NVP-vProxy: Image-Wiederherstellung schlägt fehl "ServerFaultCode: Die Berechtigung zur Durchführung dieses Vorgangs wurde verweigert."

Eine VM-Wiederherstellung, die mithilfe der NetWorker VMware Protection (NVP) vProxy-Appliance durchgeführt wird, schlägt fehl.
Der zurückgegebene Fehler lautet "ServerFaultCode: Die Berechtigung zur Durchführung dieses Vorgangs wurde verweigert." Zum Beispiel:

159373:nsrvproxy_recover: vProxy Log: 2025-03-12T19:54:02Z ERROR:  [@(#) Build number: 177] Unable to create the directory "[vsanDatastore] win-client01.amer.lan_1" in datastore: ServerFaultCode: Permission to perform this operation was denied.
159373:nsrvproxy_recover: vProxy Log: 2025-03-12T19:54:02Z WARN:   [@(#) Build number: 177] RecoverVMSessions "1e3ef2fc-d334-4433-aff1-7e643c4e1f56" cleaning up running recover session due to error.
159373:nsrvproxy_recover: vProxy Log: 2025-03-12T19:54:02Z INFO:   [@(#) Build number: 177] Disconnected from session on vCenter 'vcsa.amer.lan'.
159373:nsrvproxy_recover: vProxy Log: 2025-03-12T19:54:02Z ERROR:  [@(#) Build number: 177] Failed to recover to a new VM. ServerFaultCode: Permission to perform this operation was denied.

Das ProxyHC-Dienstprogramm meldet keine Berechtigungsprobleme für das Nutzerkonto, das zum Hinzufügen von vCenter zu NetWorker verwendet wird:

nsr-vproxy01:~ # /home/admin/ProxyHC perm
...
Info: Checking vCenter access
        Please specify vCenter USER name for vcsa.amer.lan: networker_user@vsphere.local
        Please provide vCenter server password:
        Info: Validating vCenter server connectivity -------> Passed
Info: Checking vCenter user permissions
        Info: Looking for user permissions to root object -------> Passed
        Info: Looking for privileges for role -------> Passed
...

nsr-vproxy01:~ # cat /tmp/proxy-hc.log
...
INFO   Checking vCenter user permissions
INFO   -------> Using: vsphere.local\networker_user
INFO   -------> Found role ID: -1
INFO   -------> Successful

NVP-vProxy: Verwendung des Integritätsprüfungstools ProxyHC auf vProxy-Appliance
 

Der NSR-Hypervisor-Nutzer (VMware-Konto, das verwendet wird, um vCenter zu NetWorker hinzuzufügen) gehört mehreren VMware-Gruppen an. Die Gruppe, die alle erforderlichen Berechtigungen zum Ausführen von NetWorker VMware Protection enthält, wird auf der vCenter-Root-Ebene definiert, sodass ProxyHC kein Problem meldet. Eine andere, restriktivere Gruppe wird auf einer anderen Ebene im vCenter definiert.

Beispielsweise ist der Nutzer networker_user mit Administratorrechten für das vCenter-Root-Objekt definiert:


Der Nutzer gehört jedoch auch einer anderen (restriktiveren) Gruppe an, die auf Rechenzentrumsebene definiert ist:


Restriktivere Berechtigungen auf Rechenzentrumsebene überschreiben die Berechtigungen auf Root-Ebene und verursachen den ServerFaultCode-Fehler während der Wiederherstellung.

Überprüfen Sie, welches Konto von NetWorker für die Kommunikation mit VMware verwendet wird. 

Dies kann über die NetWorker Management Console (NMC) erfolgen. Gehen Sie zu Protection > VMware View. Klicken Sie mit der rechten Maustaste auf vCenter und klicken Sie dann auf Eigenschaften ändern:

Alternativ kann das Symbol nsradmin kann auf dem NetWorker-Server verwendet werden:

[root@nsr ~]# nsradmin
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin> show name; username
nsradmin> print type: nsr hypervisor
                        name: vcsa.amer.lan;
                    username: networker_user@vsphere.local;
nsradmin> quit

Der VMware-Administrator muss überprüfen, zu welchen VMware-Gruppen das VMware-Nutzerkonto gehört. Überprüfen Sie die Berechtigungen für VMware-Objekte, um zu überprüfen, ob der Nutzer oder die Gruppe auf einer niedrigeren Ebene eingeschränkt ist, wie im Beispiel mit dem Feld "Ursache" gezeigt. Die erforderlichen Berechtigungen für das NetWorker-VMware-Nutzerkonto sind im NetWorker VMware-Integrationshandbuch definiert. Siehe: https://www.dell.com/support/product-details/product/networker/docs

Sobald die Berechtigungen korrigiert wurden, führen Sie die VM-Wiederherstellung von NetWorker aus.

Das vCenter server/storage/log/vmware/applmgmt-audit/applmgmt-audit.log Meldet, dass dem Nutzer Berechtigungen fehlen. Der Fehler überschneidet sich mit dem Wiederherstellungsversuch:

2025-03-12T14:03:09.574: INFO Authorization Result: User=networker_user@amer.lan, priv=ModifyConfiguration, authorized=False

Die beobachteten Fehler können je nach Umgebung, Konfiguration und Delegierung von Berechtigungen für die VMware-Objekte variieren.

Wenn keine Berechtigungsfehler beobachtet werden, finden Sie weitere Informationen unter: NVP vProxy – VM-Image-Wiederherstellung schlägt fehl mit Fehler beim Registrieren der VM: ServerFehlercode: Permission to perform this operation was denied.