Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Résolution des problèmes : erreur interne lors de l'activation de la passerelle

PDF
RSS
Mode de mise au point
Résolution des problèmes : erreur interne lors de l'activation de la passerelle - AWS Storage Gateway
Résoudre les erreurs lors de l'activation de votre passerelle à l'aide d'un point de terminaison publicRésolvez les erreurs lors de l'activation de votre passerelle à l'aide d'un point de terminaison Amazon VPCRésolvez les erreurs lors de l'activation de votre passerelle à l'aide d'un point de terminaison public et qu'il existe un point de terminaison VPC Storage Gateway dans le même VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les demandes d'activation de Storage Gateway empruntent deux chemins réseau. Les demandes d'activation entrantes envoyées par un client se connectent à la machine virtuelle (VM) ou à l'instance Amazon Elastic Compute Cloud (Amazon EC2) de la passerelle via le port 80. Si la passerelle reçoit correctement la demande d'activation, elle communique avec les points de terminaison Storage Gateway pour recevoir une clé d'activation. Si la passerelle ne parvient pas à atteindre les points de terminaison Storage Gateway, elle répond au client par un message d'erreur interne.

Utilisez les informations de dépannage suivantes pour déterminer la marche à suivre si vous recevez un message d'erreur interne lorsque vous tentez d'activer votre AWS Storage Gateway.

Note

  • Assurez-vous de déployer de nouvelles passerelles à l'aide du dernier fichier image de machine virtuelle ou de la dernière version d'Amazon Machine Image (AMI). Vous recevrez un message d'erreur interne si vous tentez d'activer une passerelle qui utilise une AMI obsolète.

  • Assurez-vous de sélectionner le type de passerelle que vous souhaitez déployer correctement avant de télécharger l'AMI. Les fichiers .ova et chaque type AMIs de passerelle sont différents et ne sont pas interchangeables.

Résoudre les erreurs lors de l'activation de votre passerelle à l'aide d'un point de terminaison public

Pour résoudre les erreurs d'activation lors de l'activation de votre passerelle à l'aide d'un point de terminaison public, effectuez les vérifications et configurations suivantes.

Vérifiez les ports requis

Pour les passerelles déployées sur site, vérifiez que les ports sont ouverts sur votre pare-feu local. Pour les passerelles déployées sur une EC2 instance Amazon, vérifiez que les ports sont ouverts sur le groupe de sécurité de l'instance. Pour vérifier que les ports sont ouverts, exécutez une commande telnet sur le point de terminaison public à partir d'un serveur. Ce serveur doit se trouver dans le même sous-réseau que la passerelle. Par exemple, les commandes telnet suivantes testent la connexion au port 443 :

telnet d4kdq0yaxexbo.cloudfront.net 443
telnet storagegateway.region.amazonaws.com 443
telnet dp-1.storagegateway.region.amazonaws.com 443
telnet proxy-app.storagegateway.region.amazonaws.com 443
telnet client-cp.storagegateway.region.amazonaws.com 443
telnet anon-cp.storagegateway.region.amazonaws.com 443

Pour vérifier que la passerelle elle-même peut atteindre le point de terminaison, accédez à la console de machine virtuelle locale de la passerelle (pour les passerelles déployées sur site). Vous pouvez également accéder par SSH à l'instance de la passerelle (pour les passerelles déployées sur Amazon EC2). Exécutez ensuite un test de connectivité réseau. Confirmez le retour du test[PASSED]. Pour plus d'informations, voir votre passerelle Test de la connexion de votre passerelle à Internet .

Note

Le nom d'utilisateur de connexion par défaut pour la console de passerelle estadmin, et le mot de passe par défaut estpassword.

Assurez-vous que la sécurité du pare-feu ne modifie pas les paquets envoyés depuis la passerelle vers les points de terminaison publics

Les inspections SSL, les inspections approfondies des paquets ou d'autres formes de sécurité par pare-feu peuvent interférer avec les paquets envoyés depuis la passerelle. La prise de contact SSL échoue si le certificat SSL est modifié par rapport aux attentes du point de terminaison d'activation. Pour vérifier qu'aucune inspection SSL n'est en cours, exécutez une commande OpenSSL sur le point de terminaison d'activation principal anon-cp.storagegateway.region.amazonaws.com () sur le port 443. Vous devez exécuter cette commande depuis une machine située dans le même sous-réseau que la passerelle :

$ openssl s_client -connect  anon-cp.storagegateway.region.amazonaws.com:443 -servername anon-cp.storagegateway.region.amazonaws.com
Note

regionRemplacez-le par votre Région AWS.

Si aucune inspection SSL n'est en cours, la commande renvoie une réponse similaire à la suivante :

$ openssl s_client -connect anon-cp.storagegateway.us-east-2.amazonaws.com:443 -servername anon-cp.storagegateway.us-east-2.amazonaws.com
CONNECTED(00000003)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-2.amazonaws.com
verify return:1
---
Certificate chain
 0 s:/CN=anon-cp.storagegateway.us-east-2.amazonaws.com
   i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
 1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
   i:/C=US/O=Amazon/CN=Amazon Root CA 1
 2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
   i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
 3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
   i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority
---

Si une inspection SSL est en cours, la réponse indique une chaîne de certificats modifiée, similaire à ce qui suit :

$ openssl s_client -connect  anon-cp.storagegateway.ap-southeast-1.amazonaws.com:443 -servername anon-cp.storagegateway.ap-southeast-1.amazonaws.com
CONNECTED(00000003)
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.ap-southeast-1.amazonaws.com
   i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---

Le point de terminaison d'activation accepte les poignées de main SSL uniquement s'il reconnaît le certificat SSL. Cela signifie que le trafic sortant de la passerelle vers les points de terminaison doit être exempté des inspections effectuées par les pare-feux de votre réseau. Ces inspections peuvent être une inspection SSL ou une inspection approfondie des paquets.

Vérifier la synchronisation de l'heure de la passerelle

Des décalages temporels excessifs peuvent provoquer des erreurs de connexion SSL. Pour les passerelles locales, vous pouvez utiliser la console de machine virtuelle locale de la passerelle pour vérifier la synchronisation de l'heure de votre passerelle. Le décalage temporel ne doit pas dépasser 60 secondes. Pour plus d'informations, voir de passerelle Synchronisation de l'heure de votre machine virtuelle passerelle

L'option System Time Management n'est pas disponible sur les passerelles hébergées sur des EC2 instances Amazon. Pour vous assurer qu'Amazon EC2 Gateway peut correctement synchroniser l'heure, vérifiez que l' EC2 instance Amazon peut se connecter à la liste de pool de serveurs NTP suivante via les ports UDP et TCP 123 :

  • 0.amazon.pool.ntp.org

  • 1.amazon.pool.ntp.org

  • 2.amazon.pool.ntp.org

  • 3.amazon.pool.ntp.org

Résolvez les erreurs lors de l'activation de votre passerelle à l'aide d'un point de terminaison Amazon VPC

Pour résoudre les erreurs d'activation lors de l'activation de votre passerelle à l'aide d'un point de terminaison Amazon Virtual Private Cloud (Amazon VPC), effectuez les vérifications et configurations suivantes.

Vérifiez les ports requis

Assurez-vous que les ports requis au sein de votre pare-feu local (pour les passerelles déployées sur site) ou de votre groupe de sécurité (pour les passerelles déployées sur Amazon EC2) sont ouverts. Les ports requis pour connecter une passerelle à un point de terminaison VPC Storage Gateway sont différents de ceux requis pour connecter une passerelle à des points de terminaison publics. Les ports suivants sont requis pour la connexion à un point de terminaison VPC Storage Gateway :

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

Pour plus d'informations, consultez d'un point de terminaison pour Storage Gateway.

Vérifiez également le groupe de sécurité attaché à votre point de terminaison VPC Storage Gateway. Le groupe de sécurité par défaut attaché au point de terminaison peut ne pas autoriser les ports requis. Créez un nouveau groupe de sécurité qui autorise le trafic provenant de la plage d'adresses IP de votre passerelle sur les ports requis. Attachez ensuite ce groupe de sécurité au point de terminaison du VPC.

Note

Utilisez la console Amazon VPC pour vérifier le groupe de sécurité attaché au point de terminaison VPC. Affichez votre point de terminaison VPC Storage Gateway depuis la console, puis choisissez l'onglet Security Groups.

Pour vérifier que les ports requis sont ouverts, vous pouvez exécuter des commandes telnet sur le point de terminaison VPC Storage Gateway. Vous devez exécuter ces commandes depuis un serveur situé dans le même sous-réseau que la passerelle. Vous pouvez exécuter les tests sur le premier nom DNS qui ne spécifie pas de zone de disponibilité. Par exemple, les commandes telnet suivantes testent les connexions de port requises à l'aide du nom DNS vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com :

telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 443
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1026
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1027
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1028
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1031
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 2222

Assurez-vous que la sécurité du pare-feu ne modifie pas les paquets envoyés depuis la passerelle vers votre point de terminaison Amazon VPC (Storage Gateway).

Les inspections SSL, les inspections approfondies des paquets ou d'autres formes de sécurité par pare-feu peuvent interférer avec les paquets envoyés depuis la passerelle. La prise de contact SSL échoue si le certificat SSL est modifié par rapport aux attentes du point de terminaison d'activation. Pour vérifier qu'aucune inspection SSL n'est en cours, exécutez une commande OpenSSL sur votre point de terminaison VPC Storage Gateway. Vous devez exécuter cette commande depuis une machine située dans le même sous-réseau que la passerelle. Exécutez la commande pour chaque port requis :

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:443 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1026 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1028 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1031 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:2222 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

Si aucune inspection SSL n'est en cours, la commande renvoie une réponse similaire à la suivante :

openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify return:1
---
Certificate chain
 0 s:CN = anon-cp.storagegateway.us-east-1.amazonaws.com
   i:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
 1 s:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
   i:C = US, O = Amazon, CN = Amazon Root CA 1
 2 s:C = US, O = Amazon, CN = Amazon Root CA 1
   i:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
 3 s:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
   i:C = US, O = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority
---

Si une inspection SSL est en cours, la réponse indique une chaîne de certificats modifiée, similaire à ce qui suit :

openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.us-east-1.amazonaws.com
   i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---

Le point de terminaison d'activation accepte les poignées de main SSL uniquement s'il reconnaît le certificat SSL. Cela signifie que le trafic sortant de la passerelle vers votre point de terminaison VPC via les ports requis est exempté des inspections effectuées par les pare-feux de votre réseau. Ces inspections peuvent être des inspections SSL ou des inspections approfondies des paquets.

Vérifier la synchronisation de l'heure de la passerelle

Des décalages temporels excessifs peuvent provoquer des erreurs de connexion SSL. Pour les passerelles locales, vous pouvez utiliser la console de machine virtuelle locale de la passerelle pour vérifier la synchronisation de l'heure de votre passerelle. Le décalage temporel ne doit pas dépasser 60 secondes. Pour plus d'informations, voir de passerelle Synchronisation de l'heure de votre machine virtuelle passerelle

L'option System Time Management n'est pas disponible sur les passerelles hébergées sur des EC2 instances Amazon. Pour vous assurer qu'Amazon EC2 Gateway peut correctement synchroniser l'heure, vérifiez que l' EC2 instance Amazon peut se connecter à la liste de pool de serveurs NTP suivante via les ports UDP et TCP 123 :

  • 0.amazon.pool.ntp.org

  • 1.amazon.pool.ntp.org

  • 2.amazon.pool.ntp.org

  • 3.amazon.pool.ntp.org

Vérifiez la présence d'un proxy HTTP et confirmez les paramètres du groupe de sécurité associés

Avant l'activation, vérifiez si un proxy HTTP sur Amazon est EC2 configuré sur la machine virtuelle de passerelle locale en tant que proxy Squid sur le port 3128. Dans ce cas, confirmez les points suivants :

  • Le groupe de sécurité attaché au proxy HTTP sur Amazon EC2 doit disposer d'une règle d'entrée. Cette règle entrante doit autoriser le trafic proxy Squid sur le port 3128 à partir de l'adresse IP de la machine virtuelle de passerelle.

  • Le groupe de sécurité attaché au point de terminaison Amazon EC2 VPC doit disposer de règles entrantes. Ces règles entrantes doivent autoriser le trafic sur les ports 1026-1028, 1031, 2222 et 443 à partir de l'adresse IP du proxy HTTP sur Amazon. EC2

Résolvez les erreurs lors de l'activation de votre passerelle à l'aide d'un point de terminaison public et qu'il existe un point de terminaison VPC Storage Gateway dans le même VPC

Pour résoudre les erreurs lors de l'activation de votre passerelle à l'aide d'un point de terminaison public lorsqu'il existe un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) dans le même VPC, effectuez les vérifications et configurations suivantes.

Vérifiez que le paramètre Activer le nom DNS privé n'est pas activé sur votre point de terminaison VPC Storage Gateway

Si l'option Activer le nom DNS privé est activée, vous ne pouvez activer aucune passerelle entre ce VPC et le point de terminaison public.

Pour désactiver l'option de nom DNS privé :

  1. Ouvrez la console VPC Amazon.

  2. Dans le volet de navigation, choisissez Points de terminaison.

  3. Choisissez votre point de terminaison VPC Storage Gateway.

  4. Choisissez Actions.

  5. Choisissez Gérer les noms DNS privés.

  6. Pour Activer le nom DNS privé, désactivez Activer pour ce point de terminaison.

  7. Choisissez Modifier les noms DNS privés pour enregistrer le paramètre.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.