堡垒机无法连接ECS排查步骤
问题描述
堡垒机调用ECS失败
可能原因
【可能原因一】堡垒机到ECS服务器的网路端口通信失败
【可能原因二】堡垒机的相关配置影响
【可能原因三】ECS系统自身的相关策略影响
解决方案
【可能原因一】堡垒机到ECS服务器的网路端口通信失败
【解决步骤一】若网络通信异常,建议您检查网络ACL、安全组、云防火墙、以及服务器内的iptables或主机防火墙的相关策略是否阻拦
【可能原因二】堡垒机的相关配置影响
包含资产管理的主机信息(基本信息、服务端口、主机账户),运维规则(基本信息、资产/用户),控制策略(命令控制、命令审批、协议控制、访问控制、主机/用户),例如:资产信息填写有误,密码验证失败,授权规则过期或未授权,控制策略做了阻断等
【解决步骤二】若密码验证失败,建议您核对并重新填写服务器真实密码,以及是否有改密计划进行了改密,其他配置方面的问题,建议您根据需求进行调整
【可能原因三】ECS系统自身的相关策略影响
- 若ECS是Windows系统,建议您检查远程桌面属性,组策略设置客户端连接加密级别,组策略rdp连接要求使用指定的安全层,以及检查您Windows系统自身的RDP许可是否有效,ben d调用是否正常
- 若ECS是Linux系统,建议您检查服务器对应提供的服务运行是否正常,端口是否正常监听;以及检查/etc/hosts.allow和/etc/hosts.deny配置文件是否限制
【解决步骤三】
1. 若Windows系统存在如上问题,建议您调整如下:
1)我的电脑>属性>远程,将服务器远程桌面的安全限制降到最低,Windows server 2008系统勾选“允许运行任意版本远程桌面的计算连接(较不安全)”,Windows server 2012和2016系统勾选“允许连接到此计算机”
2)运行窗口输入【gpedit.msc】打开本地组策略编辑器窗口:计算机配置>管理模块>Windows组件>远程桌面服务>远程桌面会话主机>安全,将“设置客户端连接加密级别”调整为客户端兼容,将“远程(RDP)连接要求使用指定的安全层”调整为协商,将“要求使用网络级别的身份验证对远程连接的用户进行身份验证”调整为已禁用
3)其他Windows服务器相关问题,建议您参考【推荐】无法远程连接Windows实例的处理方法
2. 若Linux系统存在如上问题,建议您调整/etc/hosts.allow和/etc/hosts.deny配置文件,其他Linux服务器相关问题,建议您参考无法通过SSH远程登录Linux实例时的排查指引
适用于
- 运维安全中心(堡垒机)