在登录尝试失败后,VMware ESXi Root 帐户被锁定 900 秒

摘要: 本文提供了在登录失败后 ESXi 本地用户帐户 root 的远程访问权限被锁定 900 秒时的解决方案。连接到 iDRAC 控制台以访问 ESXi shell,然后运行重置命令。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

由于多次登录尝试失败,一个或多个 ESXi 主机的 root 帐户被锁定。

无法使用 SSH 或 Web UI 连接到节点。

使用 iDRAC 控制台到 ESXi shell 确认问题。

在 vCenter 中,将显示类似于以下内容的警告消息:

Remote access for ESXi local user account 'root' has been locked for 900s after 14 failed login attempts.

远程访问锁定消息

图 1:远程访问已锁定。

在受影响的主机上找到类似于以下内容的日志:

/var/log/vobd.log

2020-04-03T17:27:58.790Z: [GenericCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.790Z: [UserLevelCorrelator] 8202447897096us: [vob.user.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.
2020-04-03T17:27:58.791Z: [UserLevelCorrelator] 8202447897325us: [esx.audit.account.locked] Remote access for ESXi local user account 'root' has been locked for 900 seconds after 32 failed login attempts.

 

/var/log/auth.log

2020-04-03T17:29:06Z sshd[701694298]: Connection from 192.168.100.40 port 55682
2020-04-03T17:29:06Z sshd[701333862]: pam_tally2(sshd:auth): user root (0) tally 34, deny 5
2020-04-03T17:29:08Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:08Z sshd[701694492]: pam_tally2(sshd:auth): user root (0) tally 35, deny 5
2020-04-03T17:29:08Z sshd[701694492]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.40  user=root
2020-04-03T17:29:10Z sshd[701694298]: error: PAM: Authentication failure for root from 192.168.100.40
2020-04-03T17:29:10Z sshd[701694298]: error: Received disconnect from 192.168.100.40 port 55682:3: com.jcraft.jsch.JSchException: Auth cancel [preauth]
2020-04-03T17:29:10Z sshd[701694298]: Disconnected from authenticating user root 192.168.100.40 port 55682 [preauth]

原因

节点的 root 密码可能已更改,但第三方监视软件尚未使用新的 root 密码进行更新。

这会导致多次登录失败(有时是数百甚至数千次)。这会将 root 帐户锁定 15 分钟,从而导致无法通过 SSH 连接到节点或登录到节点 Web UI。

您可以通过 DCUI 和 ESXi shell 登录。

从 vSphere 6.0 开始,通过 SSH 和 vSphere Web Services SDK 进行的访问支持帐户锁定。Direct Console Interface (DCUI) 和 ESXi Shell 不支持帐户锁定。默认情况下,最多允许尝试失败五次,然后帐户才会被锁定。默认情况下,帐户在 15 分钟后解锁。

解决方案

要解决此问题,请执行以下操作:
  1. 连接到 iDRAC 控制台 ,然后连接到 ESXi shell
  2. 通过登录 DCUI 并在故障处理选项下启用 ESXi shell启用 shell
  3. 您还可以执行 Cntrl-Alt-F1 访问 shell。
  4. 连接到 ESXi shell 后,运行以下命令。输出应与下面的屏幕截图相匹配,但“From”条目显示“unknown”。
#pam_tally2 --user root
#pam_tally2 --user root --reset
#pam_tally2 --user root
ESXi 命令和输出 图 2:ESXi 命令和输出
  1. 运行上述命令后,登录 ESXi 节点 Web UI
  2. 转至 Monitor,然后转至 Events。您应该会看到其中列出了标记为失败的尝试登录的 IP 地址。
  3. 您必须根据此处列出的 IP 地址来标识应用程序。你可以停止该应用程序或使用正确的凭据进行配置。

其他信息

有关更多信息,请参阅 VMware 文章 ESXi 密码和帐户锁定本超链接将引导您访问非 Dell Technologies 运营的网站。

观看有关 ESXi 故障修复解锁 root 用户帐户的视频。

持续时间:00:04:56(hh:mm:ss)
如果有的话,可使用此视频播放器上的“Settings”或 CC 图标来选择隐藏式字幕(字幕)语言设置。
 

受影响的产品

PowerFlex rack, VxRail, ScaleIO, VxRail D560, VxRail D560F, VxRail E460, VxRail E560, VxRail E560F, VxRail E560N, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560F, VxRail P470, VxRail P570 , VxRail P570F, VxRail P580N, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S470, VxRail S570, VxRail S670, VxRail V470, VxRail V570, VxRail V570F, VXRAIL V670F, VxRail VE-660, VxRail VE-6615, VxRail VP-760, VxRail VP-7625, VxRail VS-760 ...
文章属性
文章编号: 000071365
文章类型: Solution
上次修改时间: 18 4月 2026
版本:  21
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。