートに提供してください。
- 問題が発生した時刻とタイム・ゾーン
- URL HTTP 502 または 504 の応答(例: )となった
https://www.example.com/images/icons/image1.png
www.example.com/cdn-cgi/trace
をブラウズした結果(www.example.com
を、 HTTP 502 または 504 エラーの原因となったドメイン名とホスト名に置き換えてください)
エラー 503: サービスが一時的に使用できません
HTTP エラー503は、ウェブサーバーに過負荷がかかっている場合に発生します。
エラー 503 の解決
エラー・メッセージによって識別できる原因として、以下の 2 つが考えられます。
- エラーの HTML 応答本文に「cloudflare」または「cloudflare-nginx」が含まれていない場合は、発信元ログで追加情報を確認してください。
- エラーの HTML 応答本文に「cloudflare」または「cloudflare-nginx」が含まれている場合、Cloudflare データ・センターで接続の問題が発生しました。 以下の情報をサポートに提供します。
- ドメイン ID とインスタンス CRN
- 503 エラー発生の時刻とタイム・ゾーン
- 503 エラーが検出されたブラウザーからの
www.example.com/cdn-cgi/trace
の出力 (www.example.com
は実際のドメインとホスト名に置き換えてください)
エラー 520: ウェブサーバーが不明なエラーを返しました
エラー520は、オリジンサーバーがCISに対して空、不明、または予期しない応答を返した場合に発生します。
エラー 520 の解決策
520のエラーをさらに調査する間の簡単な回避策は、DNSレコードのプロキシを無効にするか、CISを一時停止することです。
発信元 Web サーバーのエラー・ログで異常終了を確認し、以下の一般的な原因を探します。
- 発信元 Web サーバー・アプリケーションが異常終了する
- CIS IPはオリジンで許可されていません
- 16 KB を超えるヘッダー (通常、Cookie が多すぎるため)
- HTTP ステータスコードまたはレスポンスボディのない、オリジンウェブサーバーからの空のレスポンス
- レスポンスヘッダーが欠落している、または、オリジンウェブサーバーが適切な HTTP エラーレスポンスを返さない
発信元 Web サーバーをクラッシュさせる特定の PHP アプリケーションでは、520 エラーがよく見られます。
HTTP/2 がオリジンのウェブサーバで有効になっている場合、HTTP/2 が正しく設定されていることを確認してください。 オリジンのウェブサーバが HTTP/2 接続を受け付けたが、そのプロトコルをサポートしていない場合、520エラーが返されます。 オリジン HTTP の最大バージョンは、コンソールの「信頼性」ページの「詳細」タブで設定できます。
520 エラーが引き続き発生する場合は、以下の情報をサポートに提供してください。
- エラー発生時にリクエストされたリソースの完全な URL (s)
- 520 エラー・メッセージの Cloudflare
cf-ray
http://www.example.com/cdn-cgi/trace
からの出力 (www.example.com
は、520 エラーが発生したホスト名とドメインに置き換えてください)- 2 つの HAR ファイル:
- Web サイトで CIS が有効になっているもの
- CIS が一時的に無効になっているもの
エラー521:ウェブサーバーがダウンしています
エラー 521 は、起点 Web サーバーがクラウド・エッジからの接続を拒否した場合に発生します。 お客様のサーバーで使用されているセキュリティソリューションが、特定の CIS IPアドレスからの正当な接続をブロックしている可能性があります。
521 エラーの最も一般的な原因は次の 2 つです。
- オフライン起点 Web サーバー・アプリケーション
- ブロックされた CIS 要求
エラー 521 の解決策
起点 Web サーバーのエラー・ログを確認して、以下の一般的な原因を除去してください。
- 起点 Web サーバーが応答することを確認します。
- 起点 Web サーバーのエラー・ログを確認して、Web サーバー・アプリケーションの異常終了または障害を識別します。
- CIS IP アドレスがブロックされていないか、速度が制限されていることを確認します。
- 起点 Web サーバーのファイアウォールまたはその他のセキュリティー・ソフトウェア内のすべての CIS IP 範囲を許可します。
- TLSモードを 「End-to-end flexible 」、「End-to-end CA Signed 」、または 「HTTPS only origin pull 」に設定している場合は、 CIS のオリジン証明書をインストールしていることを確認してください
エラー 522: 接続がタイムアウトしました
発信元 Web サーバーへの接続がタイムアウトになると、エラー 522 が発生します。 CIS とオリジンウェブサーバーの間のタイミングによって、2つの異なるタイムアウトが原因で HTTP エラー522が発生します
- 接続が確立される前に、 CIS が SYN を送信してから 15 秒以内に、起点 Web サーバーが SYN + ACK を CIS に返しません。
- 接続が確立された後、起点 Web サーバーは 90 秒以内に CISのリソース要求を確認 (ACK) しません。
エラー 522 の解決策
オリジン Web サーバーのエラー・ログで、オリジン Web サーバーの以下の一般的な原因を確認します。
- (最も一般的な原因)
.htaccess
、iptables
、またはfirewalls
では、 CIS IP アドレスの速度が制限されているか、ブロックされています。 起点構成で CIS IP アドレスが許可されていることを確認します。 - 過負荷またはオフライン起点 Web サーバーが着信要求をドロップする
- 起点 Web サーバーでキープアライブが無効になっています
- CIS 内の起点 IP アドレスが、起点 Web サーバーに現在プロビジョンされている IP アドレスと一致しない
- 発信元 Web サーバーでパケットがドロップされました
これらのいずれも解決に至らなかった場合は、サポートに連絡する前に、以下の情報を収集してください。
- 発信元 Web サーバーから、発信元 Web サーバー・ログに記録された接続 CIS IP を識別する問題が発生する前に発信元 Web サーバーに最も一般的に接続されていた CIS IP アドレスへの MTR または traceroute
- 発信元ログからの関連する詳細
エラー523:オリジンが到達不能
CIS が発信元 Web サーバーに接続できない場合、エラー 523 が発生します。 これは、 CIS と起点 Web サーバーの間のネットワーク・デバイスに起点の IP アドレスへの経路がない場合に発生します。
エラー 523 の解決策
起点 Web サーバーのエラー・ログを確認して、起点 Web サーバーでの以下の一般的な原因を除去します。
- A または AAAA レコードの正しい起点 IP アドレスがリストされていることを確認します。
- オリジンと CISの間のインターネット・ルーティングの問題、またはオリジン自体の問題をトラブルシューティングします。
上記のヒントのいずれも解決に結び付いていない場合は、問題が発生する 前 に、起点 Web サーバーに最も一般的に接続されている CIS IP アドレスに対して、起点 Web サーバーからの MTR または traceroute を要求してください。 起点 Web サーバーのログから、接続中の CIS IP を識別します。
エラー524:タイムアウトが発生しました
エラー524は、オリジンウェブサーバーへの接続は確立されたものの、接続がタイムアウトする前にオリジンが HTTP の応答を提供しなかったことを示します。 デフォルトのタイムアウトは100秒。
エンタープライズ・プランでは、524 タイムアウトを最大 600 秒まで増やすことができます。
エラー 524 の解決
起点 Web サーバーのエラー・ログを確認して、起点 Web サーバーでの以下の一般的な原因を除去します。
- 起点 Web サーバー上の長期実行プロセス
- 過負荷の起点 Web サーバー
発信元 Web サーバーで要求応答時間をログに記録すると、リソースの低速性の原因を特定するのに役立ちます。
HTTP のリクエストを定期的に実行し、完了までに100秒以上かかる場合(例えば、大量のデータのエクスポートなど)、それらのプロセスをプロキシを介さないサブドメインの後ろに移動します。
エラー525:SSLハンドシェイクに失敗しました
525 エラーは、多くの場合、発信元 Web サーバー上の構成の問題が原因で発生します。 エラー 525 は、以下の 2 つの条件が該当する場合に発生します。
- CIS と起点 Web サーバーの間で SSL ハンドシェークが失敗する
- TLS設定は、 エンドツーエンドフレキシブル、 エンドツーエンドCA署名、または HTTPS のみのオリジンプルです
エラー 525 の解決策
起点 Web サーバーのエラー・ログを確認して、起点 Web サーバーでの以下の一般的な原因を除去します。
- 有効な SSL 証明書がインストールされていません
- ポート 443 (または他のカスタム・セキュア・ポート) が開いていません
- SNI サポートなし
- Cloudflare によって受け入れられた暗号スイートが、発信元 Web サーバーによってサポートされる暗号スイートと一致しません
525 エラーが断続的に発生する場合は、発信元 Web サーバーのエラー・ログを確認して原因を判別してください。 mod_ssl
エラーをログに記録するように Apache を構成します。 NginX 標準エラー・ログに SSL エラーが記録される場合がありますが、ログ・レベルを上げる必要がある場合があります。
エラー526:無効なSSL証明書
エラー 526 は、以下の 2 つの条件が該当する場合に発生します。
- CIS オリジンウェブサーバーのTLS証明書を検証できません
- TLS設定は、 エンドツーエンドCA署名または HTTPS のみのオリジンプルです
エラー 526 の解決策
エラーが修正されるかどうかを確認するために、TLSを 「End-to-end CA Signed 」または 「HTTPS only origin pull 」ではなく 、「End-to-end flexible 」に設定してください。
起点 Web サーバーの TLS 証明書を調べて、以下を確認します。
- 証明書の有効期限が切れていない
- 証明書は取り消されていません
- 証明書が認証局 (自己署名ではない) によって署名されている。
- 要求されたドメイン・ネームまたはターゲット・ドメイン・ネームおよびホスト名は、証明書の共通名またはサブジェクト代替名にあります。
- 起点 Web サーバーがポート 443 を介した接続を受け入れる
- CIS を一時的に停止し、
https://www.sslshopper.com/ssl-checker.html#hostname=www.example.com
に移動して (www.example.com
をご使用のホスト名とドメインに置き換えてください)、起点 TLS 証明書に問題がないことを確認します。
エラー 530
エラー 530 には、 1XXX 範囲のエラー・コードが付随しています。 詳しくは、 1XXX エラーのトラブルシューティング を参照してください。