Les problèmes FTP/SSL dans MOVEit Transfer ont la plupart du temps pour origine l'une des quatre configurations suivantes :
Configuration du serveur FTPS dans MOVEit Transfer
Configuration IPSec dans MOVEit Transfer
Configuration du pare-feu
Configuration du client
Pour diagnostiquer les problèmes FTP, il est préférable de commencer par essayer de reproduire le problème en utilisant un client (par ex. MOVEit Freely) installé sur le serveur MOVEit Transfer lui-même. Ce faisant, vous écartez à la fois la stratégie « IPSec » et « le réseau ». Si vous n'observez aucun problème avec ce client local, essayez ensuite un client installé sur le même segment (soumis à IPSec, mais pas au pare-feu), et enfin un client installé sur un segment « externe » (soumis à IPSec et au pare-feu).
ATTENTION : pour éviter toute utilisation abusive hors surveillance, désinstallez tout client utilisé sur l'hôte MOVEit Transfer après avoir terminé la procédure de résolution.
Problèmes les plus courants
Les problèmes les plus courants ont généralement pour explication l'une des conditions suivantes :
Pare-feu « FTP Aware » (points de contrôle, par exemple) interférant dans l'établissement de la liaison en mode FTPS explicite.
Certificats incorrectement exportés/importés depuis des serveurs existants.
Règles de pare-feu manquantes pour les ports de données ou FTPS en mode implicite.
Règles IPSec manquantes pour les ports de données ou FTPS en mode implicite.
Clients configurés pour utiliser le mode actif ou pour utiliser le mode implicite sur le mauvais port.
Serveurs s'exécutant sans le mode implicite activé.
Serveurs s'exécutant derrière un périphérique NAT sans aucun masque NAT configuré.
Ce document couvre le diagnostic et la correction de ces problèmes ainsi que divers autres.
Conseils pour la résolution des problèmes
Veillez à toujours débuter votre routine de dépannage avec une copie de MOVEit Freely temporairement installée sur la même machine que MOVEit Transfer. L'utilisation d'un client local permet d'écarter les pare-feu, les routeurs et autres périphériques réseau, ce qui est simplifie grandement la résolution du problème lorsque ces éléments ne sont pas « coupables ».
Tout au long de cette section, les termes « client local » et « client distant » sont utilisés pour désigner respectivement un « client FTPS installé sur le serveur MOVEit Transfer » et un « client FTPS installé sur un autre ordinateur ».
Par ailleurs, notez que vous pourrez être amené à réaliser différentes opérations sur différents périphériques pour que vos modifications prennent effet. Par exemple :
Vous devrez DÉMARRER et ARRÊTER le service FTP MOVEit Transfer après vos modifications via l'utilitaire de configuration de MOVEit Transfer.
Vous devrez désattribuer les stratégies IPSec puis les réattribuer si vous les modifiez.
Vous aurez peut-être à actualiser votre pare-feu en cas de modifications portant sur celui-ci.
Vous devrez probablement fermer et rouvrir des connexions en cas de modifications côté client.
Symptômes courants et solutions habituelles
Le délai d'attente expire pour le client local lors de sa connexion à l'hôte local en mode EXPLICITE.
Assurez-vous que le serveur FTP MOVEit Transfer fonctionne correctement.
Ouvrez le panneau de configuration Services et vérifiez que le service FTP MOVEit Transfer est bien démarré.
Ouvrez l'application MOVEit Transfer Config et assurez-vous que le port explicite est défini sur 21.
Exécutez un « netstat -a -n » à partir de la ligne de commande et vérifiez que « Local Address=0.0.0.0:21 » est bien à l'état « LISTENING » (ÉCOUTE).
Le délai d'attente expire pour le client local lors de sa connexion à l'hôte local en mode IMPLICITE.
Assurez-vous que le serveur FTP MOVEit Transfer fonctionne correctement.
Ouvrez le panneau de configuration Services et vérifiez que le service FTP MOVEit Transfer est bien démarré.
Ouvrez l'application MOVEit Transfer Config et assurez-vous que le port implicite est défini sur 990.
Exécutez un « netstat -a -n » à partir de la ligne de commande et vérifiez que « Local Address=0.0.0.0:990 » est bien à l'état « LISTENING ».
Le client local affiche une erreur « Handshake Failed » (Échec d'établissement de la liaison) lors de sa connexion.
Vérifiez la configuration de votre client :
Vous devez accéder au PORT 21 si vous utilisez le mode EXPLICITE.
Vous devez accéder au PORT 990 si vous utilisez le mode IMPLICITE.
Si le certificat a été exporté à partir d'un serveur sécurisé existant :
Examinez le fichier journal du serveur FTP. Si vous voyez un message « not loaded » (non chargé) dans la partie supérieure du fichier, vous utilisez probablement un certificat qui a été importé sans sa clé privée.
Suivrez à la lettre les étapes indiquées dans les « Server Certificate Export/Import Instructions » (Instructions pour l'exportation/importation de certificats serveur).
Si vous remplacez un certificat existant ou si avez installé plusieurs certificats :
Examinez le fichier journal du serveur FTP. Si vous voyez un message « expired » (expiré) dans la partie supérieure du fichier, vous utilisez probablement un certificat incorrect pour FTP. (Choisissez le certificat le plus récent/le plus applicable.)
Ouvrez l'application MOVEit Transfer Config et resélectionnez votre certificat. (Onglet Certificats FTP)
DÉMARREZ/ARRÊTEZ le service FTP MOVEit Transfer.
Le client local affiche un message « 530 Error Accessing 'http://myhost/machine.aspx' » (530 Erreur lors de l'accès à http://myhost/machine.aspx) ou une autre erreur d'authentification peu commune après la connexion.
Ouvrez l'application MOVEit Transfer Config et assurez-vous que le paramétrage est le suivant :
CONSEIL : vous pouvez généralement utiliser l'utilitaire MOVEit Transfer Check pour isoler/résoudre ce genre de problème, car il affectera tous les utilisateurs de la même manière !
Le délai d'attente expire pour le client distant lors de sa connexion à MOVEitDMZ en mode EXPLICITE.
Examinez tout d'abord si le même problème d'expiration se produit avec un client local.
Assurez-vous que le port TCP 21 est ouvert en mode « AnyIP, AnyPort to MyIP » (Toute adresse IP, tout port vers mon adresse IP) sur votre ou vos pare-feu.
Assurez-vous que le port TCP 21 est ouvert en mode « AnyIP, AnyPort to MOVEitDMZ » (Toute adresse IP, tout port vers MOVEitDMZ) sur votre ou vos pare-feu.
Le délai d'attente expire pour le client distant lors de sa connexion à MOVEitDMZ en mode IMPLICITE.
Examinez tout d'abord si le même problème d'expiration se produit avec un client local.
Assurez-vous que le port TCP 990 est ouvert en mode « AnyIP, AnyPort to MyIP » (Toute adresse IP, tout port vers mon adresse IP) sur votre ou vos pare-feu.
Assurez-vous que le port TCP 990 est ouvert en mode « AnyIP, AnyPort to MOVEitDMZ » (Toute adresse IP, tout port vers MOVEitDMZ) sur votre ou vos pare-feu.
Le client distant affiche une erreur « Handshake Failed » (Échec d'établissement de la liaison) lors de sa connexion en mode EXPLICITE.
Examinez tout d'abord si le même problème d'établissement de liaison se produit avec un client local.
Si le problème ne se produit pas avec un client local, mais survient inévitablement avec un client distant, un pare-feu « FTP Aware » est probablement présent entre le client distant et MOVEit Transfer. Les pare-feu « FTP Aware » fonctionnent bien avec un FTP non sécurisé, mais entravent souvent le processus « d'amorçage » SSL des FTP sécurisés en mode explicite.
Utilisez dès lors le mode implicite.
Le client distant affiche une erreur « Handshake Failed » (Échec d'établissement de la liaison) lors de sa connexion en mode IMPLICITE.
Examinez tout d'abord si le même problème d'établissement de liaison se produit avec un client local.
Vérifiez la configuration de votre client : vous devez accéder au PORT 990, et non au port 21.
Un nom d'utilisateur et un mot de passe qui fonctionnent lorsqu'ils sont utilisés depuis un client local sont rejetés depuis un client distant.
Ouvrez l'interface Web de MOVEit Transfer (connectez-vous en tant qu'administrateur) et...
Vérifiez les paramètres d'accès à distance de l'utilisateur. (Des paramètres personnalisés ou des paramètres par défaut autorisant et empêchant l'accès depuis certaines adresses IP peuvent être utilisés.)
Vérifiez les paramètres de verrouillage d'adresses IP de l'organisation. (Cette adresse IP peut avoir été verrouillée et peut nécessiter une réinitialisation.)
Le client distant reçoit une erreur « Passive Mode Required » (Mode passif requis).
Activez le mode passif ou le mode « Firewall Friendly » (Compatible pare-feu) dans la configuration de votre client FTPS.
Le client distant reçoit une erreur « Bad Certificate » (Mauvais certificat).
Configurez votre client FTPS pour qu'il utilise le nom d'hôte « ordinaire » de votre serveur MOVEit Transfer (p. ex., moveit.stdnet.com) plutôt que son adresse IP.
Mettez à niveau votre certificat serveur vers un certificat de « production », ou ...
...installez ce certificat (et peut-être sa CA parente) sur le PC client.
Le client distant reçoit une erreur « Non-Trusted Certificate » (Certificat non approuvé).
Configurez votre client FTPS pour qu'il se connecte au serveur MOVEit Transfer en utilisant son NOM D'HÔTE et non son adresse IP.
Le client distant signale une erreur « Cannot Create Security Credentials » (Impossible de créer des authentifiants de sécurité) sous Windows 95 ou 98.
Les anciennes versions de Windows 95 et 98 peuvent ne pas disposer de la prise en charge SSL/TLS requise pour exécuter des clients FTPS. Microsoft fournit un programme qui contient les mises à niveau nécessaires avec Windows 2000, baptisé dsclient.exe. (Ce fichier est également disponible auprès d'Ipswich.) Ce programme doit être installé sur le poste du client distant (redémarrage nécessaire).
Le client distant ne peut pas transférer de fichiers et/ou afficher le contenu des dossiers après s'être connecté avec succès.
Information : les opérations de transfert de fichiers et d'affichage du contenu des répertoires utilisent des connexions de données FTPS. Dans 95 % des cas, les soucis rencontrés dans les opérations de transfert de fichiers et de consultation de répertoires sont dus à des problèmes de connectivité impliquant ces connexions de données.
Vérifiez les journaux du client pour voir si le serveur renvoie un message « Passive Mode Required » (Mode passif requis) et prenez au besoin les mesures appropriées.
Vérifiez votre configuration FTP MOVEit Transfer :
Restreignez la plage de ports passifs de 3000 à 3003
Vérifiez votre stratégie IPSec (filtres de règle FTP)
Autorisez le trafic TCP en mode « AnyIP, AnyPort to MyIP » (Toute adresse IP, tout port vers mon adresse IP) pour les ports 3000-3003
Vérifiez vos règles de pare-feu
Autorisez le trafic TCP en mode « AnyIP, AnyPort to MOVEitDMZ » (Toute adresse IP, tout port vers MOVEitDMZ) pour les ports 3000-3003
Vérifiez la configuration de votre client
Activez le mode de transfert passif (c'est-à-dire "Firewall Friendly" - Compatible pare-feu)
Vérifiez les journaux du client et examinez le contenu du message « 227 Entering Passive Mode (208,212,86,143,11,186) » (227 Entrée en mode passif (208,212,86,143,11,186)).
Les QUATRE PREMIÈRES valeurs numériques visibles dans le corps du message correspondent à l'adresse IP à laquelle le client distant tente de connecter ses canaux de données (p. ex., 208,212,86,143,... signifie que je suis en train d'essayer de me connecter à l'adresse 208.212.86.143).
Si cette adresse IP est DIFFÉRENTE de l'adresse IP à laquelle se connecte normalement le client (à savoir 10.1.1.2), nous sommes probablement en présence d'un problème NAT. Reportez-vous à la page Serveur FTP - Configuration de ce manuel pour obtenir des informations sur la façon de configurer un masque NAT dans l'application MOVEit Transfer Config. (L'utilisation de masques NAT permettra à votre serveur FTP d'envoyer les bonnes adresses IP « 227 » aux machines situées à l'intérieur et à l'extérieur de vos limites NAT.)
Les DEUX DERNIÈRES valeurs numériques visibles dans le corps du message désignent le port TCP auquel le client distant tente de connecter ses canaux de données (p. ex., « ... 11186 »). Pour convertir ces valeurs en numéro de port significatif, multipliez le premier nombre par 256 et ajoutez le deuxième nombre. (à savoir, (11 x 256) + 186 = Port 3002)
Ce numéro de port doit se situer dans la plage des ports passifs que vous avez configurée sur MOVEit Transfer FTP. Au besoin, vérifiez que la case Restrict (Restreindre) est bien cochée en regard de cette plage dans l'application MOVEit Transfer Config.
Remarque : certains clients distants, en ligne de commande notamment, positionnent correctement les utilisateurs finals dans leur propre dossier de base. Certains autres, en interface graphique notamment, positionnent en revanche l'utilisateur final dans le dossier « racine ».
Information : Le FTP MOVEit Transfer positionne généralement les utilisateurs finals dans leur répertoire de base chaque fois qu'ils se connectent. Malheureusement, le client ne respecte parfois pas ce comportement, et de nombreux clients Windows essaient automatiquement de faire un « cd » à la racine (\) lors de la connexion, quel que soit l'endroit où le serveur FTP les a initialement positionnés.
Configurez les clients en interface graphique pour qu'ils respectent votre répertoire de base, ou...
Utilisez le paramètre de niveau utilisateur « CHROOT » de MOVEit Transfer pour verrouiller les utilisateurs sur leur dossier de base ou leur dossier par défaut.
Erreurs courantes dans le journal de débogage
Les erreurs suivantes dans le journal de débogage du FTP MOVEit Transfer signalent généralement des problèmes de configuration spécifiques.
« 530 Rejected--secure connection required » (503 Rejeté--connexion sécurisée requise) Ce message indique qu'un client FTP a tenté de se connecter sans utiliser SSL alors qu'une connexion SSL était nécessaire.
« Connection security error: Failed to receive secure data. - SSL negotiation failed: Security handshake failed. - A client certificate is required. » (Erreur de sécurité de connexion : échec de réception de données sécurisées. - La négociation SSL a échoué : échec d'établissement d'une liaison sécurisée - Un certificat client est nécessaire). Ce message indique qu'un client FTP/SSL a tenté de se connecter sans certificat client alors que le serveur FTP a été configuré pour en exiger un.
« Connection security error: Error 0x800b0109 (CERT_E_UNTRUSTEDROOT) returned by CertVerifyCertificateChainPolicy! - Connection security error: Error authenticating security credentials - SSL negotiation failed: Failed to verify the certificate trust. » (Erreur 0x800b0109 (CERT_E_UNTRUSTEDROOT) renvoyée par CertVerifyCertificateChainPolicy! - Erreur de sécurité de connexion : erreur lors de la vérification des authentifiants de sécurité - La négociation SSL a échoué : impossible de vérifier l'approbation du certificat.) Ce message indique que le certificat client communiqué par le client FTP/SSL ne remonte jusqu'à aucune CA dans le Magasin des certificats racines de confiance Microsoft.
Aide supplémentaire
Pour obtenir davantage d'aide, reportez-vous à la base de connaissances disponible sur notre site d'assistance à l'adresse http://www.ipswitch.com/support.
