Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Solución de problemas: error interno durante la activación de la puerta de enlace
Las solicitudes de activación de Storage Gateway atraviesan dos rutas de red. Las solicitudes de activación entrantes que envía un cliente se conectan a la máquina virtual (VM) de la puerta de enlace o a la instancia de Amazon Elastic Compute Cloud (Amazon EC2) a través del puerto 80. Si la puerta de enlace recibe correctamente la solicitud de activación, la puerta de enlace se comunica con los puntos de conexión de Storage Gateway para recibir una clave de activación. Si la puerta de enlace no puede llegar a los puntos de conexión de Storage Gateway, la puerta de enlace responde al cliente con un mensaje de error interno.
Utilice la siguiente información de solución de problemas para determinar qué hacer si recibe un mensaje de error interno al intentar activar AWS Storage Gateway.
**nota**
Asegúrese de implementar nuevas puertas de enlace con la versión del archivo de imagen de máquina virtual más reciente o de Imagen de máquina de Amazon (AMI). Recibirá un error interno si intenta activar una puerta de enlace que utiliza una AMI desactualizada.
Asegúrese de seleccionar el tipo de puerta de enlace correcto que pretende implementar antes de descargar la AMI. Los archivos.ova y AMIs para cada tipo de puerta de enlace son diferentes y no son intercambiables.
## Resolución de errores al activar la puerta de enlace mediante un punto de conexión público
Para resolver los errores de activación al activar la puerta de enlace mediante un punto de conexión público, realice las siguientes comprobaciones y configuraciones.
### Comprobación de los puertos necesarios
Para las puertas de enlace implementadas en las instalaciones, compruebe que los puertos estén abiertos en el firewall local. Para puertas de enlace implementadas en una instancia de Amazon EC2, compruebe que los puertos estén abiertos en el grupo de seguridad de la instancia. Para confirmar que los puertos están abiertos, ejecute un comando telnet en el punto de conexión público desde un servidor. Este servidor debe estar en la misma subred que la puerta de enlace. Por ejemplo, los siguientes comandos telnet prueban la conexión al puerto 443:
```
telnet d4kdq0yaxexbo.cloudfront.net 443
telnet storagegateway.region.amazonaws.com 443
telnet dp-1.storagegateway.region.amazonaws.com 443
telnet proxy-app.storagegateway.region.amazonaws.com 443
telnet client-cp.storagegateway.region.amazonaws.com 443
telnet anon-cp.storagegateway.region.amazonaws.com 443
```
Para confirmar que la propia puerta de enlace puede llegar al punto de conexión, acceda a la consola de máquina virtual local de la puerta de enlace (para las puertas de enlace implementadas en las instalaciones). O bien, puede utilizar SSH en la instancia de la puerta de enlace (para las puertas de enlace implementadas en Amazon EC2). A continuación, ejecute una prueba de conectividad de red. Confirme que la prueba devuelve `[PASSED]`. Para obtener más información, consulte [Testing your gateway's network connectivity](https://docs.aws.amazon.com/storagegateway/latest/vgw/manage-on-premises-common.html#MaintenanceTestGatewayConnectivity-common).
**nota**
El nombre de usuario de inicio de sesión predeterminado para la consola de la puerta de enlace es `admin` y la contraseña predeterminada es `password`.
### Asegúrese de que la seguridad del firewall no modifique los paquetes enviados desde la puerta de enlace a los puntos de conexión públicos
Las inspecciones de SSL, las inspecciones exhaustivas de paquetes u otras formas de seguridad mediante firewall pueden interferir con los paquetes enviados desde la puerta de enlace. El protocolo de enlace SSL produce un error si el certificado SSL se modifica con respecto a lo esperado del punto de conexión de activación. Para confirmar que no hay ninguna inspección de SSL en curso, ejecute un comando de OpenSSL en el punto de conexión de activación principal (`anon-cp.storagegateway.region.amazonaws.com`) del puerto 443. Debe ejecutar este comando desde una máquina que se encuentre en la misma subred que la puerta de enlace:
```
$ openssl s_client -connect anon-cp.storagegateway.region.amazonaws.com:443 -servername anon-cp.storagegateway.region.amazonaws.com
```
**nota**
Sustitúyalos por *region* los suyos. Región de AWS
Si no hay ninguna inspección de SSL en curso, el comando devuelve una respuesta similar a la siguiente:
```
$ openssl s_client -connect anon-cp.storagegateway.us-east-2.amazonaws.com:443 -servername anon-cp.storagegateway.us-east-2.amazonaws.com
CONNECTED(00000003)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-2.amazonaws.com
verify return:1
---
Certificate chain
0 s:/CN=anon-cp.storagegateway.us-east-2.amazonaws.com
i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
i:/C=US/O=Amazon/CN=Amazon Root CA 1
2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority
---
```
Si hay una inspección de SSL en curso, la respuesta muestra una cadena de certificados alterada, similar a la siguiente:
```
$ openssl s_client -connect anon-cp.storagegateway.ap-southeast-1.amazonaws.com:443 -servername anon-cp.storagegateway.ap-southeast-1.amazonaws.com
CONNECTED(00000003)
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.ap-southeast-1.amazonaws.com
i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---
```
El punto de conexión de activación solo acepta los protocolos de enlace de SSL si reconoce el certificado SSL. Esto significa que el tráfico saliente de la puerta de enlace hacia los puntos de conexión debe estar exento de las inspecciones realizadas por los firewalls de la red. Es posible que estas inspecciones sean una inspección de SSL o una inspección profunda de paquetes.
### Comprobación de la sincronización horaria de la puerta de enlace
Los sesgos horarios excesivos pueden provocar errores en el protocolo de enlace de SSL. En el caso de las puertas de enlace en las instalaciones, puede utilizar la consola de máquina virtual local de la puerta de enlace para comprobar la sincronización horaria de la puerta de enlace. El sesgo horario no debe ser superior a 60 segundos. Para obtener más información, consulte [Sincronización de la hora de la MV de la gateway](https://docs.aws.amazon.com/storagegateway/latest/vgw/MaintenanceTimeSync-hyperv.html).
La opción **Administración del tiempo del sistema** no está disponible en las puertas de enlace alojadas en instancias de Amazon EC2. Para asegurarse de que las puertas de enlace de Amazon EC2 pueden sincronizar correctamente la hora, confirme que la instancia de Amazon EC2 puede conectarse a la siguiente lista de grupos de servidores NTP a través de los puertos UDP y TCP 123:
+ 0.amazon.pool.ntp.org
+ 1.amazon.pool.ntp.org
+ 2.amazon.pool.ntp.org
+ 3.amazon.pool.ntp.org
## Resolución de errores al activar la puerta de enlace mediante un punto de conexión de VPC de Amazon
Para resolver los errores de activación al activar la puerta de enlace mediante un punto de conexión de Amazon Virtual Private Cloud (Amazon VPC), realice las siguientes comprobaciones y configuraciones.
### Comprobación de los puertos necesarios
Asegúrese de que los puertos necesarios del firewall local (para las puertas de enlace implementadas en las instalaciones) o del grupo de seguridad (para las puertas de enlace implementadas en Amazon EC2) estén abiertos. Los puertos necesarios para conectar una puerta de enlace a un punto de conexión de VPC de Storage Gateway difieren de los necesarios al conectar una puerta de enlace a puntos de conexión públicos. Se requieren los siguientes puertos para conectarse a un punto de conexión de VPC de Storage Gateway:
+ TCP 443
+ TCP 1026
+ TCP 1027
+ TCP 1028
+ TCP 1031
+ TCP 2222
Para obtener más información, consulte [Creating a VPC endpoint for Storage Gateway](https://docs.aws.amazon.com/storagegateway/latest/vgw/gateway-private-link.html#create-vpc-endpoint).
Además, compruebe el grupo de seguridad que está conectado al punto de conexión de VPC de Storage Gateway. Es posible que el grupo de seguridad predeterminado asociado al punto de conexión no permita los puertos necesarios. Cree un nuevo grupo de seguridad que permita el tráfico desde el rango de direcciones IP de la puerta de enlace a través de los puertos necesarios. A continuación, asocie ese grupo de seguridad al punto de conexión de VPC.
**nota**
Utilice la [consola de Amazon VPC](https://console.aws.amazon.com//vpc/) para verificar el grupo de seguridad que está conectado al punto de conexión de VPC. Consulte el punto de conexión de VPC de Storage Gateway desde la consola y, a continuación, elija la pestaña **Grupos de seguridad**.
Para confirmar que los puertos necesarios están abiertos, puede ejecutar comandos telnet en el punto de conexión de VPC de Storage Gateway. Debe ejecutar estos comandos desde un servidor que esté en la misma subred que la puerta de enlace. Puede ejecutar las pruebas en el primer nombre de DNS que no especifique una zona de disponibilidad. Por ejemplo, los siguientes comandos telnet prueban las conexiones de puerto necesarias con el nombre de DNS vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:
```
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 443
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1026
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1027
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1028
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1031
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 2222
```
### Asegúrese de que la seguridad del firewall no modifique los paquetes enviados desde la puerta de enlace al punto de conexión de VPC de Amazon de Storage Gateway
Las inspecciones de SSL, las inspecciones exhaustivas de paquetes u otras formas de seguridad mediante firewall pueden interferir con los paquetes enviados desde la puerta de enlace. El protocolo de enlace SSL produce un error si el certificado SSL se modifica con respecto a lo esperado del punto de conexión de activación. Para confirmar que no hay ninguna inspección de SSL en curso, ejecute un comando de OpenSSL en el punto de conexión de VPC de Storage Gateway. Debe ejecutar este comando desde una máquina que se encuentre en la misma subred que la puerta de enlace. Ejecute el comando para cada puerto requerido:
```
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:443 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1026 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1028 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1031 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:2222 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
```
Si no hay ninguna inspección de SSL en curso, el comando devuelve una respuesta similar a la siguiente:
```
openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify return:1
---
Certificate chain
0 s:CN = anon-cp.storagegateway.us-east-1.amazonaws.com
i:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
1 s:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
i:C = US, O = Amazon, CN = Amazon Root CA 1
2 s:C = US, O = Amazon, CN = Amazon Root CA 1
i:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
3 s:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
i:C = US, O = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority
---
```
Si hay una inspección de SSL en curso, la respuesta muestra una cadena de certificados alterada, similar a la siguiente:
```
openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.us-east-1.amazonaws.com
i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---
```
El punto de conexión de activación solo acepta los protocolos de enlace de SSL si reconoce el certificado SSL. Esto significa que el tráfico saliente de la puerta de enlace hacia el punto de conexión de VPC debe estar exento de las inspecciones realizadas por los firewalls de la red. Es posible que estas inspecciones sean inspecciones de SSL o inspecciones profundas de paquetes.
### Comprobación de la sincronización horaria de la puerta de enlace
Los sesgos horarios excesivos pueden provocar errores en el protocolo de enlace de SSL. En el caso de las puertas de enlace en las instalaciones, puede utilizar la consola de máquina virtual local de la puerta de enlace para comprobar la sincronización horaria de la puerta de enlace. El sesgo horario no debe ser superior a 60 segundos. Para obtener más información, consulte [Sincronización de la hora de la MV de la gateway](https://docs.aws.amazon.com/storagegateway/latest/vgw/MaintenanceTimeSync-hyperv.html).
La opción **Administración del tiempo del sistema** no está disponible en las puertas de enlace alojadas en instancias de Amazon EC2. Para asegurarse de que las puertas de enlace de Amazon EC2 pueden sincronizar correctamente la hora, confirme que la instancia de Amazon EC2 puede conectarse a la siguiente lista de grupos de servidores NTP a través de los puertos UDP y TCP 123:
+ 0.amazon.pool.ntp.org
+ 1.amazon.pool.ntp.org
+ 2.amazon.pool.ntp.org
+ 3.amazon.pool.ntp.org
### Comprobación de un proxy HTTP y confirmación de la configuración del grupo de seguridad asociado
Antes de la activación, compruebe si tiene un proxy HTTP en Amazon EC2 configurado en la máquina virtual de puerta de enlace en las instalaciones como un proxy Squid en el puerto 3128. En este caso, confirme lo siguiente:
+ El grupo de seguridad adjunto al proxy HTTP en Amazon EC2 debe tener una regla de entrada. Esta regla de entrada debe permitir el tráfico del proxy Squid en el puerto 3128 desde la dirección IP de la máquina virtual de la puerta de enlace.
+ El grupo de seguridad adjunto al punto de conexión de VPC de Amazon EC2 debe tener reglas de entrada. Estas reglas de entrada deben permitir el tráfico en los puertos 1026-1028, 1031, 2222 y 443 desde la dirección IP del proxy HTTP en Amazon EC2.
## Resuelva los errores al activar la puerta de enlace mediante un punto de conexión público y hay un punto de conexión de VPC de Storage Gateway en la misma VPC
Para resolver los errores al activar la puerta de enlace mediante un punto de conexión público cuando hay un punto de conexión de Amazon Virtual Private Cloud (Amazon VPC) en la misma VPC, realice las siguientes comprobaciones y configuraciones.
### Confirmar que la configuración **Habilitar nombre de DNS privado** no esté habilitada en el punto de conexión de VPC de Storage Gateway
Si la opción **Habilitación de nombre de DNS privado** está habilitada, no podrá activar ninguna puerta de enlace desde esa VPC al punto de conexión público.
**Para desactivar la opción de nombre de DNS privado:**
1. Abra la [Consola de Amazon VPC](https://console.aws.amazon.com//vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Elija el punto de conexión de VPC de Storage Gateway.
1. Elija **Acciones**.
1. Elija **Administrar nombres de DNS privados**.
1. Para **Habilitar nombre de DNS privado**, borre **Habilitar para este punto de conexión**.
1. Elija **Modificar nombres de DNS privados** para guardar la configuración.