Comment résoudre une erreur interne lors de l'activation de mon Storage Gateway ?

Date de la dernière mise à jour : 05/10/2020

J'essaie d'activer ma passerelle sur AWS Storage Gateway, mais je reçois une erreur interne. Comment puis-je résoudre ce problème ?

Brève description

Une demande adressée à Storage Gateway traverse deux chemins réseau. Tout d'abord, la demande d'activation envoyée par un client se connecte à la machine virtuelle (VM) de la passerelle ou à l'instance Amazon Elastic Compute Cloud (Amazon EC2) via le port 80. Deuxièmement, si la passerelle reçoit avec succès la demande d'activation, elle communique avec les points de terminaison Storage Gateway pour recevoir une clé d'activation. Si la passerelle ne parvient pas à atteindre ces points de terminaison Storage Gateway, le service répond au client avec un message d'erreur interne.

Résolution

Si vous utilisez un point de terminaison public pour activer votre passerelle

1.    Vérifiez que vous avez ouvert les ports requis. Pour les passerelles déployées sur site, vérifiez que les ports sont ouverts sur votre pare-feu local. Pour les passerelles déployées sur une instance Amazon EC2, vérifiez que les ports sont ouverts sur le groupe de sécurité de l'instance. Pour confirmer que les ports sont ouverts, exécutez une commande telnet sur le point de terminaison public à partir d'un serveur qui se trouve dans le même sous-réseau que la passerelle. Par exemple, les commandes telnet suivantes permettent de tester la connexion au port 443 :

telnet d4kdq0yaxexbo.cloudfront.net 443
telnet storagegateway.region.amazonaws.com 443
telnet dp-1.storagegateway.region.amazonaws.com 443
telnet proxy-app.storagegateway.region.amazonaws.com 443
telnet client-cp.storagegateway.region.amazonaws.com 443
telnet anon-cp.storagegateway.region.amazonaws.com 443

Pour confirmer que la passerelle elle-même peut atteindre le point de terminaison, accédez à la console VM locale de la passerelle (pour les passerelles déployées sur site) ou à SSH à l'instance de la passerelle (pour les passerelles déployées sur Amazon EC2). Ensuite, exécutez un test de connectivité réseau. Vérifiez que le test renvoie [PASSED].

Remarque : le nom d'utilisateur de connexion par défaut pour la console de passerelle est admin, et le mot de passe par défaut password.

2.    Vérifiez qu'il n'y a pas d'inspection SSL, d'inspection approfondie des paquets ou toute autre forme de pare-feu de sécurité qui modifie les paquets envoyés de la passerelle vers les points de terminaison publics. La liaison SSL échoue si le certificat SSL est modifié à partir des attentes du point de terminaison d'activation. Pour confirmer qu'aucune inspection SSL n'est en cours, exécutez une commande OpenSSL sur le point de terminaison d'activation principal (anon-cp.storagegateway.region.amazonaws.com) sur le port 443 à partir d'une machine située dans le même sous-réseau que la passerelle :

Remarque : remplacer la région par votre région d'activation.

$ openssl s_client -connect  anon-cp.storagegateway.region.amazonaws.com:443 -servername anon-cp.storagegateway.region.amazonaws.com

S'il n'y a pas d'inspection SSL en cours, la commande renvoie une réponse similaire à la suivante :

$ openssl s_client -connect anon-cp.storagegateway.us-east-2.amazonaws.com:443 -servername anon-cp.storagegateway.us-east-2.amazonaws.com
CONNECTED(00000003)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-2.amazonaws.com
verify return:1
---
Certificate chain
 0 s:/CN=anon-cp.storagegateway.us-east-2.amazonaws.com
   i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
 1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
   i:/C=US/O=Amazon/CN=Amazon Root CA 1
 2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
   i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
 3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
   i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority
---

Si une inspection SSL est en cours, la réponse indique une chaîne de certificats altérée, semblable à ce qui suit :

$ openssl s_client -connect  anon-cp.storagegateway.ap-southeast-1.amazonaws.com:443 -servername anon-cp.storagegateway.ap-southeast-1.amazonaws.com
CONNECTED(00000003)
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.ap-southeast-1.amazonaws.com
   i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---

Le point de terminaison d'activation accepte les liaisons SSL uniquement s'il reconnaît le certificat SSL. Cela signifie que le trafic sortant de la passerelle vers les points de terminaison doit être exempt de toute inspection SSL ou inspection approfondie des paquets effectuées par les pare-feu de votre réseau.

3.    Vérifiez que votre passerelle synchronise correctement l'heure. Des décalages excessifs peuvent provoquer des erreurs de liaison SSL. Utilisez la console VM locale de la passerelle pour vérifier la synchronisation temporelle de votre passerelle. Le décalage ne doit pas dépasser 60 secondes.

Remarque : l'option Gestion de l'heure système n'est pas disponible sur les passerelles hébergées sur une instance EC2. Vérifiez que l'instance peut se connecter à la liste des groupes de serveurs NTP sur les ports UDP et TCP 123 :

0.amazon.pool.ntp.org
1.amazon.pool.ntp.org
2.amazon.pool.ntp.org
3.amazon.pool.ntp.org

Si vous utilisez un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) pour activer votre passerelle

1.    Vérifiez que vous avez ouvert les ports requis dans votre pare-feu local (pour les passerelles déployées sur site) ou dans votre groupe de sécurité (pour les passerelles déployées dans Amazon EC2). Les ports requis pour connecter une passerelle au point de terminaison d'un VPC Storage Gateway sont différents de ceux requis lorsque vous connectez une passerelle aux points de terminaison publics. Les ports suivants sont requis pour la connexion à un point de terminaison d'un VPC Storage Gateway :

  • TCP 443
  • TCP 1026
  • TCP 1027
  • TCP 1028
  • TCP 1031
  • TCP 2222

Par ailleurs, vérifiez le groupe de sécurité attaché à votre point de terminaison d'un VPC Storage Gateway. Le groupe de sécurité par défaut attaché au point de terminaison peut ne pas autoriser les ports requis. Créez un nouveau groupe de sécurité qui autorise le trafic à partir de la plage d'adresses IP de votre passerelle sur les ports requis. Ensuite, attachez ce groupe de sécurité au point de terminaison d'un VPC.

Remarque : utilisez la console Amazon VPC pour vérifier le groupe de sécurité attaché au point de terminaison d'un VPC. Affichez votre point de terminaison d'un VPC Storage Gateway à partir de la console, puis choisissez l'onglet Security Groups (Groupes de sécurité).

Pour confirmer que les ports requis sont ouverts, exécutez les commandes telnet sur le point de terminaison d'un VPC Storage Gateway à partir d'un serveur qui se trouve dans le même sous-réseau que la passerelle. Vous pouvez exécuter les tests sur le premier nom DNS qui ne spécifie pas de zone de disponibilité. Par exemple, les commandes telnet suivantes testent les connexions des ports requis à l'aide du nom DNS vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com :

telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 443
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1026
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1027
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1028
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1031
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 2222

2.    Vérifiez qu'il n'y a pas d'inspection SSL, d'inspection approfondie des paquets ou toute autre forme de pare-feu de sécurité qui modifie les paquets envoyés depuis la passerelle vers votre point de terminaison d'un VPC Storage Gateway. La liaison SSL échoue si le certificat SSL est modifié à partir des attentes du point de terminaison d'activation. Pour vérifier qu'aucune inspection SSL n'est en cours, exécutez une commande OpenSSL sur votre point de terminaison d'un VPC Storage Gateway à partir d'une machine qui se trouve dans le même sous-réseau que la passerelle. Exécutez la commande pour chaque port requis :

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:443 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1026 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1028 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1031 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:2222 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

Si aucune inspection SSL n'est en cours, la commande renvoie une réponse similaire à la suivante :

openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify return:1
---
Certificate chain
 0 s:CN = anon-cp.storagegateway.us-east-1.amazonaws.com
   i:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
 1 s:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
   i:C = US, O = Amazon, CN = Amazon Root CA 1
 2 s:C = US, O = Amazon, CN = Amazon Root CA 1
   i:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
 3 s:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
   i:C = US, O = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority
---

Si une inspection SSL est en cours, la réponse indique une chaîne de certificats altérée, semblable à ce qui suit :

openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.us-east-1.amazonaws.com
   i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---

Le point de terminaison d'activation accepte les liaisons SSL uniquement s'il reconnaît le certificat SSL. Cela signifie que le trafic sortant de la passerelle vers votre point de terminaison d'un VPC sur tous les ports requis doit être exempt de toute inspection SSL ou inspection approfondie des paquets effectuée par les pare-feu de votre réseau.

3.    Vérifiez que votre passerelle synchronise correctement l'heure. Des décalages excessifs peuvent provoquer des erreurs de liaison SSL. Utilisez la console VM locale de la passerelle pour vérifier la synchronisation temporelle de votre passerelle. Le décalage ne doit pas dépasser 60 secondes.

Remarque : l'option Gestion de l'heure système n'est pas disponible sur les passerelles hébergées sur une instance EC2. Vérifiez que l'instance peut se connecter à la liste des groupes de serveurs NTP sur les ports UDP et TCP 123 :
0.amazon.pool.ntp.org
1.amazon.pool.ntp.org
2.amazon.pool.ntp.org
3.amazon.pool.ntp.org

4.    Avant l'activation, si vous avez un proxy HTTP sur Amazon EC2 configuré sur la machine virtuelle de passerelle sur site en tant que proxy Squid sur le port 3128, vérifiez ce qui suit :

  • Le groupe de sécurité attaché au proxy HTTP sur Amazon EC2 doit avoir une règle de trafic entrant qui autorise le trafic du proxy Squid sur le port 3128 à partir de l'adresse IP de la machine virtuelle de passerelle.
  • Le groupe de sécurité attaché au point de terminaison d'un VPC Storage Gateway doit avoir des règles de trafic entrant qui autorisent le trafic sur les ports 1026-1028, 1031, 2222 et 443 à partir de l'adresse IP du proxy HTTP sur Amazon EC2.

Si vous utilisez un point de terminaison public pour activer votre passerelle lorsqu'il existe un point de terminaison d'un VPC Storage Gateway dans le même VPC

Vérifiez que le paramètre Enable Private DNS Name (Activer le nom DNS privé) n'est pas activé sur votre point de terminaison d'un VPC Storage Gateway. Si ce paramètre est activé, vous ne pouvez pas activer de passerelles depuis ce VPC vers le point de terminaison public. Procédez comme suit pour désactiver l'option de nom DNS privé :

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sélectionnez Endpoints (Points de terminaison).
  3. Choisissez votre point de terminaison d'un VPC Storage Gateway.
  4. Choisissez Actions.
  5. Choisissez Manage Private DNS Names (Gérer les noms DNS privés).
  6. Pour Enable Private DNS Name (Activer le nom DNS privé), décochez Enable for this endpoint (Activer pour ce point de terminaison).
  7. Choisissez Modify Private DNS Names (Modifier les noms DNS privés) pour enregistrer le paramètre.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?