VCF auf VxRail: SDDC Manager-Vorabprüfung des Workload-Domain-Upgrades ist im Schritt "VxRail Manager-SSH-Verbindung" fehlgeschlagen

Für ein VCF on VxRail-Cluster

Führen Sie nach dem Upgrade auf die Version 7.0.410 oder 7.0.411 ein neues Upgrade durch. Die SDDC Manager-Vorabprüfung des Upgrades schlägt bei Schritt "VxRail Manager-SSH-Verbindung" mit Fehlerbeschreibung fehl. "Auth fail."

Der "mystic"-Nutzer kann keine Verbindung zu VxRail Manager über SSH herstellen.

root@sddc-manager-controller [ ~ ]# ssh mystic@<VxM-IP>
FIPS mode initialized
Password:
Account locked due to 7 failed logins

Melden Sie sich bei VxRail Manager über die VM-Konsole in vCenter als Root-NutzerIn an Führen Sie den folgenden Befehl aus.

pam_tally2 --user mystic

Es wurde festgestellt, dass der Nutzer mystic aufgrund mehrerer fehlgeschlagener Anmeldeversuche gesperrt wurde.

Für Standard-VxRail-Cluster

Nach dem Upgrade auf 7.0.410 oder 7.0.411 stellt der "mystic"-Nutzer möglicherweise keine Verbindung zu VxRail Manager über SSH her, da er gesperrt ist.

Aufgrund eines SUSE Linux-Problems wird die Konfigurationsdatei nach dem VxRail-Upgrade auf 7.0.410 oder 7.0.411 /etc/pam.d/common-account wurde nicht erfolgreich aktualisiert. (Wenn VxRail direkt auf 7.0.410 oder 7.0.411 bereitgestellt wird, ist es von diesem Problem nicht betroffen.)

Infolgedessen wird bei der Herstellung einer SSH-Verbindung von anderen VMs zur VxRail Manager-VM über einen mystic-Nutzer die Anzahl der fehlgeschlagenen Anmeldungen erhöht, obwohl die Anmeldung erfolgreich ist. Nachdem die maximal zulässige Anzahl fehlgeschlagener Anmeldungen erreicht ist, wird der mystic-Nutzer gesperrt.

Hinweis: Direktes SSH zu VxRail Manager ist von diesem Problem nicht betroffen, z. B. führt eine erfolgreiche SSH-Anmeldung von Ihrem Laptop bei der VxRail Manager-VM nicht dazu, dass die Anzahl der fehlgeschlagenen Anmeldungen steigt. Bei einer VCF on VxRail-Umgebung tritt dieses Problem häufiger auf, da während der Vorabprüfung des Upgrades die SSH-Verbindung von der SDDC Manager-VM zur VxRail Manager-VM hergestellt wird.

Dieses Problem wurde in VxRail 7.0.450 behoben. Wenn VxRail bereits auf 7.0.450 ausgeführt wird und dann ein neues Upgrade auf eine höhere Version durchführt, wird die SDDC Manager-Upgradevorabprüfung dieses Problem nicht finden.

Überprüfen Sie die folgende Liste, um festzustellen, ob Ihre Cluster von diesem Problem betroffen sind:

• VxRail wird auf 7.0.410 oder 7.0.411 aktualisiert und führt dann ein neues Upgrade auf eine höhere Version (einschließlich 7.0.450) durch .
• VxRail wird mit 7.0.410 oder 7.0.411 (Greenfield) bereitgestellt. Wenn Sie dann ein neues Upgrade auf eine höhere Version durchführen, wird die SDDC Manager-Upgradevorabprüfung dieses Problem nicht finden.
• VxRail wird auf einer Version vor 7.0.410 ausgeführt und führt dann ein neues Upgrade auf eine höhere Version durch. Die SDDC Manager-Upgradevorabprüfung wird dieses Problem nicht finden.
• VxRail wird auf 7.0.450 ausgeführt und führt dann ein neues Upgrade auf eine höhere Version durch. Die SDDC Manager-Upgradevorabprüfung wird dieses Problem nicht finden.

VCF on VxRail-Kunden müssen die folgende Tabelle befolgen, um zu vermeiden, dass die SDDC Manager-Upgradevorabprüfung dieses Problem trifft:

* Wenn Sie VCF 4.5 mit VxRail 7.0.410 auf der grünen Wiese installiert haben, können Sie den Wissensdatenbank-Artikel ignorieren. Lesen Sie den Wissensdatenbank-Artikel nur, wenn Sie von einer anderen VxRail-Version auf VxRail 7.0.410 aktualisiert haben.

Wenn die SDDC Manager-Upgrade-Vorabprüfung bereits auf dieses Problem gestoßen ist, wenden Sie auch diese Schritte zur Problemumgehung an.

Schritte zur Problemumgehung:

=================

1. Fügen Sie die folgende Zeile in die /etc/pam.d/common-account Datei in VxRail Manager. (Verwenden der Konsole der virtuellen Maschine in vCenter mit dem Root-Konto, da die SSH-Verbindung nicht funktioniert)

account    required    pam_tally2.so

2. Entsperren Sie den mystic-Nutzer, indem Sie den folgenden Befehl in der VxRail Manager-Befehlskonsole mit dem Root-Konto ausführen.

pam_tally2 --user mystic --reset

3. Sobald das mystic-Konto entsperrt wurde, sollte der Nutzer es validieren und versuchen, eine SSH-Sitzung zu VxRail Manager mit den mystic-Zugangsdaten herzustellen.
 

4. Fahren Sie mit der Vorabprüfung des Upgrades der Workload-Domain in SDDC Manager fort.

NutzerInnen können die korrekten Kennwörter von VxRail Manager über SDDC Manager, indem Sie den lookup_passwords-Befehl wie unten gezeigt ausführen.
 

root@sddc-manager-controller [ /home/vcf ]# lookup_passwords
Password lookup operation requires ADMIN user credentials. Please refer VMware Cloud Foundation Administration Guide for setting up ADMIN user.
Supported entity types: ESXI VCENTER PSC NSX_MANAGER NSX_CONTROLLER NSXT_MANAGER NSXT_EDGE VRSLCM VRLI VROPS VRA WSA BACKUP VXRAIL_MANAGER AD
Enter an entity type from above list: VXRAIL_MANAGER
Enter page number (optional):
Enter page size (optional, default=50):
Enter Username: administrator@vsphere.local
Enter Password:<password_of_administrator@vsphere.local>
        VXRAIL_MANAGER
        identifiers: 172.16.6.129,app01-vxrm.test.local
        workload: app01-md
                username: mystic
                password: <passord_of_mystic>
                type: SSH
                account type: SYSTEM
        VXRAIL_MANAGER
        identifiers: 172.16.6.129,app01-vxrm.test.local
        workload: app01-md
                username: root
                password: <passord_of_root>
                type: SSH
                account type: SYSTEM