本指南记录了 2025 年 3 月 13 日发布的全新 AWS Wickr 管理控制台。有关经典版 AWS Wickr 管理控制台的文档，请参阅[经典管理指南](https://docs.aws.amazon.com/wickr/latest/adminguide-classic/what-is-wickr.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 对网络和连接问题进行故障排除
<a name="troubleshoot-network"></a>

本部分帮助管理员解决使用 AWS Wickr 的网络和连接问题。最终用户报告的大多数连接问题是由企业网络配置（防火墙、代理、VPN）阻塞所需的 Wickr 流量造成的。如果本节中的步骤无法解决您的问题，请在 Support Cent [er 中AWS 提交](https://console.aws.amazon.com/support/home)案例。

**Topics**
+ [开始前的准备工作](#troubleshoot-network-before)
+ [常见的网络问题](#troubleshoot-network-common)
+ [确定问题的范围](#troubleshoot-network-scope)
+ [其他资源](#troubleshoot-network-resources)

## 开始前的准备工作
<a name="troubleshoot-network-before"></a>

在进行故障排除之前，请验证以下各项：
+ 您可以访问组织的网络配置（防火墙规则、代理设置、VPN 配置）。
+ 您已经查看了 [Wickr 网络要求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)（必需的域和端口）。
+ 您已确认问题是否影响到所有用户、特定用户或特定位置。
+ 您已确认受影响的用户是否可以在非公司网络（蜂窝网络或家庭网络 WiFi）上进行连接。

**重要**  
如果用户可以通过蜂窝数据或家庭网络进行连接， WiFi 但不能通过公司网络进行连接，则问题在于您的网络配置，而不是 Wickr 服务。

## 常见的网络问题
<a name="troubleshoot-network-common"></a>

### 防火墙阻止 Wickr 流量
<a name="troubleshoot-network-firewall"></a>

这是导致连接失败的最常见原因。Wickr 需要访问特定的域和端口。

症状  
用户无法在公司上连接 WiFi ，但可以通过蜂窝数据进行连接。同一位置的多个用户会受到影响。Wickr 以前工作过，但在网络变更后停了下来。

解决方案  

1. 在 [Wickr 的网络要求中查看所需域和端口的](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)完整列表。

1. 将防火墙中所有必需的域名列入白名单。Wickr 需要 HTTPS (TCP 443) 来发送消息和信令，需要使用 UDP 端口进行语音和视频通话。

1. 在公司网络中验证所需域的 DNS 解析。使用`nslookup`或`dig`确认域名已解析。

1. 进行更改后测试连通性。让受影响的用户重启 Wickr 并尝试连接。

**注意**  
如果只有语音和视频通话失败但消息传递正常，那么 UDP 流量可能会被阻止。默认情况下，Wickr 使用 UDP 进行通话。请参阅[UDP 已阻止（通话失败，消息正常）](#troubleshoot-network-udp)。

### 代理服务器干扰
<a name="troubleshoot-network-proxy"></a>

公司代理服务器可能会干扰 Wickr 连接，尤其是在它们不支持 WebSocket 连接的情况下。

症状  
只有在配置代理时才会出现连接问题。绕过代理时，Wickr 可以正常工作。间歇性断开连接。

解决方案  

1. 验证您的代理是否支持 WebSocket 连接（Wickr 消息传递所必需的）。

1. 为[网络要求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)中列出的 Wickr 域配置代理绕过（PAC 文件例外或直接连接规则）。

1. 查看代理日志，了解与 Wickr 域的连接是否受阻或失败。

1. 如果您的代理需要身份验证，请确认 Wickr 流量没有因为缺少凭据而被拒绝。Wickr 不支持在 SaaS 部署上进行代理身份验证。

### SSL/TLS 检查断开连接
<a name="troubleshoot-network-ssl"></a>

企业 SSL 检查（也称为 HTTPS 检查或 TLS 拦截）破坏了 Wickr 所期望的证书链，从而导致连接失败。

症状  
Wickr 中的证书错误。“安全连接失败” 错误。Wickr 可以在没有 SSL 检查的网络上运行。

解决方案  

1. **首选：**绕过 Wickr 域名的 SSL 检查。将 SSL 检查设备配置为排除[网络要求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)中列出的域。这样可以维持 Wickr 的端到端加密。

1. **备选方案：**在用户设备上安装贵组织的根 CA 证书。这允许 Wickr 信任截获的证书链。请联系您的 IT 安全团队获取证书和安装说明。

要验证 SSL 检查是否是 SSL 检查的原因，请在受影响的设备上运行以下命令，并将证书颁发者与预期的 AWS 证书进行比较：

```
openssl s_client -showcerts -connect ingress-prod-calling.wickr.us-east-1.amazonaws.com:443
```

如果证书颁发者显示的是贵组织的 CA 而不是 AWS 或 Amazon 证书，则会对 Wickr 流量进行 SSL 检查。

### VPN 封锁 Wickr
<a name="troubleshoot-network-vpn"></a>

VPN 配置通常会阻止 Wickr 流量，尤其是呼叫所需的 UDP 端口。

症状  
Wickr 在没有 VPN 的情况下工作，但在连接 VPN 的情况下却无法运行。VPN 连接时连接中断。通话失败，但通过 VPN 可以发送消息。

解决方案  

1. [配置分割隧道以直接路由 Wickr 流量（绕过 VPN 隧道）网络要求中列出的域。](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)

1. 如果不允许分割隧道，请确保 VPN 同时允许 TCP 443 和网络要求中列出的 UDP 端口。

1. 如果只有呼叫通过 VPN 进行故障转移，则 VPN 可能会阻止 UDP。请参阅[UDP 已阻止（通话失败，消息正常）](#troubleshoot-network-udp)。

### UDP 已阻止（通话失败，消息正常）
<a name="troubleshoot-network-udp"></a>

Wickr 使用 UDP 进行语音和视频通话。如果您的网络阻止 UDP，则呼叫将无法连接或立即中断，而消息传递将继续正常工作。

诊断  
要求受影响的用户启用 TCP 呼叫作为测试：**设置**、**呼叫**、启用 **TCP 呼叫**。如果在启用 TCP 的情况下呼叫成功，则会阻止 UDP。

解决方案  
将防火墙和 VPN 配置中[网络要求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)中列出的 UDP 端口列入许可名单。  
TCP 调用是一种诊断工具，而不是永久解决方案。使用 TCP 时，通话质量会降低。

### DNS 解析失败
<a name="troubleshoot-network-dns"></a>

如果您的 DNS 服务器无法解析 Wickr 域，则客户端将无法连接。

诊断  
在受影响网络上的设备上，验证所需 Wickr 域的 DNS 解析：  

```
nslookup gw-pro-prod.wickr.com
```
如果域名无法解析，则问题出在 DNS 配置上。

解决方案  

1. 验证您的 DNS 服务器能否解析[网络要求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)中列出的域。

1. 如果使用 DNS 过滤或 DNS 防火墙，请为 Wickr 域添加例外情况。

1. 使用备用 DNS 服务器（例如`8.8.8.8`）进行测试，以确认问题是否出在您的内部 DNS 上。

## 确定问题的范围
<a name="troubleshoot-network-scope"></a>

使用以下问题来缩小原因范围：
+ **Wickr 能处理蜂窝数据还是家庭 WiFi数据？** 如果是，则问题出在您的公司网络配置上。
+ **是所有用户都受到影响，还是只有特定用户受到影响？** 如果某个地点的所有用户都受到影响，则问题出在整个网络范围内。如果只有特定用户，请检查他们的设备或 VPN 配置。
+ **这是在网络变更之后开始的？** 防火墙规则更新、代理更改或 VPN 配置更改通常会中断 Wickr 连接。
+ **消息可以正常工作但通话失败了吗？** 这表示 UDP 已被阻止。请参阅[UDP 已阻止（通话失败，消息正常）](#troubleshoot-network-udp)。
+ **用户会看到证书错误吗？** 这表明 SSL 检查正在拦截 Wickr 流量。请参阅[SSL/TLS 检查断开连接](#troubleshoot-network-ssl)。

## 其他资源
<a name="troubleshoot-network-resources"></a>
+ [AWS Wickr 的网络要求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)（必需的域和端口）
+ [End-user 网络疑难解答](https://docs.aws.amazon.com//wickr/latest/userguide/troubleshoot-network.html)（与受影响的用户共享）