本指南記載於 2025 年 3 月 13 日發行的新 AWS Wickr 管理主控台。如需 AWS Wickr 管理主控台傳統版本的文件，請參閱[傳統管理指南](https://docs.aws.amazon.com/wickr/latest/adminguide-classic/what-is-wickr.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 故障診斷網路和連線問題
<a name="troubleshoot-network"></a>

本節協助管理員疑難排解 AWS Wickr 的網路和連線問題。最終使用者報告的大多數連線問題是由企業網路組態 （防火牆、代理、VPNs) 封鎖所需的 Wickr 流量所造成。如果本節中的步驟無法解決您的問題，請在[AWS 支援中心](https://console.aws.amazon.com/support/home)開啟案例。

**Topics**
+ [開始之前](#troubleshoot-network-before)
+ [常見的網路問題](#troubleshoot-network-common)
+ [判斷問題的範圍](#troubleshoot-network-scope)
+ [其他資源](#troubleshoot-network-resources)

## 開始之前
<a name="troubleshoot-network-before"></a>

故障診斷之前，請先驗證下列項目：
+ 您可以存取組織的網路組態 （防火牆規則、代理設定、VPN 組態）。
+ 您已檢閱 [Wickr 網路需求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html) （必要的網域和連接埠）。
+ 您已確認問題是否會影響所有使用者、特定使用者或特定位置。
+ 您已確認受影響的使用者是否可以在非企業網路 （行動資料或家用 WiFi) 上連線。

**重要**  
如果使用者可以在行動數據或家用 WiFi 上連線，但不能在公司網路上連線，則問題是您的網路組態，而不是 Wickr 服務。

## 常見的網路問題
<a name="troubleshoot-network-common"></a>

### 防火牆封鎖 Wickr 流量
<a name="troubleshoot-network-firewall"></a>

這是連線失敗最常見的原因。Wickr 需要存取特定網域和連接埠。

徵狀  
使用者無法在公司 WiFi 上連線，但可以在行動數據上連線。相同位置的多個使用者會受到影響。Wickr 先前已運作，但在網路變更後停止。

Resolution  

1. 檢閱 [Wickr 網路需求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)中必要網域和連接埠的完整清單。

1. 允許列出防火牆中所有必要的網域。Wickr 需要 HTTPS (TCP 443) 進行簡訊和訊號傳送，以及 UDP 連接埠進行語音和視訊通話。

1. 從公司網路驗證必要網域的 DNS 解析。使用 `nslookup`或 `dig` 確認網域解析。

1. 進行變更後測試連線能力。讓受影響的使用者重新啟動 Wickr 並嘗試連線。

**注意**  
如果只有語音和視訊通話失敗，但傳訊正常運作，則 UDP 流量可能會遭到封鎖。根據預設，Wickr 會使用 UDP 進行呼叫。請參閱 [UDP 封鎖 （呼叫失敗，傳訊運作正常）](#troubleshoot-network-udp)。

### Proxy 伺服器干擾
<a name="troubleshoot-network-proxy"></a>

公司代理伺服器可能會干擾 Wickr 連線，尤其是不支援 WebSocket 連線的情況。

徵狀  
只有在設定代理時才會發生連線問題。Wickr 會在繞過代理時運作。間歇性中斷連線。

Resolution  

1. 確認您的代理支援 WebSocket 連線 (Wickr 訊息需要）。

1. 為[網路需求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)中列出的 Wickr 網域設定代理繞過 (PAC 檔案例外狀況或直接連線規則）。

1. 檢閱代理日誌是否有與 Wickr 網域的封鎖或失敗連線。

1. 如果您的代理需要身分驗證，請確認 Wickr 流量未因缺少登入資料而遭到拒絕。Wickr 不支援 SaaS 部署上的代理身分驗證。

### SSL/TLS 檢查中斷連線
<a name="troubleshoot-network-ssl"></a>

公司 SSL 檢查 （也稱為 HTTPS 檢查或 TLS 攔截） 會中斷 Wickr 預期的憑證鏈，導致連線失敗。

徵狀  
Wickr 中的憑證錯誤。「安全連線失敗」錯誤。Wickr 可在沒有 SSL 檢查的網路上運作。

Resolution  

1. **偏好：**略過 Wickr 網域的 SSL 檢查。設定您的 SSL 檢查設備以排除[網路需求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)中列出的網域。這會維護 Wickr end-to-end加密。

1. **替代方案：**在使用者裝置上安裝組織的根 CA 憑證。這可讓 Wickr 信任攔截的憑證鏈。如需憑證和安裝說明，請聯絡您的 IT 安全團隊。

若要驗證 SSL 檢查是否為原因，請從受影響的裝置執行下列命令，並將憑證發行者與預期的 AWS 憑證進行比較：

```
openssl s_client -showcerts -connect ingress-prod-calling.wickr.us-east-1.amazonaws.com:443
```

如果憑證發行者顯示組織的 CA，而不是 AWS 或 Amazon 憑證，則 Wickr 流量會啟用 SSL 檢查。

### VPN 封鎖 Wickr
<a name="troubleshoot-network-vpn"></a>

VPN 組態通常會封鎖 Wickr 流量，尤其是呼叫所需的 UDP 連接埠。

徵狀  
Wickr 在沒有 VPN 的情況下運作，但沒有連接 VPN。VPN 連線時，連線會中斷。呼叫失敗，但傳訊可透過 VPN 運作。

Resolution  

1. 設定分割通道，以直接路由[網路需求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)中所列網域的 Wickr 流量 （繞過 VPN 通道）。

1. 如果不允許分割通道，請確保 VPN 允許 TCP 443 和網路需求中列出的 UDP 連接埠。

1. 如果只有呼叫透過 VPN 失敗，VPN 可能會封鎖 UDP。請參閱 [UDP 封鎖 （呼叫失敗，傳訊運作正常）](#troubleshoot-network-udp)。

### UDP 封鎖 （呼叫失敗，傳訊運作正常）
<a name="troubleshoot-network-udp"></a>

Wickr 使用 UDP 進行語音和視訊通話。如果您的網路封鎖 UDP，呼叫將無法立即連線或捨棄，同時訊息會繼續正常運作。

診斷  
要求受影響的使用者啟用 TCP 呼叫做為測試：**設定**、**呼叫**、啟用 **TCP 呼叫**。如果啟用 TCP 時呼叫成功，UDP 會遭到封鎖。

Resolution  
允許列出防火牆和 VPN 組態中[網路需求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)中列出的 UDP 連接埠。  
TCP 呼叫是一種診斷工具，不是永久解決方案。使用 TCP 時，通話品質會降低。

### DNS 解析失敗
<a name="troubleshoot-network-dns"></a>

如果您的 DNS 伺服器無法解析 Wickr 網域，則用戶端無法連線。

診斷  
從受影響網路上的裝置，驗證必要 Wickr 網域的 DNS 解析：  

```
nslookup gw-pro-prod.wickr.com
```
如果網域未解決，問題是 DNS 組態。

Resolution  

1. 確認您的 DNS 伺服器可以解析[網路需求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html)中列出的網域。

1. 如果使用 DNS 篩選或 DNS 防火牆，請新增 Wickr 網域的例外狀況。

1. 使用替代 DNS 伺服器 （例如 `8.8.8.8`) 進行測試，以確認問題是否為您的內部 DNS。

## 判斷問題的範圍
<a name="troubleshoot-network-scope"></a>

使用下列問題來縮小原因範圍：
+ **Wickr 是否適用於行動數據或家用 WiFi？** 如果是，問題是您的公司網路組態。
+ **是否所有使用者都受到影響，或僅影響特定使用者？** 如果某個位置的所有使用者都受到影響，問題是整個網路。如果只有特定使用者，請檢查其裝置或 VPN 組態。
+ **這是否在網路變更後開始？** 防火牆規則更新、代理變更或 VPN 組態變更通常會中斷 Wickr 連線。
+ **訊息是否正常運作，但呼叫失敗？** 這表示 UDP 已封鎖。請參閱 [UDP 封鎖 （呼叫失敗，傳訊運作正常）](#troubleshoot-network-udp)。
+ **使用者是否看到憑證錯誤？** 這表示 SSL 檢查正在攔截 Wickr 流量。請參閱 [SSL/TLS 檢查中斷連線](#troubleshoot-network-ssl)。

## 其他資源
<a name="troubleshoot-network-resources"></a>
+ [AWS Wickr 的網路需求](https://docs.aws.amazon.com//wickr/latest/adminguide/allow-list-ports-domains.html) （必要的網域和連接埠）
+ [最終使用者網路疑難排解](https://docs.aws.amazon.com//wickr/latest/userguide/troubleshoot-network.html) （與受影響的使用者共用）