通過云堡壘機登錄資源異常怎么辦？

問題現象

• 通過云堡壘機登錄資源，云主機黑屏無法正常顯示。
• 通過云堡壘機登錄資源，登錄不上或出現網絡斷連。
• 通過云堡壘機納管資源后，登錄不了資源。

可能原因

原因一：資源主機服務器卡頓，網絡連接不穩定。

原因二：云堡壘機共享帶寬不滿足使用需求。

原因三：資源相關主機服務授權到期，例如Windows授權到期，RDP遠程服務120天授權到期等。

原因四：堡壘機實例與納管的主機不在同一VPC。

解決辦法

原因一：

• 重啟相應主機資源，重新開機后網絡恢復正常。登錄云堡壘機系統，網絡診斷驗證云堡壘機與主機資源之間的網絡連接情況。
• 若重啟主機不能解決，建議再排查云服務器故障/卡頓。

原因二：

• 重新配置CBH實例綁定EIP的帶寬，建議配置5M以上帶寬。
• 排查并修改配置完成后，重啟CBH系統。

原因三：

重新購買資源相關主機服務，獲取授權后，再使用云堡壘機登錄資源。

原因四：

云堡壘機僅支持直接管理同一VPC內資源，即可直接訪問同一VPC內資源。

雖跨區域或跨VPC可通過云服務構建網絡連接，但受限于網絡的不穩定性，不建議跨區域或跨VPC使用云堡壘機納管資源。

通過Web瀏覽器登錄資源，報Code：T_514錯誤怎么辦？

問題現象

通過Web瀏覽器登錄資源，會話頁面載入失敗，提示“由于服務器長時間無響應，連接已斷開，請檢查您的網絡并重試（Code：T_514）”。

可能原因

• 云堡壘機系統與資源服務器之間網絡連接不穩定，導致連接斷開。
• 云堡壘機系統到資源服務器的網絡被設置攔截，導致網絡不通暢。
• 資源服務器異常無響應，導致連接斷開。

排查思路

以下排查思路按照“Code：T_514”問題的狀態進行逐層細化，您可以根據實際情況選擇對應的分支進行排查。

檢查網絡連接情況

1. 登錄云堡壘機系統，驗證云堡壘機與資源服務器之間的網絡連接是否正常。
2. 網絡連接通暢，則網絡不穩定導致連接無響應。
3. 重啟相應資源服務器，重新開機后網絡恢復正常。若重啟主機不能解決，建議再排查。
4. 網絡連接不通，則CBH系統到資源服務器有網絡限制，請參考下述方案依次排查。
   步驟1 請先確認當前用戶網絡環境，是否為內網用戶，以及用戶訪問權限是否受限。
   步驟2 檢查CBH系統環境是否配置合理
   步驟3 檢查主機實例環境是否合理配置

檢查CBH系統環境是否配置合理

步驟 1 登錄云堡壘機系統，檢查納管資源IP地址、端口等是否設置正確。

步驟 2 檢查資源關聯訪問控制策略，是否設置IP限制。修改訪問控制策略，解除對用戶“來源IP”的限制。

步驟 3 檢查云堡壘機實例關聯的安全組，排查安全組的端口配置是否合理。建議按照CBH推薦端口，重新配置CBH安全組。

用戶若通過Web瀏覽器方式登錄資源，請手動添加安全組規則TCP協議22333入方向。

步驟 4 檢查云堡壘機所在內網關聯的網絡ACL ，排查ACL規則配置是否合理。

解除云堡壘機IP地址的訪問限制，以及在“目的地址”中添加資源IP地址，允許云堡壘機訪問資源。

步驟 5 重新設置后，嘗試重新通過CBH系統登錄資源。

檢查主機實例環境是否合理配置

步驟 1 管理員登錄主機實例管理控制臺。

步驟 2 檢查主機資源是否與CBH實例在同一區域同一VPC環境下，CBH僅支持直接訪問同一區域同一VPC下資源。

步驟 3 檢查主機實例關聯的安全組規則，排查安全組規則配置是否合理。

解除對CBH的IP地址的訪問限制，在源地址中添加CBH的IP地址，允許CBH訪問資源。

步驟 4 重新設置后，嘗試重新通過CBH系統登錄資源。

通過Web瀏覽器登錄資源，報Code：T_1006錯誤怎么辦？

問題現象

通過Web瀏覽器登錄資源，會話連接斷開，提示“網絡連接異常，連接已斷開，請重試（Code：T_1006）”。

可能原因

• 云堡壘機系統與資源服務器之間網絡連接不穩定，導致連接斷開。
• 云堡壘機或資源服務器的帶寬超限，導致連接斷開。
• 資源服務器卡頓，導致連接斷開。

解決辦法

• 登錄云堡壘機系統，驗證云堡壘機與資源服務器之間的網絡連接是否正常。
• 網絡連接不通，則CBH系統到資源服務器有網絡限制，請參考Code：T_514錯誤方案依次排查。
• 網絡連接通暢，則網絡不穩定導致連接無響應。
• 重啟相應資源服務器，重新登錄網絡恢復正常。若重啟主機不能解決，請參考下述方案依次排查。
  • 排查云堡壘機和主機資源帶寬是否超過限制請。
  • 如果通過上述排查，仍然無法解決問題，請單擊管理控制臺右上方的“工單”，填寫工單信息反饋問題現象，聯系技術支持。

通過Web瀏覽器登錄資源，報Code：C_515錯誤怎么辦？

問題現象

通過Web瀏覽器登錄Linux主機資源，報登錄錯誤，提示“運維資源過程中遇到一個錯誤，請重試或聯系管理員（Code：C_515）”。

可能原因

• 原因一：密碼輸入錯誤次數超過Linux主機登錄安全防護次數上限，導CBH的IP被加入“/etc/hosts.deny”文件名單。
• 原因二：Linux主機開啟了企業主機安全服務（Host Security Service，HSS），多次輸入錯誤密碼嘗試登錄，CBH內網IP被HSS加入“/etc/sshd.deny.hostguard”文件名單。
• 原因三：堡壘機不支持操作系統的SSH算法。

解除“/etc/hosts.deny”文件限制

1. 管理員登錄Linux主機。

2. 執行以下命令，查看“/var/log/secure”日志，確認主機拒絕云堡壘機IP記錄。

   cat /var/log/secure
   

   執行以下命令，編輯“/etc/hosts.deny”文件，刪除云堡壘機的IP。

3. vim /etc/hosts.deny
   

4. （可選）將CBH的IP加入白名單。

   執行以下命令，編輯Linux主機的“/etc/hosts.allow”文件，允許所有IP地址登錄，避免影響云堡壘機正常使用。

   vim /etc/hosts.allow
   

解除HSS登錄IP限制

1. 查看“/etc/sshd.deny.hostguard”文件。

   1. 管理員登錄Linux主機。
   2. 執行以下命令，查詢“/etc/sshd.deny.hostguard”文件。

      cat /etc/sshd.deny.hostguard
      

   3. 執行以下命令，打開“/etc/sshd.deny.hostguard”文件。

      *vim /etc/sshd.deny.hostguard
      

   4. 確認“/etc/sshd.deny.hostguard”文件中是否有CBH內網IP記錄。

2. 在HSS管理控制臺，解除IP限制。

   1. 登錄HSS管理控制臺。
   2. 選擇“入侵檢測 > 事件管理”，進入事件管理頁面。
   3. 在“安全告警統計”模塊，單擊“已攔截IP”，展開已攔截IP列表。
   4. 找到并勾選CBH內網IP所在行，單擊列表左上角“解除攔截”。

3. （可選）將CBH加入IP白名單。

   在HSS管理控制臺，將CBH的IP添加“SSH登錄IP白名單”，允許CBH登錄到Linux主機。

解除SSH算法限制

1. 檢查服務器配置文件“/etc/ssh/sshd_config”

   1. 管理員登錄Linux主機。
   2. 執行以下命令，查詢“/etc/ssh/sshd_config”文件。

      cat /etc/ssh/sshd_config
      

   3. 執行以下命令，打開“/etc/ssh/sshd_config”文件。

      vim /etc/ssh/sshd_config
      

2. 修改算法：在HostKeyAlgorithms行后添加如下指令：

   ssh-rsa,ssh-dss
   

3. 使用如下命令，重啟SSH服務：

   1. systemctl restart sshd
   

   如果通過上述排查，仍然無法解決問題，請單擊管理控制臺右上方的“工單”，填寫工單信息反饋問題現象，聯系技術支持。

通過Web瀏覽器登錄資源，報Code：C_519錯誤怎么辦？

問題現象

通過Web瀏覽器無法登錄資源，提示“由于資源連接失敗或不可達，當前無法訪問。如果持續出現該問題，請通知系統管理員或檢查系統日志（Code：C_519）”。

可能原因

• CBH系統與資源服務器之間網絡連接不穩定，導致連接失敗。
• CBH系統到資源服務器的網絡被設置攔截，導致網絡不通暢連接失敗。
• 資源服務器異常無響應，導致連接不可達。

檢查網絡連接情況

登錄云堡壘機系統，ping連通性測試和TCP端口檢測，驗證云堡壘機與資源服務器之間的網絡連接是否正常。

• 網絡連接通暢，則網絡不穩定導致連接無響應。

  重啟相應資源服務器，重新開機后網絡恢復正常。若重啟主機不能解決，建議再排查云服務器故障/卡頓。

• 網絡連接不通，則CBH系統到資源服務器有網絡限制，請參考下述方案依次排查。

  • 請先確認當前用戶網絡環境，是否為內網用戶，以及用戶訪問權限是否受限。
  • 檢查CBH系統環境是否配置合理
  • 檢查主機實例環境是否合理配置
  • 檢查主機資源是否能接受CBH訪問

檢查CBH系統環境是否配置合理

1. 登錄云堡壘機系統，檢查納管資源IP地址、端口等是否設置正確。
2. 檢查資源關聯訪問控制策略，是否設置IP限制。修改訪問控制策略，解除對用戶“來源IP”的限制。
3. 檢查云堡壘機實例關聯的安全組，排查安全組的端口配置是否合理。建議按照CBH推薦端口，重新配置CBH安全組。
   用戶若通過Web瀏覽器方式登錄資源，請手動添加安全組規則TCP協議443入方向。
4. 檢查云堡壘機所在內網關聯的網絡ACL ，排查ACL規則配置是否合理。
   解除云堡壘機IP地址的訪問限制，以及在“目的地址”中添加資源IP地址，允許云堡壘機訪問資源。
5. 重新設置后，嘗試重新通過CBH系統登錄資源。

檢查主機實例環境是否合理配置

1. 管理員登錄主機實例管理控制臺。
2. 檢查主機資源是否與CBH實例在同一區域同一VPC環境下，CBH僅支持直接訪問同一區域同一VPC下資源。
3. 檢查主機實例關聯的安全組規則，排查安全組規則配置是否合理。
   解除對CBH的IP地址的訪問限制，在源地址中添加CBH的IP地址，允許CBH訪問資源。
4. 重新設置后，嘗試重新通過CBH系統登錄資源。

檢查主機資源是否能接受CBH訪問

1. 管理員直接登錄主機資源。
2. 輸入命令 route -n ，檢查主機的路由表，是否存在丟失CBH路由現象。
3. 檢查主機登錄方式及登錄安全加固措施，建議從以下幾個方面排查：
   1. Linux云服務器SSH登錄的安全加固
   2. Windows彈性云服務器登錄方式概述
   3. Linux彈性云服務器登錄方式概述
4. 解除安全加固的限制后，嘗試重新通過CBH系統登錄資源。

如果通過上述排查，仍然無法解決問題，請單擊管理控制臺右上方的“工單”，填寫工單信息反饋問題現象，聯系技術支持。

通過Web瀏覽器登錄主機資源，報Code：C_769錯誤怎么辦？

問題現象

通過Web瀏覽器登錄主機資源，報資源賬戶密碼錯誤，提示“登錄失敗，有可能是賬戶名、密碼或密鑰錯誤，請嘗試重新連接（Code：C_769）”。

檢查云堡壘機資源賬戶密碼是否正確

1. 登錄云堡壘機系統，選擇目標Linux主機，導出資源賬戶，獲取主機賬戶名和密碼。
2. 登錄ECS管理控制臺，通過VNC方式登錄Linux主機，驗證主機賬戶和密碼。
   1. 若不能登錄，則主機賬戶密碼錯誤。請修改Linux主機賬戶密碼后，重新配置CBH資源賬戶密碼，并驗證賬戶是否正確。
   2. 若能夠登錄，請分別檢查Linux主機是否開啟雙因子認證和檢查Linux主機是否拒絕root賬戶登錄。

檢查Linux主機是否開啟雙因子認證

當登錄Linux主機需輸入動態密碼時，即Linux主機開啟了企業主機安全服務（Host Security Service，HSS）的雙因子認證功能。

因云堡壘機不能登錄已開通雙因子認證的Linux主機，請參考HSS雙因子認證，關閉Linux主機的雙因子認證。

關閉Linux主機雙因子認證后，請重新嘗試在云堡壘機上登錄Linux主機。

檢查Linux主機是否拒絕root賬戶登錄

由于sshd服務配置文件“/etc/ssh/sshd_config”中，“PermitRootLogin” 參數值為 “no”時，Linux主機不允許root賬戶登錄。

1. 登錄Linux主機，查看sshd服務的配置文件。

2. 在“/etc/ssh/sshd_config” 文件中，查找 “PermitRootLogin” 參數，確認參數值是否為 “no”。

3. 修改“/etc/ssh/sshd_config”文件。

   查找“PermitRootLogin” 參數，修改參數值為 “yes”或注釋掉參數所在行。

   #PermitRootLogin no
   

4. 執行以下命令，重啟sshd服務。

   systemctl restart sshd
   

完成上述操作后，請重新嘗試在云堡壘機上登錄Linux主機。

檢查Windows服務器是否120天授權到期

檢查方法： 通過內網的一臺windows主機遠程登錄方式連接登錄報錯的Windows云服務器時，如果出現如下錯誤：“ 由于沒有遠程桌面授權服務器可以提供許可證，遠程會話被中斷，請跟服務器管理員聯系。 ”

則說明該Windows服務器120天授權到期。Windows操作系統的云服務器默認支持免費使用120天，到期后需要付費，如未付費會則造成遠程連接失敗。

解決辦法： 請重新激活并授權。

如果通過上述排查，仍然無法解決問題，請單擊管理控制臺右上方的“工單”，填寫工單信息反饋問題現象，聯系技術支持。

運維資源列表可登錄資源不可見怎么辦？

問題現象

云堡壘機“主機運維” 或 “應用運維”列表頁面，用戶原可登錄資源突然不可見了。

可能原因

• 資源授權的“訪問控制策略”設置了“有效期”，用戶訪問資源權限失效。
• 資源授權的“訪問控制策略”設置了“登錄時段限制”，用戶在“禁止登錄”時間段不能查看登錄資源。
• “訪問控制策略”關聯的用戶或資源被移除，用戶訪問資源權限被取消。
• 資源授權的“訪問控制策略”被禁用，用戶失去該資源訪問控制權限。
• 資源授權的“訪問控制策略”被刪除，用戶失去該資源訪問控制權限。

解決辦法

查看資源授權的“訪問控制策略”詳情，根據實際情況重新配置或新建訪問控制策略。

• 修改“訪問控制策略”基本信息，重新配置“有效期”或“登錄時段限制”。
• 啟用被禁用的“訪問控制策略”。
• 修改“訪問控制策略”的詳情，重新關聯用戶或資源。
• 若“訪問控制策略”被刪除，請新建策略關聯用戶和資源。

通過Web瀏覽器登錄資源，不彈出會話界面怎么辦？

問題現象

正常登錄系統，在主機運維或應用運維列表，單擊“登錄”，不能正常跳轉到運維會話頁面。

可能原因

瀏覽器攔截限制或系統SSL證書過期。

解除瀏覽器攔截

1. 確認使用瀏覽器及版本，確認是否在推薦范圍內。

瀏覽器	版本
Edge	44及以上版本
Chrome	52.0及以上版本
Safari	10及以上版本
Firefox	50.0及以上版本

2. 打開瀏覽器檢查右上角地址欄，確認是否被瀏覽器攔截。
3. 根據不同操作系統，解除瀏覽器攔截。

• 在Windows系統下，以Chrome瀏覽器為例，選擇“始終允許顯示彈出窗口”后即可登錄資源。
• 在macOS系統下，需要先設置Safari瀏覽器的偏好設置，將“阻止彈出式窗口”去掉勾選框。

更新系統SSL證書

系統默認配置安全的自簽發證書，受限于自簽發證書的認證保護范圍和認證保護時間限制，用戶可替換證書。但當證書過期或安全掃描不通過時，用戶需更新證書才能確保系統安全。

建議您申購可信任的SSL證書，并及時更新系統Web證書。

應用運維異常，調用程序失敗怎么辦？

應用發布程序啟動路徑配置錯誤

問題現象

用戶配置完成應用發布資源后，通過云堡壘機首次訪問應用發布資源，不能正常訪問。

可能原因

• 原因一：應用程序啟動路徑配置錯誤。
• 原因二：配置應用程序非云堡壘機默認支持的應用程序，不支持調用。

解決辦法

• 修改“程序啟動路徑”配置
  1. 登錄云堡壘機系統，在應用服務器詳情頁面，查看配置的應用“程序啟動路徑”。
  2. 登錄Windows應用服務器，查詢應用安裝路徑，獲取程序exe啟動路徑。
  3. 對比路徑是否一致。若不一致，則需修改配置的“程序啟動路徑”。
• 重新安裝支持的應用程序
  1. 登錄Windows應用服務器，安裝云堡壘機支持調用的應用，詳情請參見使用限制。
  2. 登錄云堡壘機系統，重新配置應用服務器“程序啟動路徑”。

Windows主機重啟后，無法調用應用程序

問題現象

Windows應用服務器系統升級前，可以正常訪問應用發布資源。系統升級重啟后，訪問應用發布資源被拒絕，無法調用配置的應用程序，提示“無法啟用此初始程序”錯誤。

可能原因

Windows病毒和威脅防護更新后，對執行程序進行病毒檢查時，Windows Defender會禁止啟用所有名稱中含有“administrator”字樣的exe程序，例如默認支持的數據庫應用程序“mysqladministrator.exe”。

解決辦法

• 修改程序名稱

  在Windows應用服務器修改應用的啟動程序名稱，并在云堡壘機配置中修改應用的“程序啟動路徑”。

• 關閉Windows Defender

  在Windows應用服務器控制面板，選擇“設置 > 更新和安全 >Windows Defender”，關閉Windows Defender的“實時保護”

SSO工具異常，不能登錄數據庫資源怎么辦？

版本升級后無法登錄數據庫

問題現象

版本升級前可以正常登錄數據庫資源，版本升級后不能登錄數據庫資源，提示“已安裝單點登錄工具，仍無法登錄，請重試或安裝最新版工具”。

可能原因

云堡壘機版本升級后，SsoTools單點登錄工具未升級，不能正常匹配連接。

解決辦法

每次云堡壘機版本升級后，都需卸載本地SsoDBSettings單點登錄工具，重新下載安裝單點登錄工具，并正確配置數據庫客戶端路徑。

數據庫客戶端路徑配置錯誤

問題現象

用戶首次登錄數據庫資源，提示“數據庫客戶端工具路徑配置有誤，請重新配置！”，不能正常登錄。

可能原因

在SsoTools單點登錄工具上，配置的數據庫客戶端路徑不正確，或未配置路徑。

解決辦法

打開SsoTools單點登錄工具，檢查數據庫客戶端路徑是否正確，配置正確的客戶端路徑。

通過堡壘機登錄服務器資源，報“并發會話超出許可限制”怎么辦？

問題現象

多個用戶同時通過SSH連接方式登錄云堡壘機納管的服務器時，堡壘機允許同時登錄的賬號數有上限，當登錄的賬號數超出上限值時，必須退出一個賬號才能再登錄一個賬號。

問題原因

該問題是由于并發數限制導致的。

解決辦法

云堡壘機支持50、100、200、500、1000、5000、10000資產規格配置，不同規格云堡壘機的并發數配置有差異。

建議您變更版本規格以提高并發數。

如何解決“mstsc客戶端訪問服務器資源時，移動界面應用有黑屏”的問題？

問題描述

通過mstsc客戶端訪問服務器資源時，移動界面應用有黑屏。

解決辦法

1. 打開本地電腦的組策略，進入“計算機 > HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Terminal Server Client”路徑下。
2. 右鍵單擊“Terminal Server Client”，單擊“新建 > DWORD(32位)值(D)”，新建DWORD。
3. 將其DWORD命名為：RemoteDesktop_SuppressWhenMinimized，值設置為2。

修改注冊表后提示錯誤

若您通過修改注冊表后提示“無法連接至遠程計算機”，需要做如下調整。

1. 打開遠程桌面連接程序，單擊“顯示選項” ，選擇 “顯示”。
2. 減小“顯示配置” 的分辨率，并且修改顏色為 “增強色（16位）”。
3. 選擇“體驗” ，修改連接速度為 “低速寬帶（256 kbps - 2 Mbps）”。

如何解決“mstsc客戶端訪問服務器資源時鼠標出現黑塊”的問題？

當通過mstsc客戶端訪問服務器資源時，如果鼠標出現黑塊時，按如下方法解決處理。

操作步驟

1. 登錄目標服務器。
2. 打開控制面板，單擊“設備”。
3. 在左側導航樹中，單擊“鼠標”，進入鼠標的配置頁面。
4. 單擊“其他鼠標選項”，選擇“指針”頁簽。
5. 去掉勾選“啟用指針陰影”的選項，單擊“確定”。

訪問Windows應用發布器，提示“創建用戶失敗”怎么辦？

問題現象

發布Windows應用之后，應用運維點擊登錄，報錯信息：訪問Windows應用發布失敗，提示”創建用戶失敗“。

可能原因

• 原因一：應用發布服務器中安裝的RemoteAppProxy跳板工具版本過低，需要升級。
• 原因二：創建影子賬戶用戶名最大長度和服務器賬戶最大長度沖突。

解決辦法

• 解決辦法一：將應用發布服務器安裝的remoteapp組件升級至1.1.8.0及以上版本。
• 解決辦法二：登錄應用發布服務器，修改“C:\DevOpsTools\RemoteAPPProxy\Application.ini”文件，修改參數影子賬戶用戶名最大長度max_user_length=20將值改為服務器支持的創建用戶長度，例如15。