Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risoluzione dei problemi: errore interno durante l'attivazione del gateway
Le richieste di attivazione dello Storage Gateway attraversano due percorsi di rete. Le richieste di attivazione in entrata inviate da un client si connettono alla macchina virtuale (VM) o all'istanza Amazon Elastic Compute Cloud (Amazon EC2) del gateway tramite la porta 80. Se il gateway riceve correttamente la richiesta di attivazione, comunica con gli endpoint Storage Gateway per ricevere una chiave di attivazione. Se il gateway non riesce a raggiungere gli endpoint Storage Gateway, risponde al client con un messaggio di errore interno.
Utilizza le seguenti informazioni per la risoluzione dei problemi per determinare cosa fare se ricevi un messaggio di errore interno quando tenti di attivare il. Gateway di archiviazione AWS
**Nota**
Assicurati di distribuire nuovi gateway utilizzando l'ultimo file di immagine della macchina virtuale o la versione di Amazon Machine Image (AMI). Riceverai un errore interno se tenti di attivare un gateway che utilizza un'AMI obsoleta.
Assicurati di selezionare il tipo di gateway corretto che intendi implementare prima di scaricare l'AMI. I file.ova e AMIs per ogni tipo di gateway sono diversi e non sono intercambiabili.
## Risolvi gli errori durante l'attivazione del gateway utilizzando un endpoint pubblico
Per risolvere gli errori di attivazione durante l'attivazione del gateway utilizzando un endpoint pubblico, esegui i seguenti controlli e configurazioni.
### Controlla le porte richieste
Per i gateway distribuiti in locale, verifica che le porte sul firewall locale siano aperte. Per i gateway distribuiti su un'istanza Amazon EC2, verifica che le porte siano aperte nel gruppo di sicurezza dell'istanza. Per confermare che le porte siano aperte, esegui un comando telnet sull'endpoint pubblico da un server. Questo server deve trovarsi nella stessa sottorete del gateway. Ad esempio, i seguenti comandi telnet testano la connessione alla porta 443:
```
telnet d4kdq0yaxexbo.cloudfront.net 443
telnet storagegateway.region.amazonaws.com 443
telnet dp-1.storagegateway.region.amazonaws.com 443
telnet proxy-app.storagegateway.region.amazonaws.com 443
telnet client-cp.storagegateway.region.amazonaws.com 443
telnet anon-cp.storagegateway.region.amazonaws.com 443
```
Per confermare che il gateway stesso possa raggiungere l'endpoint, accedi alla console VM locale del gateway (per i gateway distribuiti in locale). In alternativa, puoi accedere tramite SSH all'istanza del gateway (per i gateway distribuiti su Amazon EC2). Quindi, esegui un test di connettività di rete. Conferma che il test ritorni`[PASSED]`. Per ulteriori informazioni, vedi [gateway Test della connessione del gateway a Internet](https://docs.aws.amazon.com/storagegateway/latest/tgw/manage-on-premises-common.html#MaintenanceTestGatewayConnectivity-common) .
**Nota**
Il nome utente di accesso predefinito per la console del gateway è`admin`, e la password predefinita è`password`.
### Assicurati che la sicurezza del firewall non modifichi i pacchetti inviati dal gateway agli endpoint pubblici
Le ispezioni SSL, le ispezioni approfondite dei pacchetti o altre forme di sicurezza del firewall possono interferire con i pacchetti inviati dal gateway. L'handshake SSL fallisce se il certificato SSL viene modificato rispetto a quanto previsto dall'endpoint di attivazione. Per confermare che non è in corso alcuna ispezione SSL, esegui un comando OpenSSL sull'endpoint `anon-cp.storagegateway.region.amazonaws.com` di attivazione principale () sulla porta 443. È necessario eseguire questo comando da un computer che si trova nella stessa sottorete del gateway:
```
$ openssl s_client -connect anon-cp.storagegateway.region.amazonaws.com:443 -servername anon-cp.storagegateway.region.amazonaws.com
```
**Nota**
Sostituisci *region* con il tuo. Regione AWS
Se non è in corso alcuna ispezione SSL, il comando restituisce una risposta simile alla seguente:
```
$ openssl s_client -connect anon-cp.storagegateway.us-east-2.amazonaws.com:443 -servername anon-cp.storagegateway.us-east-2.amazonaws.com
CONNECTED(00000003)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-2.amazonaws.com
verify return:1
---
Certificate chain
0 s:/CN=anon-cp.storagegateway.us-east-2.amazonaws.com
i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
i:/C=US/O=Amazon/CN=Amazon Root CA 1
2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority
---
```
Se è in corso un'ispezione SSL, la risposta mostra una catena di certificati alterata, simile alla seguente:
```
$ openssl s_client -connect anon-cp.storagegateway.ap-southeast-1.amazonaws.com:443 -servername anon-cp.storagegateway.ap-southeast-1.amazonaws.com
CONNECTED(00000003)
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.ap-southeast-1.amazonaws.com
i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---
```
L'endpoint di attivazione accetta gli handshake SSL solo se riconosce il certificato SSL. Ciò significa che il traffico in uscita del gateway verso gli endpoint deve essere esente dalle ispezioni eseguite dai firewall della rete. Queste ispezioni possono essere un'ispezione SSL o un'ispezione approfondita dei pacchetti.
### Controlla la sincronizzazione dell'ora del gateway
Scostamenti temporali eccessivi possono causare errori di handshake SSL. Per i gateway locali, è possibile utilizzare la console VM locale del gateway per controllare la sincronizzazione dell'ora del gateway. L'inclinazione temporale non deve superare i 60 secondi.
L'opzione **System Time Management** non è disponibile sui gateway ospitati su istanze Amazon EC2. Per assicurarti che i gateway Amazon EC2 possano sincronizzare correttamente l'ora, verifica che l'istanza Amazon EC2 possa connettersi al seguente elenco di pool di server NTP tramite le porte UDP e TCP 123:
+ 0.amazon.pool.ntp.org
+ 1.amazon.pool.ntp.org
+ 2.amazon.pool.ntp.org
+ 3.amazon.pool.ntp.org
## Risolvi gli errori durante l'attivazione del gateway utilizzando un endpoint Amazon VPC
Per risolvere gli errori di attivazione durante l'attivazione del gateway utilizzando un endpoint Amazon Virtual Private Cloud (Amazon VPC), esegui i seguenti controlli e configurazioni.
### Controlla le porte richieste
Assicurati che le porte richieste all'interno del firewall locale (per i gateway distribuiti in locale) o del gruppo di sicurezza (per i gateway distribuiti in Amazon EC2) siano aperte. Le porte necessarie per connettere un gateway a un endpoint VPC Storage Gateway sono diverse da quelle richieste per la connessione di un gateway a endpoint pubblici. Le seguenti porte sono necessarie per la connessione a un endpoint VPC Storage Gateway:
+ TCP 443
+ TCP 1026
+ TCP 1027
+ TCP 1028
+ TCP 1031
+ TCP 2222
Inoltre, controlla il gruppo di sicurezza collegato all'endpoint VPC dello Storage Gateway. Il gruppo di sicurezza predefinito collegato all'endpoint potrebbe non consentire le porte richieste. Crea un nuovo gruppo di sicurezza che consenta il traffico proveniente dall'intervallo di indirizzi IP del gateway sulle porte richieste. Quindi, collega quel gruppo di sicurezza all'endpoint VPC.
**Nota**
Utilizza la [console Amazon VPC](https://console.aws.amazon.com//vpc/) per verificare il gruppo di sicurezza collegato all'endpoint VPC. Visualizza l'endpoint VPC Storage Gateway dalla console, quindi scegli la scheda **Security** Groups.
Per confermare che le porte richieste siano aperte, è possibile eseguire i comandi telnet sull'endpoint VPC Storage Gateway. È necessario eseguire questi comandi da un server che si trova nella stessa sottorete del gateway. È possibile eseguire i test sul primo nome DNS che non specifica una zona di disponibilità. Ad esempio, i seguenti comandi telnet testano le connessioni alle porte richieste utilizzando il nome DNS vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:
```
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 443
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1026
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1027
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1028
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1031
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 2222
```
### Assicurati che la sicurezza del firewall non modifichi i pacchetti inviati dal gateway all'endpoint Amazon VPC di Storage Gateway.
Le ispezioni SSL, le ispezioni approfondite dei pacchetti o altre forme di sicurezza del firewall possono interferire con i pacchetti inviati dal gateway. L'handshake SSL fallisce se il certificato SSL viene modificato rispetto a quanto previsto dall'endpoint di attivazione. Per confermare che non è in corso alcuna ispezione SSL, esegui un comando OpenSSL sull'endpoint VPC Storage Gateway. È necessario eseguire questo comando da un computer che si trova nella stessa sottorete del gateway. Esegui il comando per ogni porta richiesta:
```
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:443 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1026 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1028 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1031 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:2222 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
```
Se non è in corso alcuna ispezione SSL, il comando restituisce una risposta simile alla seguente:
```
openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify return:1
---
Certificate chain
0 s:CN = anon-cp.storagegateway.us-east-1.amazonaws.com
i:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
1 s:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
i:C = US, O = Amazon, CN = Amazon Root CA 1
2 s:C = US, O = Amazon, CN = Amazon Root CA 1
i:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
3 s:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
i:C = US, O = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority
---
```
Se è in corso un'ispezione SSL, la risposta mostra una catena di certificati alterata, simile alla seguente:
```
openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.us-east-1.amazonaws.com
i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---
```
L'endpoint di attivazione accetta gli handshake SSL solo se riconosce il certificato SSL. Ciò significa che il traffico in uscita del gateway verso l'endpoint VPC sulle porte richieste è esente dalle ispezioni eseguite dai firewall di rete. Queste ispezioni potrebbero essere ispezioni SSL o ispezioni approfondite dei pacchetti.
### Controlla la sincronizzazione dell'ora del gateway
Scostamenti temporali eccessivi possono causare errori di handshake SSL. Per i gateway locali, è possibile utilizzare la console VM locale del gateway per controllare la sincronizzazione dell'ora del gateway. L'inclinazione temporale non deve superare i 60 secondi.
L'opzione **System Time Management** non è disponibile sui gateway ospitati su istanze Amazon EC2. Per assicurarti che i gateway Amazon EC2 possano sincronizzare correttamente l'ora, verifica che l'istanza Amazon EC2 possa connettersi al seguente elenco di pool di server NTP tramite le porte UDP e TCP 123:
+ 0.amazon.pool.ntp.org
+ 1.amazon.pool.ntp.org
+ 2.amazon.pool.ntp.org
+ 3.amazon.pool.ntp.org
### Verifica la presenza di un proxy HTTP e conferma le impostazioni del gruppo di sicurezza associato
Prima dell'attivazione, verifica se disponi di un proxy HTTP su Amazon EC2 configurato sulla macchina virtuale gateway locale come proxy Squid sulla porta 3128. In questo caso, conferma quanto segue:
+ Il gruppo di sicurezza collegato al proxy HTTP su Amazon EC2 deve avere una regola in entrata. Questa regola in entrata deve consentire il traffico proxy Squid sulla porta 3128 dall'indirizzo IP della macchina virtuale del gateway.
+ Il gruppo di sicurezza collegato all'endpoint VPC di Amazon EC2 deve avere regole in entrata. Queste regole in entrata devono consentire il traffico sulle porte 1026-1028, 1031, 2222 e 443 dall'indirizzo IP del proxy HTTP su Amazon EC2.
## Risolvi gli errori durante l'attivazione del gateway utilizzando un endpoint pubblico e nello stesso VPC è presente un endpoint VPC Storage Gateway
Per risolvere gli errori durante l'attivazione del gateway utilizzando un endpoint pubblico quando è presente un enpoint Amazon Virtual Private Cloud (Amazon VPC) nello stesso VPC, esegui i seguenti controlli e configurazioni.
### Verificare che l'impostazione **Enable Private DNS Name** non sia abilitata sull'endpoint VPC Storage Gateway
Se l'opzione **Abilita nome DNS privato** è abilitata, non è possibile attivare alcun gateway da quel VPC all'endpoint pubblico.
**Per disabilitare l'opzione del nome DNS privato:**
1. Apri la [Console Amazon VPC](https://console.aws.amazon.com//vpc/).
1. Nel pannello di navigazione, seleziona **Endpoint**.
1. Scegli il tuo endpoint VPC Storage Gateway.
1. Scegli **Azioni**.
1. Scegli **Gestisci nomi DNS privati**.
1. Per **Abilita nome DNS privato**, deseleziona **Abilita per questo endpoint**.
1. Scegli **Modifica nomi DNS privati** per salvare l'impostazione.