Devolutions Gateway inaccessible

Bonjour,

Il semblerait que le ID du Gateway stocké dans la base de données ne correspond pas à l'ID inscrit dans le fichier gateway.json.

Veuiller exécuter le requête SQL suivante depuis la base de données de votre DVLS afin d'obtenir l'ID du Gateway.

SELECT [ID]
      ,[Name]
      ,[Description]
  FROM [dbo].[DevolutionsGateway]

Ensuite, remplacé l'ID du fichier gateway.json que vous trouverez dans le dossier C:\ProgramData\Devolutions\Gateway par celui obtenu depuis la requête SQL et ensuite redémarrez le service.

Finalement, vous pourrez à nouveau publier la configuration et la liste de révocation depuis l'interface web de DVLS.

Dites-nous si cela aide à corriger la situation.

Cordialement,

Bonjour.

Effectivement, ça aide quand les IDs sont alignés.
J'ai redéployé la Gateway sur le serveur avec des paramètres sécurisés puis j'ai modifié le fichier JSON.
Redémarrage du service et ça fonctionne.

Je ne l'aurais pas trouvée tout seul celle-là. 😅
Un grand merci à vous.

Le fait que l'ID soit différent vient probablement du fait que l'installation depuis le serveur DVLS ne fonctionne pas. L'installation manuelle du MSI génère bien le fichier JSON.
La question qui reste en suspend c'est : Pourquoi l'installation de la gateway depuis le serveur DVLS en mode "Standalone" ne fonctionne-t-elle pas?

Cordialement,
Alexandre Diez

Bonjour Alexandre,

Le bouton 'Publish Gateway Configuration' aurait normalement dû aligner les IDs pour vous éviter d'avoir à le faire manuellement. Je suis curieux d'essayer de comprendre pourquoi cela ne fonctionnait pas pour vous. Est-ce possible pour vous de ressortir les journeaux (logs) du Gateway afin d'essayer de comprendre à quel endroit l'erreur pouvait survenir ?

Merci beaucoup, au plaisir.

Vincent Forest

Bonjour Vincent.

Si vous me dites exactement quels journeaux vous voudriez consulter et où les trouver, je pourrais aller les chercher et les mettre à disposition.
Je suis curieux de comprendre également.

Cordialement,
Alexandre Diez

Bonjour,

J'ai regardé parmis les listes de correction, et j'ai retrouvé un billet de correction de bogue qui correspond au problème que vous avez rencontré. Le correctif a cependant été apporté dans la version 2023.2.5 et vous semblez être sur la version 2023.2.3. Cela expliquerait donc l'erreur et il s'agit d'un bogue du serveur et n'a rien à voir avec une mauvaise manipulation de votre part.

Cependant, si vous voulez partager les journeaux afin de confirmer, vous pouvez les trouver directement dans la page des Devolutions Gateway =>



(Vous pouvez m'envoyer les journeaux en message privé ou via courriel si vous préférez pour éviter de partager vos données, ou simplement flouer les informations sensibles)

Sinon, pour tenter de répondre à votre autre question concernant l'installation du Gateway, l'installation 'Standalone' installera quand même le service sur la machine à partir de laquelle vous lancez l'installation. Si je comprend bien votre situation, votre console DVLS est installée sur la machine sur laquelle se trouve votre serveur. Donc votre installation 'Standalone' s'est effectué sur cette machine.
Il y a donc effectivement deux alternatives, dont celle que vous avez effectuée (lancer l'installation via le fichier d'installation directement sur la machine sur laquelle vous voulez installer le Gateway) ou encore installer la console DVLS sur la machine sur laquelle vous voulez le Gateway et de cette machine procéder à l'installation 'Standalone'.
L'installation 'Side by side' requiert une instance de serveur DVLS sur la machine pour procéder à l'installation, à la différence de l'installation 'Standalone' qui peut être effectuée sur n'importe quelle machine.

Dites-moi si cela répond à votre question!

Cordialement,

Vincent Forest

Bonjour.

@Vincent, je vous ai envoyé un message avec les logs en ma possession.

Par contre, je n'ai pas bien compris pour le déploiement de la gateway.
Ce que je fait et qui ne fonctionne pas :
Je me connecte au serveur DVLS (MGMT-DVLSP01) et je lance l'assistant d'installation de la gateway en mode "Standalone". Je fais la configuration et l'assistant se termine sans erreur.
Sur le serveur gateway (MGMT-DVLSP02), rien ne s'est passé.
Je m'attendais à ce que le déploiement soit effectué de MGMT-DVLSP01 vers MGMT-DVLSP02.
Quel est l'intéret de cet assistant "Standalone" s'il ne fait rien sur le serveur cible?

Cordialement,
Alexandre Diez

Bonjour Alexandre,

Je ne vois rien d'anormal dans les logs que vous m'avez envoyé. Après avoir fait la manipulation pour modifier l'ID de votre Gateway, vous avez sûrement dû redémarrer votre Gateway et le fichier de log que vous m'avez transmis contient seulement les logs après le redémarrage du service, donc à partir du moment où tout était fonctionnel.
Si vous allez dans le chemin suivant dans votre explorateur de fichier => %ProgramData%/Devolutions/Gateway, vous trouverez d'autres fichiers de logs et il y aura probablement parmis ceux-ci vos logs d'avant la mise à jour de l'ID.

Sinon, pour le déploiement, je vais tenter de l'expliquer différemment.
Dans tous les cas, si vous lancez l'assistant d'installation sur une machine (ex: DVLS (MGMT-DVLSP01)), le Gateway sera installé sur cette machine. Il n'y a aucune façon d'installer un Gateway sur une machine distante via l'assistant d'installation. Vous pouvez voir l'installation 'Side by side' comme étant une installation simplifiée, l'URL ainsi que la paire de clés venant directement du serveur DVLS sur la machine actuelle.
L'installation 'Standalone' ne nécessite pas de serveur DVLS sur la machine sur laquelle vous lancez l'assistant puisque vous pouvez spécifier l'URL ainsi que le fichier de clés à utiliser. Ce type d'installation sert pour des situations comme la vôtre, pour installer un Gateway sur une machine sur laquelle vous n'avez pas de serveur DVLS et est une alternative à utiliser le fichier d'installation .msi comme vous l'avez fait. Vous auriez pu procéder également en installant la console DVLS sur votre machine MGMT-DVLSP02 sans avoir d'instance de serveur DVLS et procéder avec l'installation du Gateway en 'Standalone' sur cette machine. Vous seriez alors parvenu au même résultat qu'en utilisant le fichier d'installation .msi.

Dites-moi si cela clarifie la situation!

Cordialement,

Vincent Forest

Bonjour Vincent.

Effectivement, les fichiers de jounralisation historiques étaient bien présents sur le serveur hébergeant la gateway.
Voici le détail et l'erreur :
2023-09-05T13:06:59.602560Z INFO devolutions_gateway::service: version="2023.2.2"
2023-09-05T13:06:59.602781Z INFO devolutions_gateway: devolutions-gateway service started
2023-09-05T13:06:59.602799Z INFO devolutions_gateway: args: ["DevolutionsGateway"]
2023-09-05T13:06:59.603372Z INFO devolutions_gateway::service: JRL file doesn't exist (path: C:\ProgramData\Devolutions\Gateway\jrl.json). Starting with an empty JRL (JWT Revocation List).
2023-09-05T13:06:59.603449Z INFO devolutions_gateway::listener: Initiating listener… url=https://[::]:7171/
2023-09-05T13:06:59.603751Z INFO devolutions_gateway::listener: Listener started successfully kind=Https addr=[::]:7171
2023-09-05T13:06:59.603802Z INFO devolutions_gateway::listener: Initiating listener… url=https://0.0.0.0:7171/
2023-09-05T13:06:59.603830Z INFO devolutions_gateway::listener: Listener started successfully kind=Https addr=0.0.0.0:7171
2023-09-05T13:06:59.603839Z INFO devolutions_gateway::listener: Initiating listener… url=tcp://[::]:8181
2023-09-05T13:06:59.603901Z INFO devolutions_gateway::listener: Listener started successfully kind=Tcp addr=[::]:8181
2023-09-05T13:06:59.603909Z INFO devolutions_gateway::listener: Initiating listener… url=tcp://0.0.0.0:8181
2023-09-05T13:06:59.603934Z INFO devolutions_gateway::listener: Listener started successfully kind=Tcp addr=0.0.0.0:8181
2023-09-05T13:08:15.745661Z ERROR listener{url=https://0.0.0.0:7171/}:https{client=X.X.X.X:54487}:request{method=GET path=/jet/heartbeat}: devolutions_gateway::http: error=401 Unauthorized at devolutions-gateway\src\middleware\auth.rs:122:18 [source: gateway ID scope mismatch]
2023-09-05T13:08:15.757831Z ERROR listener{url=https://0.0.0.0:7171/}:https{client=X.X.X.X:54489}:request{method=PATCH path=/jet/config}: devolutions_gateway::http: error=401 Unauthorized at devolutions-gateway\src\middleware\auth.rs:122:18 [source: gateway ID scope mismatch]
2023-09-05T13:09:03.171595Z INFO devolutions_gateway: Received control code: Stop
2023-09-05T13:09:03.171645Z INFO devolutions_gateway::service: Stopping gateway service
2023-09-05T13:09:03.172400Z INFO devolutions_gateway: devolutions-gateway service stopping

Ca n'explique pas trop pourquoi l'ID n'était pas correct cela dit.

Je vous remercie pour l'explication détaillée quant à l'installation de la gateway.
La procédure en ligne que j'ai suivi n'est pas assez clair à mon sens. Je n'avais pas compris qu'il fallait que j'installe une instance de la console DVLS sur le serveur de gateway pour y éxecuter l'assistant.
En tout état de cause, c'est réglé et fonctionnel.

Je vous remercie tout deux pour votre aide et votre retour.

Cordialement,
Alexandre Diez

Bonjour,

Merci pour les logs, cela semble en effet provenir du bogue qui a été corrigé sur la version 2023.2.5 de DVLS.
L'installation que vous avez faites directement avec le fichier .msi est tout aussi valide, il s'agit d'une alternative possible afin d'installer en mode hors-ligne.
Je vais laisser une note à mes collègues à la documentation afin de voir pour clarifier et mettre à jour cette page de documentation pour éviter les ambiguités à l'avenir.

Au plaisir,

Vincent Forest

Bonjour.

Petite mise à jour pour clarifier les choses.

Pour commencer, j'ai effectué la mise à jour du serveur DVLS avec la dernière version. Soit la 2023.2.6.
Sur base de nos échanges, je me suis rendu compte que la gestion à long terme de la gateway sera difficile en mode standalone avec une installation MSI uniquement. Dans la mesure ou l'assistant d'installation de la gateway ne fourni pas d'interface graphique après l'installation, je ne sais pas comment renouveler le certificat ou le jeu de clés publique/privée du serveur.

Du coup, j'ai installé la console DVLS sur MGMT-DVLSP02 (Serveur gateway donc) et j'ai lancé l'installation de la gateway via l'interface graphique. D'ailleurs, n'ayant pas d'instance de serveur DVLS sur cette machine, le compagnon ne me propose que de faire une installation "Standalone".
J'ai configuré la gateway puis l'ai ajoutée dans la console Web du serveur DVLS.
Après l'ajout de la gateway et de la licence, l'ID étant en phase et la gateway a fonctionné directement sans que j'ai à "chipoter".

Pour le coup, maintenant, la procédure me parait claire. Elle est testée et validée.

De mon point de vue, la documentation relative à l'installation de la gateway manque de clarté et n'est pas intuitive.

En tout cas, encore merci pour votre retour et votre aide.

Cordialement,
Alexandre Diez

Bonjour.

Merci encore une fois pour votre retour, cela nous aidera à rectifier la situation. Effectivement, avec une installation sans console, faire la gestion du Gateway par la suite devient un peu plus compliqué, il faudrait directement modifier les fichiers dans le répertoire du Gateway sur le disque.

Je suis ravi de voir que l'installation via la console s'est bien déroulée pour vous, merci encore pour votre rétroaction, je vais voir à ce que la page de documentation soit clarifiée. N'hésitez pas si vous avez des points précis que vous aimeriez voir modifiés, je pourrai alors référencer ce fil de discussion pour les modifications à apporter.

Au plaisir,

Vincent Forest

Bonjour Alexandre,

La documentation d'installation du Devolutions Gateway a été mise à jour.

https://docs.devolutions.net/server/dgw/server-configuration/

J'espère qu'elle est maintenant plus claire pour vous et qu'elle évite toute ambiguïté. Je vous invite à la consulter et à nous laisser un retour s'il y a encore des parties qui ne vous sembles pas suffisament précises!

Au plaisir,

Vincent Forest

Bonjour Vincent.

La modifications de la procédure d'installation pour le mode Standalone me parait plus claire. C'est, en substance, la procédure que j'ai suivi.

Il y a un dernier petit détail concernant la configuration du firewall pour accéder à la Gateway.
Sur votre blog, j'ai trouvé cet article très intéressant.
Devolutions Blog

On y décrit le flux de données pour établir les connexions mais on n'y décrit pas la configuration à faire dans les firewalls pour que cela fonctionne en interne comme depuis Internet.

Néanmoins, j'ai tout configuré dans mes firewalls et cela fonctionne comme un charme.

Est-ce qu'il y a un article qui explique les flux et l'utilité/fonctionnement des différents composants (URI en https, TCP7171 et TCP8181) ?

Merci beaucoup plus les adaptations et le suivi.

Cordialement,
Alexandre Diez

Bonjour,

Il n'y a présentement pas de documentation à ce sujet. Je vais créer un billet auprès de l'équipe de documentation, mais je ne peux pas m'avancer sur une date de publication.

Au plaisir,

Vincent Forest

Bonjour Alexandre,

En attendant le supplément de documentation, je peux vous indiquer les ports utilisés par RDM et DVLS.

Devolutions Server va utiliser le port du Access URI (habituellement 443 ou 7171) pour le bilan de santé (health check) et la configuration initiale.

RDM va utiliser le port 7171 et 8181 pour se connecter au Gateway. Par exemple, une session de site web qui utilise le Gateway va prendre le port 7171. Même chose si vous utilisez l’enregistrement par le Devolutions Gateway. Le port 8181 est utilisé par les sessions, par exemple RDP.

Cordialement,