Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Résolution des problèmes : erreur interne lors de l'activation de la passerelle
Les demandes d'activation de Storage Gateway empruntent deux chemins réseau. Les demandes d'activation entrantes envoyées par un client se connectent à la machine virtuelle (VM) de la passerelle ou à l'instance Amazon Elastic Compute Cloud (Amazon EC2) via le port 80. Si la passerelle reçoit correctement la demande d'activation, elle communique avec les points de terminaison Storage Gateway pour recevoir une clé d'activation. Si la passerelle ne parvient pas à atteindre les points de terminaison Storage Gateway, elle répond au client par un message d'erreur interne.
Utilisez les informations de dépannage suivantes pour déterminer la marche à suivre si vous recevez un message d'erreur interne lorsque vous tentez d'activer votre AWS Storage Gateway.
**Note**
Assurez-vous de déployer de nouvelles passerelles à l'aide du dernier fichier image de machine virtuelle ou de la dernière version d'Amazon Machine Image (AMI). Vous recevrez un message d'erreur interne si vous tentez d'activer une passerelle qui utilise une AMI obsolète.
Assurez-vous de sélectionner le type de passerelle que vous souhaitez déployer correctement avant de télécharger l'AMI. Les fichiers .ova et chaque type AMIs de passerelle sont différents et ne sont pas interchangeables.
## Résoudre les erreurs lors de l'activation de votre passerelle à l'aide d'un point de terminaison public
Pour résoudre les erreurs d'activation lors de l'activation de votre passerelle à l'aide d'un point de terminaison public, effectuez les vérifications et configurations suivantes.
### Vérifiez les ports requis
Pour les passerelles déployées sur site, vérifiez que les ports sont ouverts sur votre pare-feu local. Pour les passerelles déployées sur une instance Amazon EC2, vérifiez que les ports sont ouverts sur le groupe de sécurité de l'instance. Pour vérifier que les ports sont ouverts, exécutez une commande telnet sur le point de terminaison public à partir d'un serveur. Ce serveur doit se trouver dans le même sous-réseau que la passerelle. Par exemple, les commandes telnet suivantes testent la connexion au port 443 :
```
telnet d4kdq0yaxexbo.cloudfront.net 443
telnet storagegateway.region.amazonaws.com 443
telnet dp-1.storagegateway.region.amazonaws.com 443
telnet proxy-app.storagegateway.region.amazonaws.com 443
telnet client-cp.storagegateway.region.amazonaws.com 443
telnet anon-cp.storagegateway.region.amazonaws.com 443
```
Pour vérifier que la passerelle elle-même peut atteindre le point de terminaison, accédez à la console de machine virtuelle locale de la passerelle (pour les passerelles déployées sur site). Vous pouvez également accéder par SSH à l'instance de la passerelle (pour les passerelles déployées sur Amazon EC2). Exécutez ensuite un test de connectivité réseau. Confirmez le retour du test`[PASSED]`. Pour plus d'informations, voir [Test de votre connexion de passerelle à Internet](https://docs.aws.amazon.com/storagegateway/latest/vgw/manage-on-premises-common.html#MaintenanceTestGatewayConnectivity-common).
**Note**
Le nom d'utilisateur de connexion par défaut pour la console de passerelle est`admin`, et le mot de passe par défaut est`password`.
### Assurez-vous que la sécurité du pare-feu ne modifie pas les paquets envoyés depuis la passerelle vers les points de terminaison publics
Les inspections SSL, les inspections approfondies des paquets ou d'autres formes de sécurité par pare-feu peuvent interférer avec les paquets envoyés depuis la passerelle. La prise de contact SSL échoue si le certificat SSL est modifié par rapport aux attentes du point de terminaison d'activation. Pour vérifier qu'aucune inspection SSL n'est en cours, exécutez une commande OpenSSL sur le point de terminaison d'activation principal `anon-cp.storagegateway.region.amazonaws.com` () sur le port 443. Vous devez exécuter cette commande depuis une machine située dans le même sous-réseau que la passerelle :
```
$ openssl s_client -connect anon-cp.storagegateway.region.amazonaws.com:443 -servername anon-cp.storagegateway.region.amazonaws.com
```
**Note**
*region*Remplacez-le par votre Région AWS.
Si aucune inspection SSL n'est en cours, la commande renvoie une réponse similaire à la suivante :
```
$ openssl s_client -connect anon-cp.storagegateway.us-east-2.amazonaws.com:443 -servername anon-cp.storagegateway.us-east-2.amazonaws.com
CONNECTED(00000003)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-2.amazonaws.com
verify return:1
---
Certificate chain
0 s:/CN=anon-cp.storagegateway.us-east-2.amazonaws.com
i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
i:/C=US/O=Amazon/CN=Amazon Root CA 1
2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority
---
```
Si une inspection SSL est en cours, la réponse indique une chaîne de certificats modifiée, similaire à ce qui suit :
```
$ openssl s_client -connect anon-cp.storagegateway.ap-southeast-1.amazonaws.com:443 -servername anon-cp.storagegateway.ap-southeast-1.amazonaws.com
CONNECTED(00000003)
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.ap-southeast-1.amazonaws.com
i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---
```
Le point de terminaison d'activation accepte les poignées de main SSL uniquement s'il reconnaît le certificat SSL. Cela signifie que le trafic sortant de la passerelle vers les points de terminaison doit être exempté des inspections effectuées par les pare-feux de votre réseau. Ces inspections peuvent être une inspection SSL ou une inspection approfondie des paquets.
### Vérifier la synchronisation de l'heure de la passerelle
Des décalages temporels excessifs peuvent provoquer des erreurs de connexion SSL. Pour les passerelles locales, vous pouvez utiliser la console de machine virtuelle locale de la passerelle pour vérifier la synchronisation de l'heure de votre passerelle. Le décalage temporel ne doit pas dépasser 60 secondes. Pour plus d'informations, voir de [de](https://docs.aws.amazon.com/storagegateway/latest/vgw/MaintenanceTimeSync-hyperv.html) passerelle
L'option **System Time Management** n'est pas disponible sur les passerelles hébergées sur des instances Amazon EC2. Pour vous assurer que les passerelles Amazon EC2 peuvent correctement synchroniser l'heure, vérifiez que l'instance Amazon EC2 peut se connecter à la liste de pools de serveurs NTP suivante via les ports UDP et TCP 123 :
+ 0.amazon.pool.ntp.org
+ 1.amazon.pool.ntp.org
+ 2.amazon.pool.ntp.org
+ 3.amazon.pool.ntp.org
## Résolvez les erreurs lors de l'activation de votre passerelle à l'aide d'un point de terminaison Amazon VPC
Pour résoudre les erreurs d'activation lors de l'activation de votre passerelle à l'aide d'un point de terminaison Amazon Virtual Private Cloud (Amazon VPC), effectuez les vérifications et configurations suivantes.
### Vérifiez les ports requis
Assurez-vous que les ports requis au sein de votre pare-feu local (pour les passerelles déployées sur site) ou de votre groupe de sécurité (pour les passerelles déployées dans Amazon EC2) sont ouverts. Les ports requis pour connecter une passerelle à un point de terminaison VPC Storage Gateway sont différents de ceux requis pour connecter une passerelle à des points de terminaison publics. Les ports suivants sont requis pour la connexion à un point de terminaison VPC Storage Gateway :
+ TCP 443
+ TCP 1026
+ TCP 1027
+ TCP 1028
+ TCP 1031
+ TCP 2222
Pour plus d'informations, consultez .
Vérifiez également le groupe de sécurité attaché à votre point de terminaison VPC Storage Gateway. Le groupe de sécurité par défaut attaché au point de terminaison peut ne pas autoriser les ports requis. Créez un nouveau groupe de sécurité qui autorise le trafic provenant de la plage d'adresses IP de votre passerelle sur les ports requis. Attachez ensuite ce groupe de sécurité au point de terminaison du VPC.
**Note**
Utilisez la [console Amazon VPC](https://console.aws.amazon.com//vpc/) pour vérifier le groupe de sécurité attaché au point de terminaison VPC. Affichez votre point de terminaison VPC Storage Gateway depuis la console, puis choisissez l'onglet **Security Groups**.
Pour vérifier que les ports requis sont ouverts, vous pouvez exécuter des commandes telnet sur le point de terminaison VPC Storage Gateway. Vous devez exécuter ces commandes depuis un serveur situé dans le même sous-réseau que la passerelle. Vous pouvez exécuter les tests sur le premier nom DNS qui ne spécifie pas de zone de disponibilité. Par exemple, les commandes telnet suivantes testent les connexions de port requises à l'aide du nom DNS vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com :
```
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 443
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1026
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1027
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1028
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1031
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 2222
```
### Assurez-vous que la sécurité du pare-feu ne modifie pas les paquets envoyés depuis la passerelle vers votre point de terminaison Amazon VPC (Storage Gateway).
Les inspections SSL, les inspections approfondies des paquets ou d'autres formes de sécurité par pare-feu peuvent interférer avec les paquets envoyés depuis la passerelle. La prise de contact SSL échoue si le certificat SSL est modifié par rapport aux attentes du point de terminaison d'activation. Pour vérifier qu'aucune inspection SSL n'est en cours, exécutez une commande OpenSSL sur votre point de terminaison VPC Storage Gateway. Vous devez exécuter cette commande depuis une machine située dans le même sous-réseau que la passerelle. Exécutez la commande pour chaque port requis :
```
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:443 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1026 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1028 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1031 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:2222 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
```
Si aucune inspection SSL n'est en cours, la commande renvoie une réponse similaire à la suivante :
```
openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify return:1
---
Certificate chain
0 s:CN = anon-cp.storagegateway.us-east-1.amazonaws.com
i:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
1 s:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
i:C = US, O = Amazon, CN = Amazon Root CA 1
2 s:C = US, O = Amazon, CN = Amazon Root CA 1
i:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
3 s:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
i:C = US, O = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority
---
```
Si une inspection SSL est en cours, la réponse indique une chaîne de certificats modifiée, similaire à ce qui suit :
```
openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.us-east-1.amazonaws.com
i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---
```
Le point de terminaison d'activation accepte les poignées de main SSL uniquement s'il reconnaît le certificat SSL. Cela signifie que le trafic sortant de la passerelle vers votre point de terminaison VPC via les ports requis est exempté des inspections effectuées par les pare-feux de votre réseau. Ces inspections peuvent être des inspections SSL ou des inspections approfondies des paquets.
### Vérifier la synchronisation de l'heure de la passerelle
Des décalages temporels excessifs peuvent provoquer des erreurs de connexion SSL. Pour les passerelles locales, vous pouvez utiliser la console de machine virtuelle locale de la passerelle pour vérifier la synchronisation de l'heure de votre passerelle. Le décalage temporel ne doit pas dépasser 60 secondes. Pour plus d'informations, voir de [de](https://docs.aws.amazon.com/storagegateway/latest/vgw/MaintenanceTimeSync-hyperv.html) passerelle
L'option **System Time Management** n'est pas disponible sur les passerelles hébergées sur des instances Amazon EC2. Pour vous assurer que les passerelles Amazon EC2 peuvent correctement synchroniser l'heure, vérifiez que l'instance Amazon EC2 peut se connecter à la liste de pools de serveurs NTP suivante via les ports UDP et TCP 123 :
+ 0.amazon.pool.ntp.org
+ 1.amazon.pool.ntp.org
+ 2.amazon.pool.ntp.org
+ 3.amazon.pool.ntp.org
### Vérifiez la présence d'un proxy HTTP et confirmez les paramètres du groupe de sécurité associés
Avant l'activation, vérifiez si un proxy HTTP sur Amazon EC2 est configuré sur la machine virtuelle de passerelle locale en tant que proxy Squid sur le port 3128. Dans ce cas, confirmez les points suivants :
+ Le groupe de sécurité attaché au proxy HTTP sur Amazon EC2 doit disposer d'une règle d'entrée. Cette règle entrante doit autoriser le trafic proxy Squid sur le port 3128 à partir de l'adresse IP de la machine virtuelle de passerelle.
+ Le groupe de sécurité attaché au point de terminaison Amazon EC2 VPC doit disposer de règles entrantes. Ces règles entrantes doivent autoriser le trafic sur les ports 1026-1028, 1031, 2222 et 443 à partir de l'adresse IP du proxy HTTP sur Amazon EC2.
## Résolvez les erreurs lors de l'activation de votre passerelle à l'aide d'un point de terminaison public et qu'il existe un point de terminaison VPC Storage Gateway dans le même VPC
Pour résoudre les erreurs lors de l'activation de votre passerelle à l'aide d'un point de terminaison public lorsqu'il existe un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) dans le même VPC, effectuez les vérifications et configurations suivantes.
### Vérifiez que le paramètre **Activer le nom DNS privé** n'est pas activé sur votre point de terminaison VPC Storage Gateway
Si l'option **Activer le nom DNS privé** est activée, vous ne pouvez activer aucune passerelle entre ce VPC et le point de terminaison public.
**Pour désactiver l'option de nom DNS privé :**
1. Ouvrez la [console VPC Amazon](https://console.aws.amazon.com//vpc/).
1. Dans le panneau de navigation, choisissez **Points de terminaison**.
1. Choisissez votre point de terminaison VPC Storage Gateway.
1. Choisissez **Actions**.
1. Choisissez **Gérer les noms DNS privés**.
1. Pour **Activer le nom DNS privé**, désactivez **Activer pour ce point de terminaison**.
1. Choisissez **Modifier les noms DNS privés** pour enregistrer le paramètre.