Diagnose und Behebung von 5XX-Fehlern bei Websites, für die Cloudflare als Proxy dient.

Übersicht

Bei der Behebung der meisten 5XX-Fehler besteht die richtige Vorgehensweise darin, sich zuerst für Fehlersuche und Datensammlung an den Hosting-Provider oder den Website-Administrator zu wenden.

Erforderliche Fehlerdetails für Ihren Hosting-Provider

1. Spezifischer 5XX-Fehlercode und Meldung
2. Die Zeit, zu der der 5XX-Fehler aufgetreten ist, und die Zeitzone
3. Die URL, die zum HTTP-5XX-Fehler geführt hat (z. B.: https://www.example.com/images/icons/image1.png)

Zusätzliche Details, die Sie Ihrem Hosting-Provider oder Website-Administrator vorlegen müssen, sind in jeder der folgenden Fehlerbeschreibungen aufgeführt. Auf Cloudflares Custom Error Pages wird die Erscheinung der standardmäßigen Fehlerseiten geändert, die in diesem Artikel beschrieben werden.

Fehler 500: interner Server-Fehler

Fehler 500 weist im Allgemeinen auf ein Problem mit Ihrem Ursprungswebserver hin.  Fehler bei Herstellung der Datenbankverbindung ist eine übliche HTTP-500-Fehlermeldung, die von Ihrem Ursprungswebserver generiert wird.  Wenden Sie sich zur Behebung des Fehlers an Ihren Hosting-Provider.

Lösung

Legen Sie Ihrem Hosting-Provider Details vor, die bei der Behebung des Fehlers von Nutzen sein können.

Wenn der 500-Fehler jedoch „cloudflare“ oder „cloudflare-nginx“ im HTML-Antworttext enthält, müssen Sie dem Cloudflare-Support die folgenden Informationen bereitstellen:

1. Ihren Domain-Namen
2. Die Zeit, zu der der Fehler 500 aufgetreten ist, und die Zeitzone
3. Die Ausgabe von www.example.com/cdn-cgi/trace aus dem Browser, in dem der 500-Fehler aufgetreten ist (ersetzen Sie www.example.com durch Ihren tatsächlichen Domain- und Hostnamen)

Fehler 502: ungültiges Gateway, oder Fehler 504: Gateway-Timeout

Ein HTTP-Fehler 502 oder 504 tritt auf, wenn Cloudflare keinen Kontakt mit Ihrem Ursprungswebserver herstellen kann.

Dafür gibt es zwei mögliche Ursachen:

• 502/504 von Ihrem Ursprungswebserver (Häufigste Ursache)
• 502/504 von Cloudflare

502/504 von Ihrem Ursprungswebserver

Cloudflare gibt einen Cloudflare-gekennzeichneten HTTP-Fehler 502 oder 504 zurück, wenn Ihr Ursprungswebserver mit einem HTTP-Fehler 502 „ungültiges Gateway“ oder 504 „Gateway-Timeout“ antwortet:

Lösung

Kontaktieren Sie Ihren Hosting-Provider zur Behebung dieser häufigen Ursachen an Ihrem Ursprungswebserver:

• Es muss sichergestellt werden, dass der Ursprungsserver auf Anfragen nach Hostnamen und Domain in der URL des Besuchers, die den Fehler 502 oder 504 generiert hat, antwortet.
• Es muss untersucht werden, ob übermäßige Serverauslastungen, Abstürze oder Netzwerkfehler vorliegen.
• Es müssen Anwendungen oder Dienste identifiziert werden, die wegen Zeitüberschreitung deaktiviert oder blockiert wurden.

502/504 von Cloudflare

Ein Fehler 502 oder 504, der seinen Ursprung bei Cloudflare hat, erscheint wie folgt:

Wenn im Fehler nicht „cloudflare“ aufgeführt ist, sollten Sie Ihren Hosting-Provider um Unterstützung für 502/504-Fehler von Ihrem Ursprung bitten.

Lösung

Teilen Sie dem Cloudflare-Support diese erforderlichen Details mit, um Verzögerungen bei der Bearbeitung Ihrer Anfrage zu vermeiden:

1. Die Zeit, zu der das Problem aufgetreten ist, und die Zeitzone
2. Die URL, die zur HTTP-Antwort 502 oder 504 geführt hat (z. B.: https://www.example.com/images/icons/image1.png)
3. Die Ausgabe vom Browsen auf www.example.com/cdn-cgi/trace (ersetzen Sie www.example.com durch den Domain- und Hostnamen, der den HTTP-Fehler 502 oder 504 verursacht hat)

Fehler 503: Dienst vorübergehend nicht verfügbar

HTTP-Fehler 503 tritt auf, wenn Ihr Ursprungswebserver überlastet ist. Es gibt zwei mögliche Ursachen, die sich an einer Fehlermeldung erkennen lassen:

• Der Fehler enthält nicht „cloudflare“ oder „cloudflare-nginx“ im HTML-Antworttext.

Lösung: Kontaktieren Sie Ihren Hosting-Provider, um zu überprüfen, ob er Anfragen an Ihren Ursprungswebserver einer Ratenbegrenzung unterzieht.

• Der Fehler enthält „cloudflare“ oder „cloudflare-nginx“ im HTML-Antworttext.

Lösung: In einem Cloudflare-Rechenzentrum ist ein Verbindungsproblem aufgetreten. Legen Sie dem Cloudflare-Support die folgenden Informationen vor:

1. Ihren Domain-Namen
2. Die Zeit, zu der der Fehler 503 aufgetreten ist, und die Zeitzone
3. Die Ausgabe von www.example.com/cdn-cgi/trace aus dem Browser, in dem der 503-Fehler aufgetreten ist (ersetzen Sie www.example.com durch Ihren tatsächlichen Domain- und Hostnamen)

520: Webserver gibt unbekannten Fehler zurück

Fehler 520 tritt auf, wenn der Ursprungsserver eine leere, unbekannte oder unerwartete Antwort an Cloudflare zurückgibt.

Lösung

Bitten Sie Ihren Hosting-Provider oder Website-Administrator, die Fehlerprotokolle Ihres Ursprungswebservers auf Abstürze zu überprüfen und nach diesen häufigen Ursachen zu suchen:

• Abstürze von Anwendungen auf dem Ursprungswebserver.
• Cloudflare-IPs nicht auf einer Whitelist auf Ihrem Ursprungsserver.
• Leerlaufzeitüberschreitungen des Ursprungswebserver-TCP kürzer als 300 Sekunden.
• Header überschreiten 8 KB (gewöhnlich wegen zu vieler Cookies).
• Eine leere Antwort vom Ursprungswebserver, bei der ein HTTP-Statuscode oder Antworttext fehlt.
• Fehlende Antwort-Header, oder der Ursprungswebserver gibt keine richtigen HTTP-Fehlerantworten zurück.

Wenn 520-Fehler weiterhin auftreten, nachdem Sie sich an Ihren Hosting-Provider oder Website-Administrator gewandt haben, legen Sie dem Cloudflare-Support bitte die folgenden Informationen vor:

• Vollständige URL(s) der angeforderten Ressource, als der Fehler auftrat.
• Cloudflare-Ray ID aus der 520-Fehlermeldung.
• Ausgabe von http://www.example.com/cdn-cgi/trace (ersetzen Sie www.example.com durch Ihren Hostnamen und Ihre Domain, bei der der 520-Fehler auftrat).
• Zwei HAR-Dateien:
  • eine Datei mit aktiviertem Cloudflare auf Ihrer Website und
  • die andere mit vorübergehend deaktiviertem Cloudflare.

Fehler 521: Webserver ist ausgefallen

Fehler 521 tritt auf, wenn der Ursprungswebserver Verbindungsaufforderungen von Cloudflare ablehnt. Eventuell blockieren Sicherheitslösungen an Ihrem Ursprung legitime Verbindungen von gewissen Cloudflare-IP-Adressen.

Die beiden häufigsten Ursachen für 521-Fehler sind:

• Eine Anwendung auf dem Ursprungswebserver ist offline.
• Cloudflare-Anfragen werden blockiert.

Lösung

Kontaktieren Sie Ihren Website-Administrator oder Hosting-Provider, damit diese häufigen Ursachen beseitigt werden:

• Es muss sichergestellt werden, dass Ihr Ursprungswebserver reaktionsfähig ist.
• Die Fehlerprotokolle des Ursprungswebservers müssen überprüft werden, um Abstürze oder Ausfälle von Webserver-Anwendungen zu identifizieren.
• Es muss bestätigt werden, dass Cloudflare-IP-Adressen nicht blockiert sind oder Rate Limiting unterliegen.
• Alle Cloudflare-IP-Bereiche müssen zur Whitelist der Firewall Ihres Ursprungswebservers oder anderer Sicherheitssoftware hinzugefügt werden.

Fehler 522: Zeitüberschreitung der Verbindung

Fehler 522 tritt auf, wenn bei Cloudflares Kontaktaufnahme mit dem Ursprungswebserver das Zeitlimit überschritten wird. Zwei unterschiedliche Timeouts verursachen HTTP-Fehler 522, und zwar abhängig davon, wann sie zwischen Cloudflare und dem Ursprungswebserver auftreten:

1. Bevor eine Verbindung hergestellt wird, gibt der Ursprungswebserver innerhalb von 15 Sekunden, nachdem Cloudflare ein SYN gesendet hat, kein SYN+ACK an Cloudflare zurück.
2. Nach Herstellung einer Verbindung bestätigt (ACK) der Ursprungswebserver Cloudflares Ressourcen-Anforderung nicht innerhalb von 90 Sekunden.

Lösung

Kontaktieren Sie Ihren Hosting-Provider, damit die folgenden häufigen Ursachen an Ihrem Ursprungswebserver überprüft werden:

• (Häufigste Ursache) Cloudflare-IP-Adressen unterliegen Rate Limiting oder werden in .htaccess, iptables oder Firewalls blockiert. Bestätigen Sie, dass Ihr Hosting-Provider Cloudflare-IP-Adressen auf eine Whitelist gesetzt hat.
• Ein überlasteter oder offline geschalteter Ursprungswebserver verwirft eingehende Anfragen.
• Keepalives sind am Ursprungswebserver deaktiviert.
• Die IP-Adresse des Ursprungsservers in Ihrer Cloudflare-DNS-App stimmt nicht mit der IP-Adresse überein, die zurzeit von Ihrem Hosting-Provider für Ihren Ursprungswebserver bereitgestellt wird.
• An Ihrem Ursprungswebserver wurden Pakete verworfen.

Wenn nichts des oben Aufgeführten zu einer Lösung führt, sollten Sie die folgenden Informationen von Ihrem Hosting-Provider oder Website-Administrator anfordern, bevor Sie sich an den Cloudflare-Support wenden:

• Ein MTR oder Traceroute von Ihrem Ursprungswebserver zu einer Cloudflare-IP-Adresse, die am häufigsten mit Ihrem Ursprungswebserver verbunden war, bevor das Problem auftrat. Identifizieren Sie eine Cloudflare-IP-Verbindungsadresse, die in den Protokollen des Ursprungswebservers aufgezeichnet ist.
• Details der Untersuchungen des Hosting-Providers wie z. B. relevante Protokolle oder Korrespondenz mit dem Hosting-Provider.

Fehler 523: Ursprung ist nicht erreichbar

Fehler 523 tritt auf, wenn Cloudflare keinen Kontakt mit Ihrem Ursprungswebserver herstellen kann. Dies geschieht gewöhnlich, wenn ein Netzwerkgerät zwischen Cloudflare und dem Ursprungswebserver keine Route zur IP-Adresse des Ursprungsservers hat.

Lösung
Kontaktieren Sie Ihren Hosting-Provider, damit die folgenden häufigen Ursachen an Ihrem Ursprungswebserver ausgeschlossen werden können:

• Lassen Sie bestätigen, dass die korrekte IP-Adresse des Ursprungsservers für A- oder AAAA-Einträge in Ihrer Cloudflare-DNS-App aufgeführt ist.
• Lassen Sie überprüfen, ob Probleme beim Routing im Internet zwischen Ihrem Ursprung und Cloudflare oder mit dem Ursprung selbst vorliegen.

Wenn nichts des oben Aufgeführten zu einer Lösung führt, sollten Sie die folgenden Informationen von Ihrem Hosting-Provider oder Website-Administrator anfordern:

• Ein MTR oder Traceroute von Ihrem Ursprungswebserver zu einer Cloudflare-IP-Adresse, die am häufigsten mit Ihrem Ursprungswebserver verbunden war, bevor das Problem auftrat. Identifizieren Sie eine Cloudflare-IP-Verbindungsadresse in den Protokollen des Ursprungswebservers.
• Wenn Sie Railgun über einen Cloudflare-Hosting-Partner verwenden, kontaktieren Sie Ihren Hosting-Provider, um die 523-Fehler überprüfen zu lassen.
• Wenn Sie Ihre Railgun-Installation selbst verwalten, legen Sie dem Cloudflare-Support die folgenden Informationen vor:
  • Ein Traceroute zu Ihrem Ursprungswebserver von Ihrem Railgun-Server.
  • Die neueste Syslog-Datei von Ihrem Railgun-Server.

Fehler 524: Zeitüberschreitung

Fehler 524 besagt, dass Cloudflare zwar eine erfolgreiche Verbindung mit dem Ursprungswebserver herstellen konnte, jedoch vor dem standardmäßigen Verbindungs-Timeout von 100 Sekunden keine HTTP-Antwort vom Ursprungsserver erhalten hat.

Lösung
Kontaktieren Sie Ihren Hosting-Provider, damit die folgenden häufigen Ursachen an Ihrem Ursprungswebserver ausgeschlossen werden können:

• Ein Prozess mit langer Ausführungszeit auf dem Ursprungswebserver.
• Ein überlasteter Ursprungswebserver.

Wenn Sie regelmäßig HTTP-Anfragen ausführen, die länger als 100 Sekunden dauern (z. B. umfangreiche Datenexporte), sollten Sie diese Prozesse in der Cloudflare-DNS-App hinter eine Subdomain ohne Proxy (mit grauer Wolke) verschieben.

Fehler 525: SSL-Handshake fehlgeschlagen

525-Fehler werden oft durch ein Konfigurationsproblem am Ursprungswebserver verursacht. Fehler 525 tritt auf, wenn diese beiden Bedingungen erfüllt sind:

1. Der SSL-Handshake zwischen Cloudflare und dem Ursprungswebserver schlägt fehl, und
2. Full oder Full (Strict) SSL ist in Ihrer Cloudflare-SSL/TLS-App eingestellt.

Lösung

Kontaktieren Sie Ihren Hosting-Provider, damit die folgenden häufigen Ursachen an Ihrem Ursprungswebserver ausgeschlossen werden können:

• Kein gültiges SSL-Zertifikat installiert.
• Port 443 (oder ein anderer benutzerdefinierter sicherer Port) ist nicht offen.
• Kein SNI-Support.
• Die von Cloudflare akzeptierten Verschlüsselungs-Suites stimmen nicht mit den vom Ursprungswebserver unterstützten Verschlüsselungs-Suites überein.

Fehler 526: Ungültiges SSL-Zertifikat

Fehler 526 tritt auf, wenn diese beiden Bedingungen erfüllt sind:

1. Cloudflare kann das SSL-Zertifikat an Ihrem Ursprungswebserver nicht validieren, und
2. Full SSL (Strict) SSL ist in Ihrer Cloudflare SSL/TLS-App eingestellt.

Lösung

Bitten Sie Ihren Server-Administrator oder Hosting-Provider, die SSL-Zertifikate des Ursprungswebservers zu überprüfen und sicherzustellen, dass:

• das Zertifikat nicht abgelaufen ist,
• das Zertifikat nicht widerrufen wurde,
• das Zertifikat von einer Zertifizierungsstelle signiert wurde (nicht selbstsigniert),
• der angeforderte Domainname und Hostname im allgemeinen Namen oder alternativen Antragstellernamen des Zertifikats enthalten sind,
• Ihr Ursprungswebserver Verbindungen über SSL-Port 443 akzeptiert.
• Deaktivieren Sie Cloudflare vorübergehend und gehen Sie zu https://www.sslshopper.com/ssl-checker.html#hostname=www.example.com (ersetzen Sie www.example.com durch Ihren Hostnamen und Ihre Domain), um zu überprüfen, ob keine Probleme mit dem SSL-Zertifikat des Ursprungs vorliegen:

Wenn der Ursprungsserver ein selbstsigniertes Zertifikat verwendet, konfigurieren Sie die Domain für Full SSL anstatt Full SSL (Strict). Siehe empfohlene SSL-Einstellungen für Ihren Ursprung.

Fehler 527: Railgun Listener an Ursprung

Ein 527-Fehler weist auf eine unterbrochene Verbindung zwischen Cloudflare und dem Railgun-Server (rg-listener) Ihres Ursprungs hin. Häufige Ursachen sind u. a.:

• Firewall-Störungen.
• Netzwerkvorfälle oder Paketverlust zwischen dem Railgun-Server und Cloudflare.

Häufige Ursachen für 527-Fehler sind u. a.:

• Verbindungs-Timeouts
• LAN-Timeout überschritten
• Verbindungsablehnungen
• Fehler in Verbindung mit TLS/SSL

Wenn Sie den Cloudflare-Support kontaktieren, geben Sie bitte die folgenden Informationen aus dem Railgun Listener an:

• den vollständigen Inhalt der railgun.conf-Datei,
• den vollständigen Inhalt der railgun-nat.conf-Datei,
• Railgun-Protokolldateien mit Details zu den beobachteten Fehlern.

Verbindungs-Timeouts

Die folgenden Railgun-Protokollfehler weisen auf einen Verbindungsfehler zwischen dem Railgun Listener und Ihrem Ursprungswebserver hin:

connection failed 0.0.0.0:443/example.com: dial tcp 0.0.0.0:443: i/o timeoutno response from origin (timeout) 0.0.0.0:80/example.com

Lösung

Bitten Sie Ihren Hosting-Provider um Unterstützung bei Tests von Verbindungsproblemen zwischen Ihrem Ursprungswebserver und Ihrem Railgun Listener. Zum Beispiel testet ein netcat-Befehl die Konnektivität, wenn er vom Railgun Listener an SERVERIP und PORT (80 bei HTTP bzw. 443 bei HTTPS) des Ursprungswebservers ausgeführt wird:

nc -vz SERVERIP PORT

LAN-Timeout überschritten

Der folgende Protokollfehler für Railgun Listener wird generiert, wenn der Ursprungswebserver innerhalb des 30-sekündigen Standard-Timeouts keine HTTP-Antwort an den Railgun Listener sendet:

  connection failed 0.0.0.0:443/example.com: dial tcp 0.0.0.0:443: i/o timeout

Die Zeit wird vom lan.timeout-Parameter der railgun.conf-Datei angepasst.

Lösung

Erhöhen Sie entweder das lan.timeout-Limit in railgun.conf oder überprüfen Sie die Webserver-Konfiguration. Kontaktieren Sie Ihren Hosting-Provider, damit er überprüft, ob der Ursprungswebserver überlastet ist.

Verbindungsablehnungen

Die folgenden Fehler erscheinen in den Railgun-Protokollen, wenn Anfragen des Railgun Listener abgelehnt werden:

Error getting page: dial tcp 0.0.0.0:80:connection refused

Lösung

Setzen Sie die IP-Adresse Ihres Railgun Listener auf die Whitelist der Firewall Ihres Ursprungswebservers.

Fehler in Verbindung mit TLS/SSL

Wenn TLS-Verbindungen fehlschlagen, erscheinen die folgenden Fehler in den Railgun-Protokollen:

connection failed 0.0.0.0:443/example.com: remote error: handshake failureconnection failed 0.0.0.0:443/example.com: dial tcp 0.0.0.0:443:connection refusedconnection failed 127.0.0.1:443/www.example.com: x509: certificate is valid forexample.com, not www.example.com

Lösung

Wenn TLS/SSL-Fehler auftreten, überprüfen Sie Folgendes am Ursprungswebserver und vergewissern Sie sich, dass:

• Port 443 offen ist,
• vom Ursprungswebserver ein SSL-Zertifikat präsentiert wird,
• das SAN oder der allgemeine Name des SSL-Zertifikats des Ursprungswebservers den angeforderten Hostnamen enthält,
• SSL in der Cloudflare-SSL/TLS-App auf Full oder Full (Strict) eingestellt ist.

Fehler 530

Bei HTTP-Fehler 530 wird ein begleitender 1XXX-Fehler angezeigt. Suchen Sie den spezifischen 1XXX-Fehler im Cloudflare-Hilfe-Center, um Informationen zur Fehlerbehebung zu finden.

Verwandte Ressourcen

• Sammeln von Informationen zur Fehlerbehebung bei Website-Problemen
• Kontaktaufnahme mit dem Cloudflare-Support
• Anpassung der Cloudflare-Fehlerseiten
• MTR/Traceroute-Diagnose und -Verwendung