Problemen met configuratie en beheer voor Azure Cloud Services (klassiek): Veelgestelde vragen (veelgestelde vragen)

We raden klanten aan om de volledige certificaatketen (leaf-certificaat, tussenliggende certificaten en basiscertificaat) te installeren in plaats van alleen het leaf-certificaat. Wanneer u alleen het leaf-certificaat installeert, vertrouwt u op Windows om de certificaatketen te bouwen door de certificaatvertrouwenslijst (CTL) uit te lopen. Als onregelmatige netwerk- of DNS-problemen (Domain Name System) optreden in Azure of Windows Update wanneer Windows het certificaat probeert te valideren, kan het certificaat als ongeldig worden beschouwd. Wanneer u de volledige certificaatketen installeert, kan dit probleem worden vermeden. In de blog bij How to install a chained SSL certificate shows how to do install the full certificate chain.

Deze certificaten worden automatisch gemaakt wanneer er een extensie wordt toegevoegd aan de cloudservice. Meestal is deze extensie de WAD-extensie of de RDP-extensie, maar dit kunnen andere zijn, zoals de Antimalware- of Log Collector-extensie. Deze certificaten worden alleen gebruikt voor het versleutelen en ontsleutelen van de privéconfiguratie voor de extensie. De vervaldatum wordt nooit gecontroleerd, dus het maakt niet uit of het certificaat is verlopen. 

U kunt deze certificaten negeren. Als u de certificaten wilt opschonen, kunt u ze allemaal verwijderen. Azure genereert een fout als u probeert een certificaat te verwijderen dat wordt gebruikt.

Zie het volgende richtlijnendocument:

Een certificaat verkrijgen voor gebruik met Microsoft Azure-websites (WAWS)

De CSR is slechts een tekstbestand. Het hoeft niet te worden gemaakt op basis van de computer die is bedoeld om het certificaat te gebruiken. Hoewel dit document is geschreven voor een App Service, is het maken van csr algemeen en geldt dit ook voor Cloud Services.

U kunt de volgende PowerShell-opdrachten gebruiken om uw beheercertificaten te vernieuwen:

Add-AzureAccount
Select-AzureSubscription -Current -SubscriptionName <your subscription name>
Get-AzurePublishSettingsFile

Met Get-AzurePublishSettingsFile maakt u een nieuw beheercertificaat in Abonnementsbeheercertificaten> in azure Portal. De naam van het nieuwe certificaat ziet eruit als 'YourSubscriptionNam]-[CurrentDate]-credentials'.

U kunt deze taak automatiseren met behulp van een opstartscript (batch/cmd/PowerShell) en dat opstartscript registreren in het servicedefinitiebestand. Voeg zowel het opstartscript als het certificaat (.p7b-bestand) toe in de projectmap van dezelfde map van het opstartscript.

Dit certificaat wordt gebruikt voor het versleutelen van computersleutels in Azure-webrollen. Bekijk dit advies voor meer informatie.

Raadpleeg voor meer informatie de volgende artikelen:

• Opstarttaken voor een cloudservice configureren en uitvoeren
• Algemene opstarttaken voor cloudservices

De mogelijkheid om een nieuw certificaat voor RdP (Remote Desktop Protocol) te genereren, is binnenkort beschikbaar. U kunt ook dit script uitvoeren:

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 20 48 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

De mogelijkheid om blob of lokaal te kiezen voor uw csdef- en cscfg-uploadlocatie is binnenkort beschikbaar. Met New-AzureDeployment kunt u elke locatiewaarde instellen.

Mogelijkheid om metrische gegevens op exemplaarniveau te bewaken. Er zijn meer bewakingsmogelijkheden beschikbaar in Cloud Services bewaken.

U hebt het lokale opslagquotum voor het schrijven naar de logboekmap uitgeput. U kunt dit probleem oplossen door een van de volgende drie dingen uit te voeren:

• Schakel diagnostische gegevens in voor IIS en zorg ervoor dat de diagnostische gegevens periodiek naar blobopslag worden verplaatst.
• Verwijder logboekbestanden handmatig uit de logboekmap.
• Verhoog de quotumlimiet voor lokale resources.

Zie de volgende documenten voor meer informatie:

• Diagnostische gegevens opslaan en weergeven in Azure Storage
• IIS-logboeken stoppen met schrijven in cloudservice

U kunt logboekregistratie van Microsoft Azure Diagnostics (WAD) inschakelen via de volgende opties:

1. Inschakelen vanuit Visual Studio
2. Inschakelen via .NET-code
3. Inschakelen via PowerShell

Als u de huidige WAD-instellingen van uw cloudservice wilt ophalen, kunt u get-AzureServiceDiagnosticsExtensions PowerShell-cmd gebruiken of u kunt deze bekijken via de portal via de blade Cloud Services -> Extensies.

U kunt de time-out in uw servicedefinitiebestand (csdef) als volgt opgeven:

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="mgVS2015Worker" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
  <WorkerRole name="WorkerRole1" vmsize="Small">
    <ConfigurationSettings>
      <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
    </ConfigurationSettings>
    <Imports>
      <Import moduleName="RemoteAccess" />
      <Import moduleName="RemoteForwarder" />
    </Imports>
    <Endpoints>
      <InputEndpoint name="Endpoint1" protocol="tcp" port="10100"   idleTimeoutInMinutes="30" />
    </Endpoints>
  </WorkerRole>

Zie Nieuw: Configureerbare time-out voor inactiviteit voor Azure Load Balancer voor meer informatie.

Als u een statisch IP-adres wilt instellen, moet u een gereserveerd IP-adres maken. Dit gereserveerde IP-adres kan worden gekoppeld aan een nieuwe cloudservice of aan een bestaande implementatie. Zie de volgende documenten voor meer informatie:

• Een gereserveerd IP-adres maken
• Het IP-adres van een bestaande cloudservice reserveren
• Een gereserveerd IP-adres koppelen aan een nieuwe cloudservice
• Een gereserveerd IP-adres koppelen aan een actieve implementatie
• Een gereserveerd IP-adres koppelen aan een cloudservice met behulp van een serviceconfiguratiebestand

Azure heeft IPS/IDS in fysieke datacenterservers om te beschermen tegen bedreigingen. Daarnaast kunnen klanten niet-Microsoft-beveiligingsoplossingen implementeren, zoals webtoepassingsfirewalls, netwerkfirewalls, antimalware, inbraakdetectie, preventiesystemen (IDS/IPS) en meer. Zie Uw gegevens en assets beschermen en voldoen aan wereldwijde beveiligingsnormen voor meer informatie.

Microsoft bewaakt voortdurend servers, netwerken en toepassingen om bedreigingen te detecteren. De multipronged threat-management-benadering van Azure maakt gebruik van inbraakdetectie, DDoS-aanvalspreventie (distributed Denial-of-Service), penetratietests, gedragsanalyses, anomaliedetectie en machine learning om de verdediging voortdurend te versterken en risico's te verminderen. Microsoft Antimalware voor Azure beschermt Azure Cloud Services en virtuele machines. U kunt bovendien niet-Microsoft-beveiligingsoplossingen implementeren, zoals brandmuren van webtoepassingen, netwerkfirewalls, antimalware, inbraakdetectie- en preventiesystemen (IDS/IPS) en meer.

Windows 10 en Windows Server 2016 worden geleverd met ondersteuning voor HTTP/2 aan zowel client- als serverzijde. Als uw client (browser) verbinding maakt met de IIS-server via Transport Layer Security (TLS) dat via TLS-extensies onderhandelt over HTTP/2, hoeft u geen wijzigingen aan te brengen aan de serverzijde. U hoeft geen wijzigingen aan te brengen omdat de h2-14-header die het gebruik van HTTP/2 opgeeft, standaard wordt verzonden via TLS. Als uw client daarentegen een upgradeheader verzendt om een upgrade naar HTTP/2 uit te voeren, moet u de volgende wijziging aan de serverzijde aanbrengen om ervoor te zorgen dat de upgrade werkt en u uiteindelijk een HTTP/2-verbinding hebt.

1. Voer regedit.exe uit.
2. Blader naar registersleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
3. Maak een nieuwe DWORD-waarde met de naam DuoEnabled.
4. Stel de waarde in op 1.
5. Start de server opnieuw op.
6. Ga onder Bindingen op uw standaardwebsite en maak een nieuwe TLS-binding met het zelfondertekende certificaat dat u hebt gemaakt.

Zie voor meer informatie:

• HTTP/2 op IIS
• Video: HTTP/2 in Windows 10: Browser, Apps en Webserver

Deze stappen kunnen worden geautomatiseerd via een opstarttaak, zodat wanneer een nieuw PaaS-exemplaar wordt gemaakt, de vorige wijzigingen in het systeemregister kunnen aanbrengen. Zie Opstarttaken configureren en uitvoeren voor een cloudservice voor meer informatie.

Wanneer u klaar bent, kunt u controleren of http/2 is ingeschakeld of niet met behulp van een van de volgende methoden:

• Schakel protocolversie in IIS-logboeken in en bekijk de IIS-logboeken. Het toont HTTP/2 in de logboeken.
• Schakel F12 Developer Tool in Internet Explorer of Microsoft Edge in en schakel over naar het tabblad Netwerk. Hier kunt u het protocol controleren.

Zie HTTP/2 op IIS voor meer informatie.

Cloud Services biedt geen ondersteuning voor het op rollen gebaseerde toegangsbeheermodel van Azure, omdat het geen op Azure Resource Manager gebaseerde service is.

Zie Inzicht in de verschillende rollen in Azure.

Microsoft volgt een strikt proces dat interne technici niet toestaat om extern bureaublad in uw cloudservice te plaatsen zonder schriftelijke toestemming (e-mail of andere schriftelijke communicatie) van de eigenaar of hun ontwerp.

Deze fout kan optreden als u het RDP-bestand gebruikt vanaf een computer die is gekoppeld aan Microsoft Entra-id. Volg deze stappen om dit probleem op te lossen:

1. Klik met de rechtermuisknop op het RDP-bestand dat u hebt gedownload en selecteer Bewerken.
2. Voeg '\' toe als voorvoegsel voor de gebruikersnaam. Gebruik bijvoorbeeld .\username in plaats van gebruikersnaam.

Uw Azure-abonnement heeft een limiet voor het aantal kernen dat u kunt gebruiken. Schalen werkt niet als u alle beschikbare kernen hebt gebruikt. Als u bijvoorbeeld een limiet van 100 kernen hebt, betekent dit dat u 100 vm-exemplaren van de grootte van 100 A1 kunt hebben voor uw cloudservice of 50 A2-exemplaren van virtuele machines.

Automatisch schalen op basis van metrische geheugengegevens voor een Cloud Services wordt momenteel niet ondersteund.

U kunt Application Insights gebruiken om dit probleem te omzeilen. Automatisch schalen ondersteunt Application Insights als bron voor metrische gegevens en kan het aantal rolinstanties schalen op basis van metrische gastgegevens, zoals 'Geheugen'. U moet Application Insights configureren in uw Cloud Service-projectpakketbestand (*.cspkg) en de Azure Diagnostics-extensie inschakelen voor de service om dit te implementeren.

Zie Aan de slag met automatisch schalen met aangepaste metrische gegevens in Azure voor meer informatie over het gebruik van aangepaste metrische gegevens via Application Insights voor het configureren van automatisch schalen in Cloud Services

Zie Voor meer informatie over het integreren van Azure Diagnostics met Application Insights voor Cloud Services, cloudservice , virtuele machine of Service Fabric diagnostische gegevens verzenden naar Application Insights

Zie Application Insights voor Azure Cloud Services voor meer informatie over het inschakelen van Application Insights voor Cloud Services

Zie Diagnostische gegevens instellen voor Azure Cloud Services en virtuele machines voor meer informatie over het inschakelen van Logboekregistratie van Azure Diagnostics voor Cloud Services

Als u wilt voorkomen dat clients de MIME-typen snuiven, voegt u een instelling toe in uw web.config-bestand .

<configuration>
   <system.webServer>
      <httpProtocol>
         <customHeaders>
            <add name="X-Content-Type-Options" value="nosniff" />
         </customHeaders>
      </httpProtocol>
   </system.webServer>
</configuration>

U kunt dit ook toevoegen als een instelling in IIS. Gebruik de volgende opdracht met het artikel algemene opstarttaken .

%windir%\system32\inetsrv\appcmd set config /section:httpProtocol /+customHeaders.[name='X-Content-Type-Options',value='nosniff']

Gebruik het IIS-opstartscript uit het artikel algemene opstarttaken .

Zie Servicespecifieke limieten.

Dit gedrag wordt verwacht en het mag geen probleem veroorzaken voor uw toepassing. Logboekopname is ingeschakeld voor het station %approot% in Azure PaaS-VM's, wat in feite dubbele ruimte verbruikt die bestanden normaal in beslag nemen. Er zijn echter verschillende dingen om rekening mee te houden dat deze gebeurtenis wordt omgezet in een niet-vereeniging.

De schijfgrootte %approot% wordt berekend als <grootte van .cspkg + max logboekgrootte + een marge vrije ruimte> of 1,5 GB, afhankelijk van wat groter is. De grootte van uw VIRTUELE machine heeft geen invloed op deze berekening. (De VM-grootte is alleen van invloed op de grootte van het tijdelijke C: station.)

Het wordt niet ondersteund om naar het station %approot% te schrijven. Als u naar de Azure-VM schrijft, moet u dit doen in een tijdelijke LocalStorage-resource (of een andere optie, zoals Blob Storage, Azure Files, enzovoort). De hoeveelheid vrije ruimte in de map %approot% is dus niet zinvol. Als u niet zeker weet of uw toepassing naar het station %approot% schrijft, kunt u uw service altijd een paar dagen laten uitvoeren en vervolgens de grootten 'voor' en 'na' vergelijken. 

Azure schrijft niets naar het station %approot%. Zodra de virtuele harde schijf (VHD) is gemaakt op basis van uw .cspkg en is gekoppeld aan de Azure-VM, is het enige dat naar dit station kan schrijven uw toepassing. 

De logboekinstellingen zijn niet geconfigureerd, dus u kunt deze niet uitschakelen.

U kunt de Antimalware-extensie inschakelen met behulp van een PowerShell-script in de opstarttaak. Volg de stappen in deze artikelen om deze te implementeren:

• Een PowerShell-opstarttaak maken
• Set-AzureServiceAntimalwareExtension

Zie Antimalware-implementatiescenario's voor meer informatie over antimalware-implementatiescenario's en hoe u deze kunt inschakelen vanuit de portal.

U kunt SNI inschakelen in Cloud Services met behulp van een van de volgende methoden:

Methode 1: PowerShell gebruiken

De SNI-binding kan worden geconfigureerd met behulp van de volgende PowerShell-cmdlet New-WebBinding in een opstarttaak voor een exemplaar van de cloudservicerol:

New-WebBinding -Name $WebsiteName -Protocol "https" -Port 443 -IPAddress $IPAddress -HostHeader $HostHeader -SslFlags $sslFlags

Zoals hier beschreven, kan de $sslFlags een van de volgende waarden zijn:

Methode 2: Code gebruiken

De SNI-binding kan ook worden geconfigureerd via code in het opstarten van de rol, zoals beschreven in dit blogbericht:

//<code snip> 
                var serverManager = new ServerManager(); 
                var site = serverManager.Sites[0]; 
                var binding = site.Bindings.Add(":443:www.test1.com", newCert.GetCertHash(), "My"); 
                binding.SetAttributeValue("sslFlags", 1); //enables the SNI 
                serverManager.CommitChanges(); 
    //</code snip>

Met behulp van een van de voorgaande benaderingen moeten de respectieve certificaten (*.pfx) voor de specifieke hostnamen eerst worden geïnstalleerd op de rolinstanties met behulp van een opstarttaak of via code om ervoor te zorgen dat de SNI-binding effectief is.

Cloud Service is een klassieke resource. Alleen resources die zijn gemaakt via Azure Resource Manager ondersteunen tags. U kunt geen tags toepassen op klassieke resources, zoals cloudservice.

We werken aan het overbrengen van deze functie in Azure Portal. Ondertussen kunt u de volgende PowerShell-opdrachten gebruiken om de SDK-versie op te halen:

Get-AzureService -ServiceName "<Cloud Service name>" | Get-AzureDeployment | Where-Object -Property SdkVersion -NE -Value "" | select ServiceName,SdkVersion,OSVersion,Slot

Een al geïmplementeerde cloudservice wordt gefactureerd voor de compute en opslag die wordt gebruikt. Dus zelfs als u de Azure-VM afsluit, worden er nog steeds kosten in rekening gebracht voor de opslag.

Dit is wat u kunt doen om uw facturering te verminderen zonder het IP-adres voor uw service te verliezen:

1. Reserveer het IP-adres voordat u de implementaties verwijdert. Azure factureert u alleen voor dit IP-adres. Zie prijzen voor IP-adressen voor meer informatie over facturering via IP-adressen.
2. Verwijder de implementaties. Verwijder de xxx.cloudapp.net niet, zodat u deze in de toekomst kunt gebruiken.
3. Als u de cloudservice opnieuw wilt implementeren met hetzelfde gereserveerde IP-adres dat u in uw abonnement hebt gereserveerd, raadpleegt u Gereserveerde IP-adressen voor Cloud Services en Virtuele machines.