NVP vProxy : Échec de la restauration de l’image « ServerFaultCode : L’autorisation d’effectuer cette opération a été refusée.

Une restauration de machine virtuelle (VM) effectuée à l’aide de l’appliance NetWorker VMware Protection (NVP) vProxy échoue.
L’erreur renvoyée est « ServerFaultCode : L’autorisation d’effectuer cette opération a été refusée. Par exemple :

159373:nsrvproxy_recover: vProxy Log: 2025-03-12T19:54:02Z ERROR:  [@(#) Build number: 177] Unable to create the directory "[vsanDatastore] win-client01.amer.lan_1" in datastore: ServerFaultCode: Permission to perform this operation was denied.
159373:nsrvproxy_recover: vProxy Log: 2025-03-12T19:54:02Z WARN:   [@(#) Build number: 177] RecoverVMSessions "1e3ef2fc-d334-4433-aff1-7e643c4e1f56" cleaning up running recover session due to error.
159373:nsrvproxy_recover: vProxy Log: 2025-03-12T19:54:02Z INFO:   [@(#) Build number: 177] Disconnected from session on vCenter 'vcsa.amer.lan'.
159373:nsrvproxy_recover: vProxy Log: 2025-03-12T19:54:02Z ERROR:  [@(#) Build number: 177] Failed to recover to a new VM. ServerFaultCode: Permission to perform this operation was denied.

L’utilitaire ProxyHC ne signale aucun problème d’autorisation pour le compte d’utilisateur utilisé pour ajouter vCenter à NetWorker :

nsr-vproxy01:~ # /home/admin/ProxyHC perm
...
Info: Checking vCenter access
        Please specify vCenter USER name for vcsa.amer.lan: networker_user@vsphere.local
        Please provide vCenter server password:
        Info: Validating vCenter server connectivity -------> Passed
Info: Checking vCenter user permissions
        Info: Looking for user permissions to root object -------> Passed
        Info: Looking for privileges for role -------> Passed
...

nsr-vproxy01:~ # cat /tmp/proxy-hc.log
...
INFO   Checking vCenter user permissions
INFO   -------> Using: vsphere.local\networker_user
INFO   -------> Found role ID: -1
INFO   -------> Successful

NVP-vProxy : Utilisation de l’outil de bilan de santé ProxyHC sur l’appliance vProxy
 

L’utilisateur de l’hyperviseur NSR (compte VMware utilisé pour ajouter vCenter à NetWorker) appartient à plusieurs groupes VMware. Le groupe contenant toutes les autorisations requises pour exécuter NetWorker VMware Protection est défini au niveau racine de vCenter, de sorte que ProxyHC ne signale aucun problème. Un autre groupe, plus restrictif, est défini à un autre niveau dans vCenter.

Par exemple, la networker_user de l’utilisateur est définie avec des autorisations d’administrateur sur l’objet racine vCenter :


Toutefois, l’utilisateur appartient également à un autre groupe (plus restrictif) défini au niveau du datacenter :


les autorisations plus restrictives au niveau du datacenter remplacent les autorisations au niveau racine, provoquant l’erreur ServerFaultCode lors de la restauration.

Confirmez quel compte NetWorker utilise pour communiquer avec VMware. 

Cette opération peut être effectuée à partir de NetWorker Management Console (NMC). Accédez à Protection > VMware View. Cliquez avec le bouton droit de la souris sur le vCenter, puis cliquez sur Modify Properties :

Autrement, l’option nsradmin peut être utilisée sur le serveur NetWorker :

[root@nsr ~]# nsradmin
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin> show name; username
nsradmin> print type: nsr hypervisor
                        name: vcsa.amer.lan;
                    username: networker_user@vsphere.local;
nsradmin> quit

L’administrateur VMware doit vérifier à quels groupes VMware appartient le compte d’utilisateur VMware. Passez en revue les autorisations sur les objets VMware pour vérifier si l’utilisateur ou le groupe est restreint à un niveau inférieur, comme illustré dans l’exemple du champ Cause. Les autorisations requises pour le compte d’utilisateur NetWorker VMware sont définies dans le Guide d’intégration de NetWorker VMware. Voir : https://www.dell.com/support/product-details/product/networker/docs

Une fois les autorisations corrigées, effectuez la restauration de la machine virtuelle à partir de NetWorker.

Le vCenter server/storage/log/vmware/applmgmt-audit/applmgmt-audit.log Signale que l’utilisateur n’a pas accès aux autorisations. L’erreur chevauche la tentative de restauration :

2025-03-12T14:03:09.574: INFO Authorization Result: User=networker_user@amer.lan, priv=ModifyConfiguration, authorized=False

Les erreurs observées peuvent varier en fonction de l’environnement, de la façon dont les autorisations ont été configurées et déléguées sur les objets VMware.

Si aucune erreur d’autorisation n’est observée, consultez : NVP vProxy : échec de la restauration de l’image de la machine virtuelle avec l’erreur d’enregistrement de la machine virtuelle : ServerFaultCode : L’autorisation d’effectuer cette opération a été refusée.