Utiliser les diagnostics embarqués
Présentation générale
Parce que parfois, vos utilisateurs peuvent avoir des problèmes de connectivité (au réseau, à internet, à notre plateforme) l'Agent de poste dispose d'une fonctionnalité de diagnostics embarqués pour vous aider à identifier l'origine d'un problème de connectivité.
Lorsque vous lancez les diagnostics embarqués, l'Agent effectue alors les tests suivants :
une vérification de la présence du fichier de configuration et des certificats d'autorité nécessaires au déchiffrement TLS dans le dossier de l'Agent
une vérification de la bonne disponibilité sur le poste lui-même des ports TCP du routeur et du proxy
une vérification de la connectivité TCP sur les points d'entrée du proxy distant pour valider l'absence de blocage TCP (pare-feux, portails captifs)
Une vérification de la connectivité TCP et HTTPS, authentifiée de bout en bout à une mire publique, en passant par notre plateforme
Enfin, il inspecte le contenu du jeton d'identification et affiche différentes informations :
Sa date de création
Le cas échéant :
la date de dernière invalidation
Le motif de dernière invalidation
Lancer les diagnostics embarqués
Faites un clic (droit ou gauche) sur l'icone de l'Agent de poste dans le systray sous WIndows (ou la barre des tâches de macOS).
Dans le menu qui s'affiche, cliquez sur Diagnostics
Les résultats s'affichent dans une page de navigateur peu de temps après
Le résultat du diagnostic est logué dans les journaux d'évènements de l'Agent. En cas d'erreur, n'hésitez pas à vous y référer pour identifier le code d'erreur et comprendre son détail.
Comprendre le résultat des diagnostics embarqués
Les principales situations que vous pourrez rencontrer sont les suivantes :
TCP Proxy Externe affiche "failed to reach address" ou "timeout" ?
La résolution DNS a pu être faite mais la requête n'a pu aboutir. C'est généralement le signe d'un blocage par un pare-feu ou de la présence d'un portail captif sur lequel l'utilisateur n'est pas authentifié.
Si votre utilisateur est dans votre réseau interne, commencez par vérifier vos réglages de pare-feux
Si votre utilisateur est en situation de nomadisme (hôtel, café ou autre) une authentification sur le portail captif local est surement requise pour accéder à Internet.
N'hésitez pas à regarder le journal d'évènements pour obtenir plus d'informations
TCP Proxy Externe affiche : "failed to resolve DNS" ?
La requête DNS pour atteindre la mire n'a pu être résolue. C'est généralement le signe d'une absence de connexion à un réseau (wifi ou ethernet) ou d'une connexion très instable. Assure-vous que le poste soit bien connecté à un réseau stable.
Tout est OK mais "Connectivité e2e" affiche "failed to access internet through proxy (authentication may have failed)" ?
L'Agent accède bien en et TCP et HTTPS aux points de terminaison de la plateforme mais les requêtes sont refusées, probablement en raison d'un échec ou d'une absence d'authentification préalable sur votre IDP.
Configuration ou Certificate affichent "timeout" ?
Le test pour lire ces fichiers a pris trop de temps (>1sec) - cela peut se produire en conjonction avec d'autres erreurs et ne veut pas dire qu'il y ait nécessairement un problème.
Liste complète des erreurs possibles des diagnostics embarqués
Test | Message du log | Signification | Conduite à tenir |
---|---|---|---|
TCP: Proxy Externe | Failed to resolve DNS | le DNS n'a pu être résolu | Aucun serveur DNS n'a pu être contacté : l'utilisateur est probablement pas connecté à un réseau wifi/éthernet (ou le serveur DNS de ce réseau a un problème). |
Failed to reach address: timeout | La durée allouée au traitement de la requête pour atteindre le proxy distant a été dépassé | Un dispositif empêche la requête TCP d'aboutir- vérifiez la bonne ouverture des ports/destinations de vos pare-feux (ou l'absence de pare-feu) ou l'absence de portail captif ou de proxy TCP autre empêchant votre utilisateur d'établir une connexion TCP vers notre proxy distant. | |
Failed to reach address: network error | Une erreur réseau a été détectée en tentant de contacter le proxy distant | ||
Failed to reach address: unknown error | Une erreur inconnue a été détectée en tenant de contacter la mire | Essayez de changer de réseau, à défaut de redémarrer l'Agent ou le poste. | |
Certificat | Certificate does not exist | Le certificat d'autorité Olfeo SaaS ne peut être ouvert, est absent du dossier ou ne peut être décodé | Vérifiez que le certificat est bien présent et s'il est présent que l'Agent dispose bien des droits appropriés (RWX). Supprimez (s'il est présent) le certificat d'autorité Olfeo SaaS et relancez le service de l'Agent (ou redémarrez le poste). |
Certificate expired | Le certificat d'autorité Olfeo SaaS est expiré | Supprimez (s'il est présent) le certificat d'autorité Olfeo SaaS et relancez le service de l'Agent (ou redémarrez le poste). | |
Certificate is not valid yet, check clock | Le certificat d'autorité a une date de début de validité située dans le futur | Vérifiez que l'horloge du poste est bien synchronisée avec le réseau (NTP) | |
Configuration | Config file does not exist | Le fichier de configuration ne peut être ouvert ou est absent du dossier. | Désinstallez et réinstallez l'Agent de poste. |
Config file invalid | Le fichier de configuration est illisible | ||
Le fichier de configuration n'est pas au format attendu | |||
Invalid config | Le contenu du fichier de configuration ne correspond pas au modèle attendu | ||
Connectivité e2e | Failed to access internet through proxy (authentication may have failed) | La requête à la mire, authentifiée en HTTPS en passant par le proxy distant n'a pas abouti. | Aucune réponse n'a été reçue de la part d'Olfeo SaaS : vérifiez l'absence de blocages par un pare-feu ou un portail captif et la bonne authentification de votre utilisateur. |
Invalid response status | Le statut de la réponse HTTP n'est pas 200 | Vérifiez le statut de l(utilisateur dans votre annuaire et dans l'annuaire Olfeo SaaS (desactivé, supprimé etc.). | |
tous | timeout | La réponse au test a dépassé la durée allouée (1s). |
Comprendre les informations relatives au jeton d'identification
Par mesure de sécurité, le jeton d'identification dispose d'une durée de vie définie et est donc périodiquement renouvelé (voir les principes de fonctionnement de l'Agent pour plus de détails).
Toutefois, dans certains cas de figure, il se peut que le jeton soit rendu invalide, corrompu, effacé sur le poste de votre utilisateur ou que le jeton soit invalidé par la plateforme suite à son expiration (cas le plus fréquent) ou suite à un changement de contexte de l'utilisateur (changement de groupe ou de statut dans votre annuaire par ex.) ou encore suite à une altération de son contenu.
Dans ces cas là, l'Agent de poste redirige votre utilisateur vers la page d'authentification de votre IDP et vous affichera le motif de dernière invalidation dans les diagnostics embarqués si vous les affichez.