文書番号: 000071365
Dell VxRail: A conta de raiz do ESXi está bloqueada durante 900 segundos após as tentativas de início de sessão falharem
概要: Este artigo fornece uma resolução quando o acesso remoto para a raiz da conta de utilizador local ESXi está bloqueado durante 900 segundos após tentativas de início de sessão falhadas. Conecte-se ao console do iDRAC para acessar o shell do ESXi e, em seguida, execute o comando de redefinição. ...
文書の内容
現象
A conta raiz de um ou mais anfitriões ESXi está bloqueada devido a várias tentativas de início de sessão falhadas.
Não é possível conectar-se ao nó usando SSH ou a interface do usuário da Web.
Confirme o problema utilizando a consola iDRAC para a shell do ESXi.
No vCenter, é apresentada uma mensagem de aviso semelhante à seguinte:
Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.
Figura 1: O acesso remoto está bloqueado.
Logs semelhantes aos seguintes serão encontrados no host afetado:
/var/log/vobd.log
2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
/var/log/auth.log
2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40 user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]
原因
A senha de root para o nó pode ter sido alterada, mas o software de monitoramento de terceiros não foi atualizado com a nova senha de root.
Isso causa vários logins falhados (às vezes centenas ou até milhares). Isso bloqueia a conta raiz por 15 minutos, o que leva à incapacidade de SSH no nó ou login na interface do usuário da Web do nó.
Pode iniciar sessão através da DCUI e da shell do ESXi.
A partir do vSphere 6.0, o bloqueio de conta é suportado para acesso através do SSH e do vSphere Web Services SDK. A Interface do console direto (DCUI) e o Shell do ESXi não são compatíveis com o bloqueio de conta. Por predefinição, são permitidas no máximo cinco tentativas falhadas antes de a conta ser bloqueada. Por padrão, a conta é desbloqueada após 15 minutos.
Isso causa vários logins falhados (às vezes centenas ou até milhares). Isso bloqueia a conta raiz por 15 minutos, o que leva à incapacidade de SSH no nó ou login na interface do usuário da Web do nó.
Pode iniciar sessão através da DCUI e da shell do ESXi.
A partir do vSphere 6.0, o bloqueio de conta é suportado para acesso através do SSH e do vSphere Web Services SDK. A Interface do console direto (DCUI) e o Shell do ESXi não são compatíveis com o bloqueio de conta. Por predefinição, são permitidas no máximo cinco tentativas falhadas antes de a conta ser bloqueada. Por padrão, a conta é desbloqueada após 15 minutos.
解決方法
Para resolver esse problema:
Figura 2: Comandos e resultado do ESXi
- Ligue-se à consola iDRAC e depois à shell do ESXi.
- Habilite o shell fazendo login no DCUI e habilitando o shell ESXi nas opções de solução de problemas.
- Você também pode fazer um
Cntrl-Alt-F1para acessar o shell. - Depois de se conectar ao shell do ESXi, execute os comandos abaixo. A saída deve corresponder à captura de tela abaixo, exceto a entrada "De" diz "desconhecido".
#pam_tally2 --user root #pam_tally2 --user root --reset #pam_tally2 --user root
Figura 2: Comandos e resultado do ESXi
- Depois de executar os comandos acima, inicie sessão na IU Web do nó ESXi.
- Acesse Monitor e, em seguida, Events. Você deve ver um endereço IP que estava tentando fazer log-in listado como "Failed".
- Você deve identificar o aplicativo com base no endereço IP listado aqui. Interrompa-o ou configure-o com as credenciais corretas.
その他の情報
Para obter mais informações, consulte o artigo da VMware ESXi Passwords and Account Lockout
Veja este vídeo no ESXi Break Fix Desbloquear conta de utilizador root.
Duração: 00:04:56 (hh:mm:ss)
Quando disponível, as configurações de idioma da legenda oculta (legendas) podem ser escolhidas usando o ícone Configurações ou CC neste player de vídeo.
Recursos
relacionadosAqui estão alguns recursos recomendados relacionados a este tópico que podem ser de interesse:
- Como redefinir a senha root do Dell VxRail Manager
- Práticas recomendadas de conta e senha no Dell VxRail
- Dell VxRail: Não é possível fazer log-in no vCenter com o erro 500 SSO. Os certificados PSC&VC expiraram e não foram renovados.
- Reiniciar os agentes de gerenciamento no VMware ESXi para corrigir a criação de máquinas virtuais pode falhar porque o agente não consegue recuperar as opções de criação de VM do host
文書のプロパティ
影響を受ける製品
VxRail, VxRail E560F
製品
VxRail E560F
最後に公開された日付
14 6月 2024
バージョン
13
文書の種類
Solution