文書番号: 000071365
Dell VxRail: ESXi Root-konto er låst i 900 sekunder, efter at loginforsøg mislykkedes
概要: Denne artikel indeholder en løsning, når fjernadgang for ESXi's lokale brugerkontorod låses i 900 sekunder efter mislykkede loginforsøg. Opret forbindelse til iDRAC-konsollen for at få adgang til ESXi-shellen, og kør derefter nulstillingskommandoen. ...
文書の内容
現象
Rodkontoen for en eller flere ESXi-værter er låst på grund af flere mislykkede loginforsøg.
Der kan ikke oprettes forbindelse til noden ved hjælp af SSH eller webbrugergrænsefladen.
Bekræft problemet ved hjælp af iDRAC-konsollen til ESXi-shellen.
I vCenter vises en advarselsmeddelelse i stil med følgende:
Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.
Figur 1: Fjernadgang er låst.
Logfiler, der ligner følgende, findes på den berørte vært:
/var/log/vobd.log
2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
/var/log/auth.log
2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40 user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]
原因
Rodadgangskoden til noden er muligvis blevet ændret, men tredjepartsovervågningssoftwaren er ikke blevet opdateret med den nye rodadgangskode.
Dette medfører flere mislykkede logins (nogle gange hundreder eller endda tusinder). Dette låser rodkontoen i 15 minutter, hvilket fører til manglende evne til at SSH til noden eller logge ind på nodens webbrugergrænseflade.
Du kan logge på via DCUI- og ESXi-shellen.
Fra og med vSphere 6.0 understøttes kontolåsning for adgang via SSH og via vSphere Web Services SDK. DCUI (Direct Console Interface) og ESXi Shell understøtter ikke låsning af konto. Som standard tillades maksimalt fem mislykkede forsøg, før kontoen låses. Kontoen låses op efter 15 minutter som standard.
Dette medfører flere mislykkede logins (nogle gange hundreder eller endda tusinder). Dette låser rodkontoen i 15 minutter, hvilket fører til manglende evne til at SSH til noden eller logge ind på nodens webbrugergrænseflade.
Du kan logge på via DCUI- og ESXi-shellen.
Fra og med vSphere 6.0 understøttes kontolåsning for adgang via SSH og via vSphere Web Services SDK. DCUI (Direct Console Interface) og ESXi Shell understøtter ikke låsning af konto. Som standard tillades maksimalt fem mislykkede forsøg, før kontoen låses. Kontoen låses op efter 15 minutter som standard.
解決方法
Sådan løses problemet:
Figur 2: ESXi-kommandoer og -output
- Opret forbindelse til iDRAC-konsollen og derefter til ESXi-shellen.
- Aktivér shell'en ved at logge på DCUI og aktivere ESXi-shellen under fejlfindingsindstillinger.
- Du kan også lave en
Cntrl-Alt-F1for at få adgang til skallen. - Når du har oprettet forbindelse til ESXi-shellen, skal du køre kommandoerne nedenfor. Outputtet skal matche skærmbilledet nedenfor, bortset fra at posten "Fra" siger "ukendt".
#pam_tally2 --user root #pam_tally2 --user root --reset #pam_tally2 --user root
Figur 2: ESXi-kommandoer og -output
- Når du har kørt ovenstående kommandoer, skal du logge på ESXi-nodens webbrugergrænseflade.
- Gå til Overvåg og derefter Begivenheder. Du bør se en IP-adresse, der forsøgte at logge på, som er angivet som mislykket.
- Du skal identificere programmet ud fra den IP-adresse, der er angivet her. Stop det enten, eller konfigurer det med de korrekte legitimationsoplysninger.
その他の情報
Du kan finde flere oplysninger i VMware-artiklen ESXi-adgangskoder og kontospærring
Se denne video om ESXi Break Fix Lås root-brugerkontoen op.
Varighed: 00:04:56 (hh:mm:ss)
Når sprogindstillingerne for undertekster er tilgængelige, kan du vælge sprogindstillinger for undertekster ved hjælp af ikonet Indstillinger eller CC på denne videoafspiller.
Relaterede ressourcer
Her er nogle anbefalede ressourcer relateret til dette emne, som kunne være af interesse:
- Nulstilling af rodadgangskoden til Dell VxRail Manager
- Bedste praksis for konto og adgangskode i Dell VxRail
- Dell VxRail: Kan ikke logge på vCenter med fejl 500 SSO. PSC&VC-certifikater udløb og kunne ikke fornyes.
- Genstart af administrationsagenterne i VMware ESXi for at løse oprettelsen af virtuelle maskiner mislykkes muligvis, fordi agenten ikke kan hente indstillinger for VM-oprettelse fra værten
文書のプロパティ
影響を受ける製品
VxRail, VxRail E560F
製品
VxRail E560F
最後に公開された日付
14 6月 2024
バージョン
13
文書の種類
Solution