Skip to main content

Documentation technique Olfeo SaaS

Utiliser les diagnostics embarqués

Présentation générale

Parce que parfois, vos utilisateurs peuvent avoir des problèmes de connectivité (au réseau, à internet, à notre plateforme) l'Agent de poste dispose d'une fonctionnalité de diagnostics embarqués pour vous aider à identifier l'origine d'un problème de connectivité.

Lorsque vous lancez les diagnostics embarqués, l'Agent effectue alors les tests suivants :

  1. une vérification de la présence du fichier de configuration et des certificats d'autorité nécessaires au déchiffrement TLS dans le dossier de l'Agent

  2. une vérification de la bonne disponibilité sur le poste lui-même des ports TCP du routeur et du proxy

  3. une vérification de la connectivité TCP sur les points d'entrée du proxy distant pour valider l'absence de blocage TCP (pare-feux, portails captifs)

  4. Une vérification de la connectivité TCP et HTTPS, authentifiée de bout en bout à une mire publique, en passant par notre plateforme

Enfin, il inspecte le contenu du jeton d'identification et affiche différentes informations :

  • Sa date de création

  • Le cas échéant :

    • la date de dernière invalidation

    • Le motif de dernière invalidation

Lancer les diagnostics embarqués
  1. Faites un clic (droit ou gauche) sur l'icone de l'Agent de poste dans le systray sous WIndows (ou la barre des tâches de macOS).

    launch_embedded-diagnostics_macOS.png
    launch_embedded-diagnostics_windows.png
  2. Dans le menu qui s'affiche, cliquez sur Diagnostics

  3. Les résultats s'affichent dans une page de navigateur peu de temps après

    embeed_diags_results_all_ok.png

    Le résultat du diagnostic est logué dans les journaux d'évènements de l'Agent. En cas d'erreur, n'hésitez pas à vous y référer pour identifier le code d'erreur et comprendre son détail.

Comprendre le résultat des diagnostics embarqués

Les principales situations que vous pourrez rencontrer sont les suivantes :

TCP Proxy Externe affiche "failed to reach address" ou "timeout" ?

La résolution DNS a pu être faite mais la requête n'a pu aboutir. C'est généralement le signe d'un blocage par un pare-feu ou de la présence d'un portail captif sur lequel l'utilisateur n'est pas authentifié.

  • Si votre utilisateur est dans votre réseau interne, commencez par vérifier vos réglages de pare-feux

  • Si votre utilisateur est en situation de nomadisme (hôtel, café ou autre) une authentification sur le portail captif local est surement requise pour accéder à Internet.

N'hésitez pas à regarder le journal d'évènements pour obtenir plus d'informations

TCP Proxy Externe affiche : "failed to resolve DNS" ?

La requête DNS pour atteindre la mire n'a pu être résolue. C'est généralement le signe d'une absence de connexion à un réseau (wifi ou ethernet) ou d'une connexion très instable. Assure-vous que le poste soit bien connecté à un réseau stable.

Tout est OK mais "Connectivité e2e" affiche "failed to access internet through proxy (authentication may have failed)" ?

L'Agent accède bien en et TCP et HTTPS aux points de terminaison de la plateforme mais les requêtes sont refusées, probablement en raison d'un échec ou d'une absence d'authentification préalable sur votre IDP.

Configuration ou Certificate affichent "timeout" ?

Le test pour lire ces fichiers a pris trop de temps (>1sec) - cela peut se produire en conjonction avec d'autres erreurs et ne veut pas dire qu'il y ait nécessairement un problème.

Liste complète des erreurs possibles des diagnostics embarqués
Tableau 4. Retours possibles des diagnostics embarqués

Test

Message du log

Signification

Conduite à tenir

TCP: Proxy Externe

Failed to resolve DNS

le DNS n'a pu être résolu

Aucun serveur DNS n'a pu être contacté : l'utilisateur est probablement pas connecté à un réseau wifi/éthernet (ou le serveur DNS de ce réseau a un problème).

Failed to reach address: timeout

La durée allouée au traitement de la requête pour atteindre le proxy distant a été dépassé

Un dispositif empêche la requête TCP d'aboutir- vérifiez la bonne ouverture des ports/destinations de vos pare-feux (ou l'absence de pare-feu) ou l'absence de portail captif ou de proxy TCP autre empêchant votre utilisateur d'établir une connexion TCP vers notre proxy distant.

Failed to reach address: network error

Une erreur réseau a été détectée en tentant de contacter le proxy distant

Failed to reach address: unknown error

Une erreur inconnue a été détectée en tenant de contacter la mire

Essayez de changer de réseau, à défaut de redémarrer l'Agent ou le poste.

Certificat

Certificate does not exist

Le certificat d'autorité Olfeo SaaS ne peut être ouvert, est absent du dossier ou ne peut être décodé

Vérifiez que le certificat est bien présent et s'il est présent que l'Agent dispose bien des droits appropriés (RWX).

Supprimez (s'il est présent) le certificat d'autorité Olfeo SaaS et relancez le service de l'Agent (ou redémarrez le poste).

Certificate expired

Le certificat d'autorité Olfeo SaaS est expiré

Supprimez (s'il est présent) le certificat d'autorité Olfeo SaaS et relancez le service de l'Agent (ou redémarrez le poste).

Certificate is not valid yet, check clock

Le certificat d'autorité a une date de début de validité située dans le futur

Vérifiez que l'horloge du poste est bien synchronisée avec le réseau (NTP)

Configuration

Config file does not exist

Le fichier de configuration ne peut être ouvert ou est absent du dossier.

Désinstallez et réinstallez l'Agent de poste.

Config file invalid

Le fichier de configuration est illisible

Le fichier de configuration n'est pas au format attendu

Invalid config

Le contenu du fichier de configuration ne correspond pas au modèle attendu

Connectivité e2e

Failed to access internet through proxy (authentication may have failed)

La requête à la mire, authentifiée en HTTPS en passant par le proxy distant n'a pas abouti.

Aucune réponse n'a été reçue de la part d'Olfeo SaaS : vérifiez l'absence de blocages par un pare-feu ou un portail captif et la bonne authentification de votre utilisateur.

Invalid response status

Le statut de la réponse HTTP n'est pas 200

Vérifiez le statut de l(utilisateur dans votre annuaire et dans l'annuaire Olfeo SaaS (desactivé, supprimé etc.).

tous

timeout

La réponse au test a dépassé la durée allouée (1s).



Comprendre les informations relatives au jeton d'identification

Par mesure de sécurité, le jeton d'identification dispose d'une durée de vie définie et est donc périodiquement renouvelé (voir les principes de fonctionnement de l'Agent pour plus de détails).

Toutefois, dans certains cas de figure, il se peut que le jeton soit rendu invalide, corrompu, effacé sur le poste de votre utilisateur ou que le jeton soit invalidé par la plateforme suite à son expiration (cas le plus fréquent) ou suite à un changement de contexte de l'utilisateur (changement de groupe ou de statut dans votre annuaire par ex.) ou encore suite à une altération de son contenu.

Dans ces cas là, l'Agent de poste redirige votre utilisateur vers la page d'authentification de votre IDP et vous affichera le motif de dernière invalidation dans les diagnostics embarqués si vous les affichez.