View a markdown version of this page

故障診斷網路和連線問題 - AWS Wickr
開始之前常見的網路問題判斷問題的範圍其他資源

本指南記載於 2025 年 3 月 13 日發行的新 AWS Wickr 管理主控台。如需 AWS Wickr 管理主控台傳統版本的文件,請參閱傳統管理指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

故障診斷網路和連線問題

本節協助管理員疑難排解 AWS Wickr 的網路和連線問題。最終使用者報告的大多數連線問題是由企業網路組態 (防火牆、代理、VPNs) 封鎖所需的 Wickr 流量所造成。如果本節中的步驟無法解決您的問題,請在AWS 支援中心開啟案例。

開始之前

故障診斷之前,請先驗證下列項目:

  • 您可以存取組織的網路組態 (防火牆規則、代理設定、VPN 組態)。

  • 您已檢閱 Wickr 網路需求 (必要的網域和連接埠)。

  • 您已確認問題是否會影響所有使用者、特定使用者或特定位置。

  • 您已確認受影響的使用者是否可以在非企業網路 (行動資料或家用 WiFi) 上連線。

重要

如果使用者可以在行動數據或家用 WiFi 上連線,但不能在公司網路上連線,則問題是您的網路組態,而不是 Wickr 服務。

常見的網路問題

防火牆封鎖 Wickr 流量

這是連線失敗最常見的原因。Wickr 需要存取特定網域和連接埠。

徵狀

使用者無法在公司 WiFi 上連線,但可以在行動數據上連線。相同位置的多個使用者會受到影響。Wickr 先前已運作,但在網路變更後停止。

Resolution

  1. 檢閱 Wickr 網路需求中必要網域和連接埠的完整清單。

  2. 允許列出防火牆中所有必要的網域。Wickr 需要 HTTPS (TCP 443) 進行簡訊和訊號傳送,以及 UDP 連接埠進行語音和視訊通話。

  3. 從公司網路驗證必要網域的 DNS 解析。使用 nslookupdig 確認網域解析。

  4. 進行變更後測試連線能力。讓受影響的使用者重新啟動 Wickr 並嘗試連線。

注意

如果只有語音和視訊通話失敗,但傳訊正常運作,則 UDP 流量可能會遭到封鎖。根據預設,Wickr 會使用 UDP 進行呼叫。請參閱 UDP 封鎖 (呼叫失敗,傳訊運作正常)

Proxy 伺服器干擾

公司代理伺服器可能會干擾 Wickr 連線,尤其是不支援 WebSocket 連線的情況。

徵狀

只有在設定代理時才會發生連線問題。Wickr 會在繞過代理時運作。間歇性中斷連線。

Resolution

  1. 確認您的代理支援 WebSocket 連線 (Wickr 訊息需要)。

  2. 網路需求中列出的 Wickr 網域設定代理繞過 (PAC 檔案例外狀況或直接連線規則)。

  3. 檢閱代理日誌是否有與 Wickr 網域的封鎖或失敗連線。

  4. 如果您的代理需要身分驗證,請確認 Wickr 流量未因缺少登入資料而遭到拒絕。Wickr 不支援 SaaS 部署上的代理身分驗證。

SSL/TLS 檢查中斷連線

公司 SSL 檢查 (也稱為 HTTPS 檢查或 TLS 攔截) 會中斷 Wickr 預期的憑證鏈,導致連線失敗。

徵狀

Wickr 中的憑證錯誤。「安全連線失敗」錯誤。Wickr 可在沒有 SSL 檢查的網路上運作。

Resolution

  1. 偏好:略過 Wickr 網域的 SSL 檢查。設定您的 SSL 檢查設備以排除網路需求中列出的網域。這會維護 Wickr end-to-end加密。

  2. 替代方案:在使用者裝置上安裝組織的根 CA 憑證。這可讓 Wickr 信任攔截的憑證鏈。如需憑證和安裝說明,請聯絡您的 IT 安全團隊。

若要驗證 SSL 檢查是否為原因,請從受影響的裝置執行下列命令,並將憑證發行者與預期的 AWS 憑證進行比較:

openssl s_client -showcerts -connect ingress-prod-calling.wickr.us-east-1.amazonaws.com:443

如果憑證發行者顯示組織的 CA,而不是 AWS 或 Amazon 憑證,則 Wickr 流量會啟用 SSL 檢查。

VPN 封鎖 Wickr

VPN 組態通常會封鎖 Wickr 流量,尤其是呼叫所需的 UDP 連接埠。

徵狀

Wickr 在沒有 VPN 的情況下運作,但沒有連接 VPN。VPN 連線時,連線會中斷。呼叫失敗,但傳訊可透過 VPN 運作。

Resolution

  1. 設定分割通道,以直接路由網路需求中所列網域的 Wickr 流量 (繞過 VPN 通道)。

  2. 如果不允許分割通道,請確保 VPN 允許 TCP 443 和網路需求中列出的 UDP 連接埠。

  3. 如果只有呼叫透過 VPN 失敗,VPN 可能會封鎖 UDP。請參閱 UDP 封鎖 (呼叫失敗,傳訊運作正常)

UDP 封鎖 (呼叫失敗,傳訊運作正常)

Wickr 使用 UDP 進行語音和視訊通話。如果您的網路封鎖 UDP,呼叫將無法立即連線或捨棄,同時訊息會繼續正常運作。

診斷

要求受影響的使用者啟用 TCP 呼叫做為測試:設定呼叫、啟用 TCP 呼叫。如果啟用 TCP 時呼叫成功,UDP 會遭到封鎖。

Resolution

允許列出防火牆和 VPN 組態中網路需求中列出的 UDP 連接埠。

TCP 呼叫是一種診斷工具,不是永久解決方案。使用 TCP 時,通話品質會降低。

DNS 解析失敗

如果您的 DNS 伺服器無法解析 Wickr 網域,則用戶端無法連線。

診斷

從受影響網路上的裝置,驗證必要 Wickr 網域的 DNS 解析:

nslookup gw-pro-prod.wickr.com

如果網域未解決,問題是 DNS 組態。

Resolution

  1. 確認您的 DNS 伺服器可以解析網路需求中列出的網域。

  2. 如果使用 DNS 篩選或 DNS 防火牆,請新增 Wickr 網域的例外狀況。

  3. 使用替代 DNS 伺服器 (例如 8.8.8.8) 進行測試,以確認問題是否為您的內部 DNS。

判斷問題的範圍

使用下列問題來縮小原因範圍:

  • Wickr 是否適用於行動數據或家用 WiFi? 如果是,問題是您的公司網路組態。

  • 是否所有使用者都受到影響,或僅影響特定使用者? 如果某個位置的所有使用者都受到影響,問題是整個網路。如果只有特定使用者,請檢查其裝置或 VPN 組態。

  • 這是否在網路變更後開始? 防火牆規則更新、代理變更或 VPN 組態變更通常會中斷 Wickr 連線。

  • 訊息是否正常運作,但呼叫失敗? 這表示 UDP 已封鎖。請參閱 UDP 封鎖 (呼叫失敗,傳訊運作正常)

  • 使用者是否看到憑證錯誤? 這表示 SSL 檢查正在攔截 Wickr 流量。請參閱 SSL/TLS 檢查中斷連線

其他資源