Konto root VMware ESXi jest zablokowane na 900 s po nieudanych próbach logowania

Podsumowanie: Ten artykuł zawiera rozwiązanie problemu, w którym dostęp zdalny do katalogu głównego konta użytkownika lokalnego ESXi jest zablokowany na 900 s po nieudanych próbach logowania. Połącz się z konsolą iDRAC, aby uzyskać dostęp do powłoki ESXi, a następnie uruchom polecenie resetowania. ...

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Sprawdź inne zasoby

Objawy

Konto root jednego lub kilku hostów ESXi zostało zablokowane z powodu kilku nieudanych prób logowania.

Nie można połączyć się z węzłem przy użyciu SSH lub interfejsu sieciowego.

Potwierdź problem za pomocą konsoli iDRAC do powłoki ESXi.

W vCenter wyświetlany jest komunikat ostrzegawczy podobny do następującego:

Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.

Komunikat o zablokowaniu dostępu zdalnego

Rysunek 1. Dostęp zdalny jest zablokowany.

Dzienniki podobne do następujących znajdują się na hoście, którego dotyczy problem:

/var/log/vobd.log

2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.

 

/var/log/auth.log

2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40  user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]

Przyczyna

Hasło główne węzła mogło zostać zmienione, ale oprogramowanie monitorujące innego producenta nie zostało zaktualizowane o nowe hasło główne.

Powoduje to wiele nieudanych logowań (czasami setki, a nawet tysiące). Powoduje to zablokowanie konta głównego na 15 minut, co uniemożliwia nawiązanie połączenia z węzłem przez SSH lub zalogowanie się do interfejsu sieciowego węzła.

Można zalogować się za pomocą interfejsu DCUI i powłoki ESXi.

Począwszy od wersji vSphere 6.0, blokowanie kont jest obsługiwane w celu uzyskania dostępu poprzez SSH i poprzez vSphere Web Services SDK. Bezpośredni interfejs konsoli (DCUI) i powłoka ESXi nie obsługują blokady konta. Domyślnie można przeprowadzić maks. Pięć nieudanych prób przed zablokowaniem konta. Konto zostanie domyślnie odblokowane po 15 minutach.

Rozwiązanie

Aby rozwiązać ten problem:
  1. Połącz się z konsolą iDRAC , a następnie z powłoką ESXi.
  2. Włącz powłokę , logując się do DCUI i włączając powłokę ESXi w ramach opcji rozwiązywania problemów.
  3. Możesz również wykonać Cntrl-Alt-F1 , aby uzyskać dostęp do powłoki.
  4. Po nawiązaniu połączenia z powłoką ESXi uruchom poniższe polecenia. Dane wyjściowe powinny być zgodne z poniższym zrzutem ekranu, z wyjątkiem wpisu "Od" o treści "nieznany".
#pam_tally2 --user root
#pam_tally2 --user root --reset
#pam_tally2 --user root
Polecenia i dane wyjściowe ESXi Rysunek 2: Polecenia i dane wyjściowe ESXi
  1. Po uruchomieniu powyższych poleceń zaloguj się do interfejsu sieciowego węzła ESXi.
  2. Przejdź do opcji Monitor, a następnie do Events. Adres IP, który próbował się zalogować, powinien być widoczny na liście jako „failed”.
  3. Należy zidentyfikować aplikację na podstawie wymienionego tutaj adresu IP. Zatrzymaj ją lub skonfiguruj przy użyciu prawidłowych poświadczeń.

Dodatkowe informacje

Aby uzyskać więcej informacji, zapoznaj się z artykułem VMware ESXi Passwords and Account LockoutKliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies..

Obejrzyj ten film na temat ESXi Break Fix Unlock root User Account.

Czas trwania: 00:04:56 (gg:mm:ss)
Gdy to możliwe, ustawienia języka napisów kodowanych można wybrać przy użyciu ikony Ustawienia lub CC w tym odtwarzaczu wideo.
 

Produkty, których dotyczy problem

PowerFlex rack, VxRail, ScaleIO, VxRail D560, VxRail D560F, VxRail E460, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560F, VxRail P470, VxRail P570 , VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S470, VxRail S570, VxRail S670, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760 ...
Właściwości artykułu
Numer artykułu: 000071365
Typ artykułu: Solution
Ostatnia modyfikacja: 18 kwi 2026
Wersja:  21
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.