トラブルシューティング: Storage Gateway のアクティベーション中に内部エラーが発生しました - AWS Storage Gateway

Amazon S3 File Gateway のドキュメントは、「What is Amazon S3 File Gateway?」に移動しました。

Amazon FSx File Gateway のドキュメントは、「What is Amazon FSx File Gateway?」に移動しました。

ボリュームゲートウェイのドキュメントは、「What is Volume Gateway?」に移動しました。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

トラブルシューティング: Storage Gateway のアクティベーション中に内部エラーが発生しました

Storage Gateway のアクティベーションリクエストは、2 つのネットワークパスを通過します。クライアントから送信された受信アクティベーションリクエストは、ポート 80 を介してゲートウェイの仮想マシン (VM) または Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続します。ゲートウェイがアクティベーションリクエストを正常に受信すると、ゲートウェイは Storage Gateway エンドポイントと通信してアクティベーションキーを受け取ります。ゲートウェイが Storage Gateway エンドポイントに到達できない場合、ゲートウェイはクライアントに内部エラーメッセージを返します。

次のトラブルシューティング情報を使用して、 をアクティブ化しようとしたときに内部エラーメッセージが表示された場合の対処方法を決定します AWS Storage Gateway。

注記
  • 必ず最新の仮想マシンイメージファイルまたは Amazon マシンイメージ (AMI) バージョンを使用して新しいゲートウェイをデプロイしてください。古い AMI を使用するゲートウェイをアクティブ化しようとすると、内部エラーが発生します。

  • AMI をダウンロードする前に、デプロイする予定の正しいゲートウェイタイプを選択してください。ゲートウェイタイプごとに .ova ファイルと AMIs は異なり、置き換えもできません。

パブリックエンドポイントを使用してゲートウェイをアクティブ化する際のエラーを解決する

パブリックエンドポイントを使用してゲートウェイをアクティブ化するときにアクティベーションエラーを解決するには、次のチェックと設定を実行します。

必要なポートを確認する

オンプレミスにデプロイされたゲートウェイの場合は、ローカルファイアウォールでポートが開いていることを確認します。Amazon EC2 インスタンスにデプロイされたゲートウェイの場合は、インスタンスのセキュリティグループでポートが開いていることを確認します。ポートが開いていることを確認するには、サーバーからパブリックエンドポイントで telnet コマンドを実行します。このサーバーは、ゲートウェイと同じサブネットに存在する必要があります。例えば、次の telnet コマンドはポート 443 への接続をテストします。

telnet d4kdq0yaxexbo.cloudfront.net 443 telnet storagegateway.region.amazonaws.com 443 telnet dp-1.storagegateway.region.amazonaws.com 443 telnet proxy-app.storagegateway.region.amazonaws.com 443 telnet client-cp.storagegateway.region.amazonaws.com 443 telnet anon-cp.storagegateway.region.amazonaws.com 443

ゲートウェイ自体がエンドポイントに到達できることを確認するには、ゲートウェイのローカル VM コンソール (オンプレミスにデプロイされたゲートウェイ用) にアクセスします。または、ゲートウェイのインスタンス (Amazon EC2 にデプロイされたゲートウェイの場合) に SSH 接続することもできます。次に、ネットワーク接続テストを実行します。テストが を返すことを確認します[PASSED]。詳細については、」「ゲートウェイの」「ゲートウェイのインターネット接続のテスト」を参照してください。

注記

ゲートウェイコンソールのデフォルトのログインユーザー名は でadmin、デフォルトのパスワードは ですpassword

ファイアウォールセキュリティがゲートウェイからパブリックエンドポイントに送信されたパケットを変更しないようにする

SSL 検査、ディープパケットインスペクション、またはその他の形式のファイアウォールセキュリティは、ゲートウェイから送信されるパケットを妨げる可能性があります。アクティベーションエンドポイントが期待するものから SSL 証明書が変更されると、SSL ハンドシェイクは失敗します。進行中の SSL 検査がないことを確認するには、ポート 443 のメインアクティベーションエンドポイント (anon-cp.storagegateway.region.amazonaws.com) で OpenSSL コマンドを実行します。このコマンドは、ゲートウェイと同じサブネットにあるマシンから実行する必要があります。

$ openssl s_client -connect anon-cp.storagegateway.region.amazonaws.com:443 -servername anon-cp.storagegateway.region.amazonaws.com
注記

region を に置き換えます AWS リージョン。

進行中の SSL 検査がない場合、コマンドは次のようなレスポンスを返します。

$ openssl s_client -connect anon-cp.storagegateway.us-east-2.amazonaws.com:443 -servername anon-cp.storagegateway.us-east-2.amazonaws.com CONNECTED(00000003) depth=2 C = US, O = Amazon, CN = Amazon Root CA 1 verify return:1 depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon verify return:1 depth=0 CN = anon-cp.storagegateway.us-east-2.amazonaws.com verify return:1 --- Certificate chain 0 s:/CN=anon-cp.storagegateway.us-east-2.amazonaws.com i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon 1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon i:/C=US/O=Amazon/CN=Amazon Root CA 1 2 s:/C=US/O=Amazon/CN=Amazon Root CA 1 i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2 3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2 i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority ---

進行中の SSL 検査がある場合、レスポンスには次のような変更された証明書チェーンが表示されます。

$ openssl s_client -connect anon-cp.storagegateway.ap-southeast-1.amazonaws.com:443 -servername anon-cp.storagegateway.ap-southeast-1.amazonaws.com CONNECTED(00000003) depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.ap-southeast-1.amazonaws.com i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com ---

アクティベーションエンドポイントは、SSL 証明書を認識する場合にのみ SSL ハンドシェイクを受け入れます。つまり、エンドポイントへのゲートウェイのアウトバウンドトラフィックは、ネットワーク内のファイアウォールによって実行される検査から除外する必要があります。これらの検査には、SSL 検査またはディープパケット検査があります。

ゲートウェイの時刻同期を確認する

時間スキューが多すぎると、SSL ハンドシェイクエラーが発生する可能性があります。オンプレミスゲートウェイの場合、ゲートウェイのローカル VM コンソールを使用して、ゲートウェイの時刻同期を確認できます。タイムスキューは 60 秒以下にする必要があります。詳細については、」、同期」、「ゲートウェイ VM 」を参照してください。

システム時間管理オプションは、Amazon EC2 インスタンスでホストされているゲートウェイでは使用できません。Amazon EC2 ゲートウェイが時間を適切に同期できるようにするには、Amazon EC2 インスタンスがポート UDP および TCP 123 を介して次の NTP サーバープールリストに接続できることを確認します。

  • 0.amazon.pool.ntp.org

  • 1.amazon.pool.ntp.org

  • 2.amazon.pool.ntp.org

  • 3.amazon.pool.ntp.org

Amazon VPC エンドポイントを使用してゲートウェイをアクティブ化する際のエラーを解決する

Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを使用してゲートウェイをアクティブ化する際のアクティベーションエラーを解決するには、次のチェックと設定を実行します。

必要なポートを確認する

ローカルファイアウォール (オンプレミスにデプロイされたゲートウェイの場合) またはセキュリティグループ (Amazon EC2 にデプロイされたゲートウェイの場合) 内の必要なポートが開いていることを確認します。ゲートウェイを Storage Gateway VPC エンドポイントに接続するために必要なポートは、ゲートウェイをパブリックエンドポイントに接続するときに必要なポートとは異なります。Storage Gateway VPC エンドポイントに接続するには、次のポートが必要です。

  • TCP 443

  • TCP 1026

  • TCP 1027

  • TCP 1028

  • TCP 1031

  • TCP 2222

詳細については、「の作成 用の VPC エンドポイントの作成」「Storage Gateway 用の 」を参照してください。

さらに、Storage Gateway VPC エンドポイントにアタッチされているセキュリティグループを確認します。エンドポイントにアタッチされているデフォルトのセキュリティグループでは、必要なポートが許可されない場合があります。必要なポートを介したゲートウェイの IP アドレス範囲からのトラフィックを許可する新しいセキュリティグループを作成します。次に、そのセキュリティグループを VPC エンドポイントにアタッチします。

注記

Amazon VPC コンソールを使用して、VPC エンドポイントにアタッチされているセキュリティグループを確認します。コンソールから Storage Gateway VPC エンドポイントを表示し、セキュリティグループタブを選択します。

必要なポートが開いていることを確認するには、Storage Gateway VPC エンドポイントで telnet コマンドを実行します。これらのコマンドは、ゲートウェイと同じサブネットにあるサーバーから実行する必要があります。アベイラビリティーゾーンを指定しない最初の DNS 名でテストを実行できます。例えば、次の telnet コマンドは、DNS 名 vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com を使用して必要なポート接続をテストします。

telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 443 telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1026 telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1027 telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1028 telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1031 telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 2222

ファイアウォールセキュリティがゲートウェイから Storage Gateway Amazon VPC エンドポイントに送信されたパケットを変更しないようにする

SSL 検査、ディープパケットインスペクション、またはその他の形式のファイアウォールセキュリティは、ゲートウェイから送信されるパケットを妨げる可能性があります。アクティベーションエンドポイントが期待するものから SSL 証明書が変更されると、SSL ハンドシェイクは失敗します。進行中の SSL 検査がないことを確認するには、Storage Gateway VPC エンドポイントで OpenSSL コマンドを実行します。このコマンドは、ゲートウェイと同じサブネットにあるマシンから実行する必要があります。必要なポートごとに コマンドを実行します。

$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:443 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com $ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1026 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com $ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com $ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1028 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com $ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1031 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com $ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:2222 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com

進行中の SSL 検査がない場合、コマンドは次のようなレスポンスを返します。

openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com CONNECTED(00000005) depth=2 C = US, O = Amazon, CN = Amazon Root CA 1 verify return:1 depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon verify return:1 depth=0 CN = anon-cp.storagegateway.us-east-1.amazonaws.com verify return:1 --- Certificate chain 0 s:CN = anon-cp.storagegateway.us-east-1.amazonaws.com i:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon 1 s:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon i:C = US, O = Amazon, CN = Amazon Root CA 1 2 s:C = US, O = Amazon, CN = Amazon Root CA 1 i:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2 3 s:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2 i:C = US, O = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority ---

進行中の SSL 検査がある場合、レスポンスには次のような変更された証明書チェーンが表示されます。

openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com CONNECTED(00000005) depth=2 C = US, O = Amazon, CN = Amazon Root CA 1 verify return:1 depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon verify return:1 depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.us-east-1.amazonaws.com verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.us-east-1.amazonaws.com i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com ---

アクティベーションエンドポイントは、SSL 証明書を認識する場合にのみ SSL ハンドシェイクを受け入れます。つまり、必要なポートを介したゲートウェイのアウトバウンドトラフィックは、ネットワークファイアウォールによって実行される検査から除外されます。これらの検査には、SSL 検査やディープパケット検査などがあります。

ゲートウェイの時刻同期を確認する

時間スキューが多すぎると、SSL ハンドシェイクエラーが発生する可能性があります。オンプレミスゲートウェイの場合、ゲートウェイのローカル VM コンソールを使用して、ゲートウェイの時刻同期を確認できます。タイムスキューは 60 秒以下にする必要があります。詳細については、同期」、「ゲートウェイ VM 」を参照してください。

システム時間管理オプションは、Amazon EC2 インスタンスでホストされているゲートウェイでは使用できません。Amazon EC2 ゲートウェイが時間を適切に同期できるようにするには、Amazon EC2 インスタンスがポート UDP および TCP 123 を介して次の NTP サーバープールリストに接続できることを確認します。

  • 0.amazon.pool.ntp.org

  • 1.amazon.pool.ntp.org

  • 2.amazon.pool.ntp.org

  • 3.amazon.pool.ntp.org

HTTP プロキシをチェックし、関連するセキュリティグループ設定を確認する

アクティブ化する前に、オンプレミスゲートウェイ VM でポート 3128 の Squid プロキシとして Amazon EC2 の HTTP プロキシが設定されているかどうかを確認します。この場合、次の点を確認します。

  • Amazon EC2 の HTTP プロキシにアタッチされたセキュリティグループには、インバウンドルールが必要です。このインバウンドルールでは、ゲートウェイ VM の IP アドレスからのポート 3128 での Squid プロキシトラフィックを許可する必要があります。

  • Amazon EC2 VPC エンドポイントにアタッチされたセキュリティグループには、インバウンドルールが必要です。これらのインバウンドルールでは、Amazon EC2 の HTTP プロキシの IP アドレスからのポート 1026-1028、1031、2222、および 443 でのトラフィックを許可する必要があります。 Amazon EC2

パブリックエンドポイントを使用してゲートウェイをアクティブ化し、同じ VPC に Storage Gateway VPC エンドポイントがある場合のエラーの解決

同じ VPC に Amazon Virtual Private Cloud (Amazon VPC) エンドポイントがある場合にパブリックエンドポイントを使用してゲートウェイをアクティブ化する際のエラーを解決するには、次のチェックと設定を実行します。

Storage Gateway VPC エンドポイントでプライベート DNS 名を有効にする設定が有効になっていないことを確認する

プライベート DNS 名を有効にするが有効になっている場合、その VPC からパブリックエンドポイントへのゲートウェイをアクティブ化することはできません。

プライベート DNS 名オプションを無効にするには:
  1. Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[エンドポイント] を選択します。

  3. Storage Gateway VPC エンドポイントを選択します。

  4. [アクション] を選択します。

  5. プライベート DNS 名の管理を選択します

  6. プライベート DNS 名を有効にする でこのエンドポイントの有効化 を選択します。

  7. プライベート DNS 名の変更を選択して設定を保存します。