文档

堡垒机无法连接ECS排查步骤

更新时间:
一键部署

问题描述

堡垒机调用ECS失败

可能原因

【可能原因一】堡垒机到ECS服务器的网路端口通信失败

【可能原因二】堡垒机的相关配置影响

【可能原因三】ECS系统自身的相关策略影响

解决方案

【可能原因一】堡垒机到ECS服务器的网路端口通信失败

【解决步骤一】若网络通信异常,建议您检查网络ACL、安全组、云防火墙、以及服务器内的iptables或主机防火墙的相关策略是否阻拦

【可能原因二】堡垒机的相关配置影响

包含资产管理的主机信息(基本信息、服务端口、主机账户),运维规则(基本信息、资产/用户),控制策略(命令控制、命令审批、协议控制、访问控制、主机/用户),例如:资产信息填写有误,密码验证失败,授权规则过期或未授权,控制策略做了阻断等

【解决步骤二】若密码验证失败,建议您核对并重新填写服务器真实密码,以及是否有改密计划进行了改密,其他配置方面的问题,建议您根据需求进行调整

【可能原因三】ECS系统自身的相关策略影响

  1. 若ECS是Windows系统,建议您检查远程桌面属性,组策略设置客户端连接加密级别,组策略rdp连接要求使用指定的安全层,以及检查您Windows系统自身的RDP许可是否有效,ben d调用是否正常
  2. 若ECS是Linux系统,建议您检查服务器对应提供的服务运行是否正常,端口是否正常监听;以及检查/etc/hosts.allow和/etc/hosts.deny配置文件是否限制

【解决步骤三】

1. 若Windows系统存在如上问题,建议您调整如下:

1)我的电脑>属性>远程,将服务器远程桌面的安全限制降到最低,Windows server 2008系统勾选“允许运行任意版本远程桌面的计算连接(较不安全)”,Windows server 2012和2016系统勾选“允许连接到此计算机”

2)运行窗口输入【gpedit.msc】打开本地组策略编辑器窗口:计算机配置>管理模块>Windows组件>远程桌面服务>远程桌面会话主机>安全,将“设置客户端连接加密级别”调整为客户端兼容,将“远程(RDP)连接要求使用指定的安全层”调整为协商,将“要求使用网络级别的身份验证对远程连接的用户进行身份验证”调整为已禁用

 

 

 

 

 

 

 

 

 

3)其他Windows服务器相关问题,建议您参考【推荐】无法远程连接Windows实例的处理方法

2. 若Linux系统存在如上问题,建议您调整/etc/hosts.allow和/etc/hosts.deny配置文件,其他Linux服务器相关问题,建议您参考无法通过SSH远程登录Linux实例时的排查指引

适用于

  • 运维安全中心(堡垒机)
  • 本页导读
文档反馈