通过云堡垒机登录资源异常怎么办？

问题现象

• 通过云堡垒机登录资源，云主机黑屏无法正常显示。
• 通过云堡垒机登录资源，登录不上或出现网络断连。
• 通过云堡垒机纳管资源后，登录不了资源。

可能原因

原因一：资源主机服务器卡顿，网络连接不稳定。

原因二：云堡垒机共享带宽不满足使用需求。

原因三：资源相关主机服务授权到期，例如Windows授权到期，RDP远程服务120天授权到期等。

原因四：堡垒机实例与纳管的主机不在同一VPC。

解决办法

原因一：

• 重启相应主机资源，重新开机后网络恢复正常。登录云堡垒机系统，网络诊断验证云堡垒机与主机资源之间的网络连接情况。
• 若重启主机不能解决，建议再排查云服务器故障/卡顿。

原因二：

• 重新配置CBH实例绑定EIP的带宽，建议配置5M以上带宽。
• 排查并修改配置完成后，重启CBH系统。

原因三：

重新购买资源相关主机服务，获取授权后，再使用云堡垒机登录资源。

原因四：

云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。

虽跨区域或跨VPC可通过云服务构建网络连接，但受限于网络的不稳定性，不建议跨区域或跨VPC使用云堡垒机纳管资源。

通过Web浏览器登录资源，报Code：T_514错误怎么办？

问题现象

通过Web浏览器登录资源，会话页面载入失败，提示“由于服务器长时间无响应，连接已断开，请检查您的网络并重试（Code：T_514）”。

可能原因

• 云堡垒机系统与资源服务器之间网络连接不稳定，导致连接断开。
• 云堡垒机系统到资源服务器的网络被设置拦截，导致网络不通畅。
• 资源服务器异常无响应，导致连接断开。

排查思路

以下排查思路按照“Code：T_514”问题的状态进行逐层细化，您可以根据实际情况选择对应的分支进行排查。

检查网络连接情况

1. 登录云堡垒机系统，验证云堡垒机与资源服务器之间的网络连接是否正常。
2. 网络连接通畅，则网络不稳定导致连接无响应。
3. 重启相应资源服务器，重新开机后网络恢复正常。若重启主机不能解决，建议再排查。
4. 网络连接不通，则CBH系统到资源服务器有网络限制，请参考下述方案依次排查。
   步骤1 请先确认当前用户网络环境，是否为内网用户，以及用户访问权限是否受限。
   步骤2 检查CBH系统环境是否配置合理
   步骤3 检查主机实例环境是否合理配置

检查CBH系统环境是否配置合理

步骤 1 登录云堡垒机系统，检查纳管资源IP地址、端口等是否设置正确。

步骤 2 检查资源关联访问控制策略，是否设置IP限制。修改访问控制策略，解除对用户“来源IP”的限制。

步骤 3 检查云堡垒机实例关联的安全组，排查安全组的端口配置是否合理。建议按照CBH推荐端口，重新配置CBH安全组。

用户若通过Web浏览器方式登录资源，请手动添加安全组规则TCP协议22333入方向。

步骤 4 检查云堡垒机所在内网关联的网络ACL ，排查ACL规则配置是否合理。

解除云堡垒机IP地址的访问限制，以及在“目的地址”中添加资源IP地址，允许云堡垒机访问资源。

步骤 5 重新设置后，尝试重新通过CBH系统登录资源。

检查主机实例环境是否合理配置

步骤 1 管理员登录主机实例管理控制台。

步骤 2 检查主机资源是否与CBH实例在同一区域同一VPC环境下，CBH仅支持直接访问同一区域同一VPC下资源。

步骤 3 检查主机实例关联的安全组规则，排查安全组规则配置是否合理。

解除对CBH的IP地址的访问限制，在源地址中添加CBH的IP地址，允许CBH访问资源。

步骤 4 重新设置后，尝试重新通过CBH系统登录资源。

通过Web浏览器登录资源，报Code：T_1006错误怎么办？

问题现象

通过Web浏览器登录资源，会话连接断开，提示“网络连接异常，连接已断开，请重试（Code：T_1006）”。

可能原因

• 云堡垒机系统与资源服务器之间网络连接不稳定，导致连接断开。
• 云堡垒机或资源服务器的带宽超限，导致连接断开。
• 资源服务器卡顿，导致连接断开。

解决办法

• 登录云堡垒机系统，验证云堡垒机与资源服务器之间的网络连接是否正常。
• 网络连接不通，则CBH系统到资源服务器有网络限制，请参考Code：T_514错误方案依次排查。
• 网络连接通畅，则网络不稳定导致连接无响应。
• 重启相应资源服务器，重新登录网络恢复正常。若重启主机不能解决，请参考下述方案依次排查。
  • 排查云堡垒机和主机资源带宽是否超过限制请。
  • 如果通过上述排查，仍然无法解决问题，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。

通过Web浏览器登录资源，报Code：C_515错误怎么办？

问题现象

通过Web浏览器登录Linux主机资源，报登录错误，提示“运维资源过程中遇到一个错误，请重试或联系管理员（Code：C_515）”。

可能原因

• 原因一：密码输入错误次数超过Linux主机登录安全防护次数上限，导CBH的IP被加入“/etc/hosts.deny”文件名单。
• 原因二：Linux主机开启了企业主机安全服务（Host Security Service，HSS），多次输入错误密码尝试登录，CBH内网IP被HSS加入“/etc/sshd.deny.hostguard”文件名单。
• 原因三：堡垒机不支持操作系统的SSH算法。

解除“/etc/hosts.deny”文件限制

1. 管理员登录Linux主机。

2. 执行以下命令，查看“/var/log/secure”日志，确认主机拒绝云堡垒机IP记录。

   cat /var/log/secure
   

   执行以下命令，编辑“/etc/hosts.deny”文件，删除云堡垒机的IP。

3. vim /etc/hosts.deny
   

4. （可选）将CBH的IP加入白名单。

   执行以下命令，编辑Linux主机的“/etc/hosts.allow”文件，允许所有IP地址登录，避免影响云堡垒机正常使用。

   vim /etc/hosts.allow
   

解除HSS登录IP限制

1. 查看“/etc/sshd.deny.hostguard”文件。

   1. 管理员登录Linux主机。
   2. 执行以下命令，查询“/etc/sshd.deny.hostguard”文件。

      cat /etc/sshd.deny.hostguard
      

   3. 执行以下命令，打开“/etc/sshd.deny.hostguard”文件。

      *vim /etc/sshd.deny.hostguard
      

   4. 确认“/etc/sshd.deny.hostguard”文件中是否有CBH内网IP记录。

2. 在HSS管理控制台，解除IP限制。

   1. 登录HSS管理控制台。
   2. 选择“入侵检测 > 事件管理”，进入事件管理页面。
   3. 在“安全告警统计”模块，单击“已拦截IP”，展开已拦截IP列表。
   4. 找到并勾选CBH内网IP所在行，单击列表左上角“解除拦截”。

3. （可选）将CBH加入IP白名单。

   在HSS管理控制台，将CBH的IP添加“SSH登录IP白名单”，允许CBH登录到Linux主机。

解除SSH算法限制

1. 检查服务器配置文件“/etc/ssh/sshd_config”

   1. 管理员登录Linux主机。
   2. 执行以下命令，查询“/etc/ssh/sshd_config”文件。

      cat /etc/ssh/sshd_config
      

   3. 执行以下命令，打开“/etc/ssh/sshd_config”文件。

      vim /etc/ssh/sshd_config
      

2. 修改算法：在HostKeyAlgorithms行后添加如下指令：

   ssh-rsa,ssh-dss
   

3. 使用如下命令，重启SSH服务：

   1. systemctl restart sshd
   

   如果通过上述排查，仍然无法解决问题，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。

通过Web浏览器登录资源，报Code：C_519错误怎么办？

问题现象

通过Web浏览器无法登录资源，提示“由于资源连接失败或不可达，当前无法访问。如果持续出现该问题，请通知系统管理员或检查系统日志（Code：C_519）”。

可能原因

• CBH系统与资源服务器之间网络连接不稳定，导致连接失败。
• CBH系统到资源服务器的网络被设置拦截，导致网络不通畅连接失败。
• 资源服务器异常无响应，导致连接不可达。

检查网络连接情况

登录云堡垒机系统，ping连通性测试和TCP端口检测，验证云堡垒机与资源服务器之间的网络连接是否正常。

• 网络连接通畅，则网络不稳定导致连接无响应。

  重启相应资源服务器，重新开机后网络恢复正常。若重启主机不能解决，建议再排查云服务器故障/卡顿。

• 网络连接不通，则CBH系统到资源服务器有网络限制，请参考下述方案依次排查。

  • 请先确认当前用户网络环境，是否为内网用户，以及用户访问权限是否受限。
  • 检查CBH系统环境是否配置合理
  • 检查主机实例环境是否合理配置
  • 检查主机资源是否能接受CBH访问

检查CBH系统环境是否配置合理

1. 登录云堡垒机系统，检查纳管资源IP地址、端口等是否设置正确。
2. 检查资源关联访问控制策略，是否设置IP限制。修改访问控制策略，解除对用户“来源IP”的限制。
3. 检查云堡垒机实例关联的安全组，排查安全组的端口配置是否合理。建议按照CBH推荐端口，重新配置CBH安全组。
   用户若通过Web浏览器方式登录资源，请手动添加安全组规则TCP协议443入方向。
4. 检查云堡垒机所在内网关联的网络ACL ，排查ACL规则配置是否合理。
   解除云堡垒机IP地址的访问限制，以及在“目的地址”中添加资源IP地址，允许云堡垒机访问资源。
5. 重新设置后，尝试重新通过CBH系统登录资源。

检查主机实例环境是否合理配置

1. 管理员登录主机实例管理控制台。
2. 检查主机资源是否与CBH实例在同一区域同一VPC环境下，CBH仅支持直接访问同一区域同一VPC下资源。
3. 检查主机实例关联的安全组规则，排查安全组规则配置是否合理。
   解除对CBH的IP地址的访问限制，在源地址中添加CBH的IP地址，允许CBH访问资源。
4. 重新设置后，尝试重新通过CBH系统登录资源。

检查主机资源是否能接受CBH访问

1. 管理员直接登录主机资源。
2. 输入命令 route -n ，检查主机的路由表，是否存在丢失CBH路由现象。
3. 检查主机登录方式及登录安全加固措施，建议从以下几个方面排查：
   1. Linux云服务器SSH登录的安全加固
   2. Windows弹性云服务器登录方式概述
   3. Linux弹性云服务器登录方式概述
4. 解除安全加固的限制后，尝试重新通过CBH系统登录资源。

如果通过上述排查，仍然无法解决问题，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。

通过Web浏览器登录主机资源，报Code：C_769错误怎么办？

问题现象

通过Web浏览器登录主机资源，报资源账户密码错误，提示“登录失败，有可能是账户名、密码或密钥错误，请尝试重新连接（Code：C_769）”。

检查云堡垒机资源账户密码是否正确

1. 登录云堡垒机系统，选择目标Linux主机，导出资源账户，获取主机账户名和密码。
2. 登录ECS管理控制台，通过VNC方式登录Linux主机，验证主机账户和密码。
   1. 若不能登录，则主机账户密码错误。请修改Linux主机账户密码后，重新配置CBH资源账户密码，并验证账户是否正确。
   2. 若能够登录，请分别检查Linux主机是否开启双因子认证和检查Linux主机是否拒绝root账户登录。

检查Linux主机是否开启双因子认证

当登录Linux主机需输入动态密码时，即Linux主机开启了企业主机安全服务（Host Security Service，HSS）的双因子认证功能。

因云堡垒机不能登录已开通双因子认证的Linux主机，请参考HSS双因子认证，关闭Linux主机的双因子认证。

关闭Linux主机双因子认证后，请重新尝试在云堡垒机上登录Linux主机。

检查Linux主机是否拒绝root账户登录

由于sshd服务配置文件“/etc/ssh/sshd_config”中，“PermitRootLogin” 参数值为 “no”时，Linux主机不允许root账户登录。

1. 登录Linux主机，查看sshd服务的配置文件。

2. 在“/etc/ssh/sshd_config” 文件中，查找 “PermitRootLogin” 参数，确认参数值是否为 “no”。

3. 修改“/etc/ssh/sshd_config”文件。

   查找“PermitRootLogin” 参数，修改参数值为 “yes”或注释掉参数所在行。

   #PermitRootLogin no
   

4. 执行以下命令，重启sshd服务。

   systemctl restart sshd
   

完成上述操作后，请重新尝试在云堡垒机上登录Linux主机。

检查Windows服务器是否120天授权到期

检查方法： 通过内网的一台windows主机远程登录方式连接登录报错的Windows云服务器时，如果出现如下错误：“ 由于没有远程桌面授权服务器可以提供许可证，远程会话被中断，请跟服务器管理员联系。 ”

则说明该Windows服务器120天授权到期。Windows操作系统的云服务器默认支持免费使用120天，到期后需要付费，如未付费会则造成远程连接失败。

解决办法： 请重新激活并授权。

如果通过上述排查，仍然无法解决问题，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。

运维资源列表可登录资源不可见怎么办？

问题现象

云堡垒机“主机运维” 或 “应用运维”列表页面，用户原可登录资源突然不可见了。

可能原因

• 资源授权的“访问控制策略”设置了“有效期”，用户访问资源权限失效。
• 资源授权的“访问控制策略”设置了“登录时段限制”，用户在“禁止登录”时间段不能查看登录资源。
• “访问控制策略”关联的用户或资源被移除，用户访问资源权限被取消。
• 资源授权的“访问控制策略”被禁用，用户失去该资源访问控制权限。
• 资源授权的“访问控制策略”被删除，用户失去该资源访问控制权限。

解决办法

查看资源授权的“访问控制策略”详情，根据实际情况重新配置或新建访问控制策略。

• 修改“访问控制策略”基本信息，重新配置“有效期”或“登录时段限制”。
• 启用被禁用的“访问控制策略”。
• 修改“访问控制策略”的详情，重新关联用户或资源。
• 若“访问控制策略”被删除，请新建策略关联用户和资源。

通过Web浏览器登录资源，不弹出会话界面怎么办？

问题现象

正常登录系统，在主机运维或应用运维列表，单击“登录”，不能正常跳转到运维会话页面。

可能原因

浏览器拦截限制或系统SSL证书过期。

解除浏览器拦截

1. 确认使用浏览器及版本，确认是否在推荐范围内。

浏览器	版本
Edge	44及以上版本
Chrome	52.0及以上版本
Safari	10及以上版本
Firefox	50.0及以上版本

2. 打开浏览器检查右上角地址栏，确认是否被浏览器拦截。
3. 根据不同操作系统，解除浏览器拦截。

• 在Windows系统下，以Chrome浏览器为例，选择“始终允许显示弹出窗口”后即可登录资源。
• 在macOS系统下，需要先设置Safari浏览器的偏好设置，将“阻止弹出式窗口”去掉勾选框。

更新系统SSL证书

系统默认配置安全的自签发证书，受限于自签发证书的认证保护范围和认证保护时间限制，用户可替换证书。但当证书过期或安全扫描不通过时，用户需更新证书才能确保系统安全。

建议您申购可信任的SSL证书，并及时更新系统Web证书。

应用运维异常，调用程序失败怎么办？

应用发布程序启动路径配置错误

问题现象

用户配置完成应用发布资源后，通过云堡垒机首次访问应用发布资源，不能正常访问。

可能原因

• 原因一：应用程序启动路径配置错误。
• 原因二：配置应用程序非云堡垒机默认支持的应用程序，不支持调用。

解决办法

• 修改“程序启动路径”配置
  1. 登录云堡垒机系统，在应用服务器详情页面，查看配置的应用“程序启动路径”。
  2. 登录Windows应用服务器，查询应用安装路径，获取程序exe启动路径。
  3. 对比路径是否一致。若不一致，则需修改配置的“程序启动路径”。
• 重新安装支持的应用程序
  1. 登录Windows应用服务器，安装云堡垒机支持调用的应用，详情请参见使用限制。
  2. 登录云堡垒机系统，重新配置应用服务器“程序启动路径”。

Windows主机重启后，无法调用应用程序

问题现象

Windows应用服务器系统升级前，可以正常访问应用发布资源。系统升级重启后，访问应用发布资源被拒绝，无法调用配置的应用程序，提示“无法启用此初始程序”错误。

可能原因

Windows病毒和威胁防护更新后，对执行程序进行病毒检查时，Windows Defender会禁止启用所有名称中含有“administrator”字样的exe程序，例如默认支持的数据库应用程序“mysqladministrator.exe”。

解决办法

• 修改程序名称

  在Windows应用服务器修改应用的启动程序名称，并在云堡垒机配置中修改应用的“程序启动路径”。

• 关闭Windows Defender

  在Windows应用服务器控制面板，选择“设置 > 更新和安全 >Windows Defender”，关闭Windows Defender的“实时保护”

SSO工具异常，不能登录数据库资源怎么办？

版本升级后无法登录数据库

问题现象

版本升级前可以正常登录数据库资源，版本升级后不能登录数据库资源，提示“已安装单点登录工具，仍无法登录，请重试或安装最新版工具”。

可能原因

云堡垒机版本升级后，SsoTools单点登录工具未升级，不能正常匹配连接。

解决办法

每次云堡垒机版本升级后，都需卸载本地SsoDBSettings单点登录工具，重新下载安装单点登录工具，并正确配置数据库客户端路径。

数据库客户端路径配置错误

问题现象

用户首次登录数据库资源，提示“数据库客户端工具路径配置有误，请重新配置！”，不能正常登录。

可能原因

在SsoTools单点登录工具上，配置的数据库客户端路径不正确，或未配置路径。

解决办法

打开SsoTools单点登录工具，检查数据库客户端路径是否正确，配置正确的客户端路径。

通过堡垒机登录服务器资源，报“并发会话超出许可限制”怎么办？

问题现象

多个用户同时通过SSH连接方式登录云堡垒机纳管的服务器时，堡垒机允许同时登录的账号数有上限，当登录的账号数超出上限值时，必须退出一个账号才能再登录一个账号。

问题原因

该问题是由于并发数限制导致的。

解决办法

云堡垒机支持50、100、200、500、1000、5000、10000资产规格配置，不同规格云堡垒机的并发数配置有差异。

建议您变更版本规格以提高并发数。

如何解决“mstsc客户端访问服务器资源时，移动界面应用有黑屏”的问题？

问题描述

通过mstsc客户端访问服务器资源时，移动界面应用有黑屏。

解决办法

1. 打开本地电脑的组策略，进入“计算机 > HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Terminal Server Client”路径下。
2. 右键单击“Terminal Server Client”，单击“新建 > DWORD(32位)值(D)”，新建DWORD。
3. 将其DWORD命名为：RemoteDesktop_SuppressWhenMinimized，值设置为2。

修改注册表后提示错误

若您通过修改注册表后提示“无法连接至远程计算机”，需要做如下调整。

1. 打开远程桌面连接程序，单击“显示选项” ，选择 “显示”。
2. 减小“显示配置” 的分辨率，并且修改颜色为 “增强色（16位）”。
3. 选择“体验” ，修改连接速度为 “低速宽带（256 kbps - 2 Mbps）”。

如何解决“mstsc客户端访问服务器资源时鼠标出现黑块”的问题？

当通过mstsc客户端访问服务器资源时，如果鼠标出现黑块时，按如下方法解决处理。

操作步骤

1. 登录目标服务器。
2. 打开控制面板，单击“设备”。
3. 在左侧导航树中，单击“鼠标”，进入鼠标的配置页面。
4. 单击“其他鼠标选项”，选择“指针”页签。
5. 去掉勾选“启用指针阴影”的选项，单击“确定”。

访问Windows应用发布器，提示“创建用户失败”怎么办？

问题现象

发布Windows应用之后，应用运维点击登录，报错信息：访问Windows应用发布失败，提示”创建用户失败“。

可能原因

• 原因一：应用发布服务器中安装的RemoteAppProxy跳板工具版本过低，需要升级。
• 原因二：创建影子账户用户名最大长度和服务器账户最大长度冲突。

解决办法

• 解决办法一：将应用发布服务器安装的remoteapp组件升级至1.1.8.0及以上版本。
• 解决办法二：登录应用发布服务器，修改“C:\DevOpsTools\RemoteAPPProxy\Application.ini”文件，修改参数影子账户用户名最大长度max_user_length=20将值改为服务器支持的创建用户长度，例如15。