Why am I locked out of vCenter Server ESXi?

vCenter & ESXi: Løs almindelige adgangsproblemer

08/06/2003

Rating: 4.44 (2476 votes)

For systemadministratorer, der arbejder med VMware-miljøer, er adgangs- og tilladelsesfejl en frustrerende, men velkendt del af hverdagen. En lille fejlkonfiguration kan hurtigt låse dig ude af kritiske systemer og stoppe vigtige opgaver som servervedligeholdelse eller virtuelle maskinmigrationer. Ofte ligger løsningen ikke i komplekse netværksindstillinger eller dybe systemændringer, men i simple, oversete konfigurationer. I denne artikel dykker vi ned i to meget specifikke, men almindelige problemer: At blive låst ude af en ESXi-host efter installation af vCenter Server Appliance, og at støde på en mur af tilladelsesfejl i VMware Converter, selvom dine vCenter-rettigheder ser ud til at være i orden. Vi vil guide dig trin-for-trin gennem løsningerne, så du hurtigt kan genvinde kontrollen.

How to fix vCenter Converter not opening as administrator?
Open Vcenter standalone converter as run as administrator and that should fix the issue. I faced the same issue untile I set the Local Administrator account to Enabled and gave it a password.
Indholdsfortegnelse

Problem 1: Låst ude af ESXi efter vCenter Installation

Scenariet er klassisk: Du har netop gennemført en installation af vCenter Server Appliance (VCSA) på en enkelt ESXi-server. Alt ser ud til at være gået glat, men da du forsøger at logge ind på ESXi-hostens web-interface direkte med root-brugeren, bliver du mødt med en kold afvisning: "Permission to perform this operation was denied". Panikken kan hurtigt melde sig, især hvis du har glemt at konfigurere vCenter-VM'en til at starte automatisk op med hosten. Uden adgang til hverken ESXi-hosten direkte eller via vCenter, føler man sig effektivt låst ude af sit eget system.

Hvorfor sker dette? Årsagen er Lockdown Mode

Problemet skyldes en sikkerhedsfunktion i ESXi kaldet "Lockdown Mode". Når vCenter installeres og konfigureres til at administrere en host, kan den placere hosten i denne tilstand. Formålet med Lockdown Mode er at forbedre sikkerheden ved at tvinge al administration til at foregå centralt gennem vCenter Server. Dette forhindrer direkte login på ESXi-hosten med root-kontoen og minimerer angrebsfladen. Selvom det er en god sikkerhedsforanstaltning, bliver det et problem, hvis din adgang til vCenter af en eller anden grund er afbrudt – for eksempel hvis VCSA-VM'en ikke kører.

Løsningen: Deaktiver Lockdown Mode via DCUI

Heldigvis er løsningen relativt enkel, men den kræver fysisk adgang (eller fjernkonsoladgang som iDRAC, iLO, etc.) til serveren. Du skal bruge Direct Console User Interface (DCUI), som er den tekstbaserede grænseflade, du ser på en skærm tilsluttet direkte til serveren.

Følg disse trin for at genvinde adgang:

  • Trin 1: Tilslut en skærm og et tastatur til din ESXi-server.
  • Trin 2: På DCUI-skærmen skal du trykke på F2 for at åbne skærmen "System Customization". Du vil blive bedt om at indtaste root-adgangskoden.
  • Trin 3: Naviger ned til valgmuligheden "Configure Lockdown Mode" og tryk Enter.
  • Trin 4: Du vil se, at "Enable lockdown mode" er markeret. Tryk på mellemrumstasten for at fjerne markeringen og dermed deaktivere tilstanden.
  • Trin 5: Tryk på Enter for at bekræfte og derefter på Esc for at forlade menuerne.

Du kan nu med det samme logge ind på ESXi-hostens web-interface igen. En genstart er ikke nødvendig. Husk det allervigtigste efterfølgende skridt: Sørg for at konfigurere din vCenter-VM til at starte automatisk sammen med ESXi-hosten for at undgå dette problem i fremtiden!

Problem 2: vCenter Converter Nægter Adgang trods Korrekte Tilladelser

Et andet hovedbrud opstår ofte under brug af VMware vCenter Converter Standalone, et værktøj til at konvertere fysiske maskiner til virtuelle (P2V) eller virtuelle til virtuelle (V2V). Du forsøger at starte en konvertering, men når du vælger kildemaskinen, får du den samme frustrerende fejlmeddelelse: "Permission to perform this operation was denied".

Det forvirrende er, at du har dobbelttjekket alt. Din brugerkonto i vCenter har fulde administratorrettigheder. Du har endda midlertidigt tildelt din konto den øverste "Administrator"-rolle direkte på det specifikke datacenter, cluster eller host, men fejlen fortsætter. Problemet ligger et helt andet sted end i vCenter.

Løsningen: Lokale Administratorrettigheder er Nøglen

Svaret findes ikke i vCenter, men på den Windows-server, hvor du kører VMware Converter-softwaren fra. Selvom din domænekonto har de nødvendige rettigheder i vCenter, kræver Converter-applikationen også høje rettigheder på det lokale system, den kører på, for at kunne udføre sine opgaver korrekt.

Løsningen er at give din brugerkonto lokale administratorrettigheder på den Windows-maskine, hvor Converter er installeret:

  1. Log ind på Windows-serveren med en konto, der allerede har administratorrettigheder.
  2. Åbn "Computer Management" (compmgmt.msc).
  3. Naviger til "Local Users and Groups" -> "Groups".
  4. Dobbeltklik på gruppen "Administrators".
  5. Klik på "Add..." og tilføj den brugerkonto, du bruger til at køre Converter.
  6. Klik OK for at gemme ændringerne. Log derefter ud og log ind igen med din egen konto, så de nye gruppetilhørsforhold træder i kraft.

Når du nu starter VMware Converter igen, vil du opdage, at tilladelsesfejlen er forsvundet, og du kan fortsætte med din V2V-migrering. Det er værd at bemærke, at det at højreklikke og vælge "Kør som administrator" typisk ikke løser dette specifikke problem. Brugerkontoen selv skal være medlem af den lokale administratorgruppe.

Sammenligning af Problemer og Løsninger

For at give et hurtigt overblik, er her en tabel, der sammenligner de to scenarier:

ProblemSymptomPrimær ÅrsagLøsning
ESXi Host Lockout"Permission denied" ved direkte login på ESXi web-interface.Hosten er sat i Lockdown Mode af vCenter.Deaktiver Lockdown Mode via DCUI (fysisk adgang påkrævet).
vCenter Converter Fejl"Permission denied" ved valg af kildemaskine i Converter.Brugerkontoen mangler lokale administratorrettigheder på Windows-maskinen.Tilføj brugerkontoen til den lokale "Administrators"-gruppe.

Ofte Stillede Spørgsmål (OSS)

Skal jeg genstarte min ESXi-host efter at have deaktiveret Lockdown Mode?

Nej, en genstart er ikke nødvendig. Ændringerne, du foretager i DCUI, træder i kraft med det samme. Så snart du har deaktiveret Lockdown Mode, kan du gå til en computer på netværket og logge ind på hostens web-interface.

Er Lockdown Mode en dårlig ting? Skal jeg altid have det deaktiveret?

Absolut ikke. Lockdown Mode er en vigtig sikkerhedsfunktion, der er designet til at centralisere administration og beskytte dine hosts mod uautoriseret direkte adgang. I et produktionsmiljø er det god praksis at have det aktiveret. Du bør kun deaktivere det midlertidigt for at løse adgangsproblemer. Når din vCenter-forbindelse er genoprettet og stabil, bør du overveje at genaktivere Lockdown Mode for at opretholde et højt sikkerhedsniveau.

Hvorfor er "Kør som administrator" ikke nok for vCenter Converter?

"Kør som administrator" giver det specifikke program, du starter, forhøjede rettigheder for den ene session. Men visse operationer, som vCenter Converter udfører, kræver dybere integration med Windows-systemtjenester og -drivere. For at disse interaktioner skal fungere problemfrit, kræver applikationen, at selve den brugerkontekst, den kører under (din brugerkonto), har de nødvendige privilegier, hvilket i dette tilfælde opnås ved at være medlem af den lokale administratorgruppe.

Ved at forstå disse nuancer kan administratorer spare sig selv for mange timers fejlfinding. Nøglen er at huske, at tilladelser eksisterer på flere niveauer: inde i vCenter, direkte på ESXi-hosten og på det lokale operativsystem, hvorfra du kører dine administrationsværktøjer.

Hvis du vil læse andre artikler, der ligner vCenter & ESXi: Løs almindelige adgangsproblemer, kan du besøge kategorien Teknologi.

Go up