概述
本篇文章主要说明使用 JumpServer 堡垒机连接 Windows 资产时出现的各类问题以及处理方法。JumpServer支持Web GUI和RDP客户端(企业版)两种连接方式。
能正常纳管的前提是该 Windows 资产能通过 Mstsc 远程登陆,且要确保堡垒机到资产的 3389 端口通讯正常,并且资产的系统 平台、协议组和系统用户的协议应配置正确。当连接出现问题时首先检查以上是否正常。
一、WebGUI
1. 使用Web GUI 连接报错:“连接异常 Credentials expired.”
问题原因:
由于系统平台不合适,系统用户的密码或者用户授权到期导致。
解决方案:
1. 改资产的系统平台为“Windows-TLS”或尝试其他平台适配。
2. 使用mstsc登录资产,更新用户密码,JumpServer平台上更新对应系统用户密码。
3. 查看用户授权规则,更新授权时间范围。
2.使用Web GUI连接Windows资产时报错:“用户名和密码认证错误,登录失败”。
问题原因:
用户名或者密码输如错误。
解决方案:
1. 检查确认系统用户的用户名密码是否正确。
2. 更换其他系统平台
3. Windows 2019 系统如果使用空用户密码账户登录出现此报错,打开系统属性-远程-关闭“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”可解决。
3.无法连接到远程桌面服务器(网络不可达|安全策略错误)
使用Web GUI连接Windows资产时报错:“无法连接到远程桌面服务器(网络不可达|安全策略错误)”。
问题原因:
网络、防火墙原因或者安全软件 360 等影响,堡垒机连接不到资产的3389端口,资产 ping 不通堡垒机。
解决方案:
1. 检查JumpServer平台上该Windows资产的系统平台、协议组端口是否正确。
2. web页面使用系统工具测试,或登陆JumpServer服务器,使用ping和telnet命令检查资产联通性。
3. 修改资产防火墙规则或者安全组策略。
4. 远程 rdp 授权到期也会误报这个错误,可mstsc 本地连接看是否报授权期限错误,解决该问题需要购买 rdp 授权服务,咨询微软官方支持配置 rdp 服务。
4.Aborted. See logs
使用 Web GUI连接 Windows 资产时报错:“Aborted. See logs.”。
问题原因:
这种问题原因并不明确,需要看lion.log和资产的事件管理器,然后具体情况具体分析。
注:阿里云的Windows机器如果开启了短信验证,JumpServer访问时也会有这个提示,该情况暂无解决办法。
解决方案:
1. 如果远程桌面服务到期,需要购买授权。
2. 输入gpedit.msc打开组策略编辑器。依次打开:计算机配置-->管理模板-->Windows组件-->远程桌面服务→远程桌面会话主机→安全。修改远程连接协议, 默认为未配置状态, 修改为已启用 把安全层改为和系统平台保持一致。
5.使用Web GUI连接Windows资产时报错没有系统用户
解决方案:
1. 资产授权中无系统用户,需添加。
2. 资产平台错选为Linux,需改成Windows
3. v2的环境请检查用户协议。
6.使用 Web Gui 方式连接报错"连接异常 Upstream error"
问题原因:
外部反向代理、负载服务器未正确配置。
解决方案:
1. 添加长连接配置,如 Nginx 相关配置:
2. 查看windows资产的远程会话配置,发现开启了身份验证,取消即可正常访问
7.Forcibly disconnected
使用Web GUI连接Windows资产时报错:“Forcibly disconnected.”。
问题原因:
资产强制断开连接,会话抢占。
解决方案:
1. 每个人使用不同的系统用户,并且增加连接数。
2. 增加连接数。打开运行,输入"gpedit.msc"。计算机配置—> 管理模板→windwos组件→远程桌面服务→远程桌面会话主机→连接→限制连接数量(999999)。
3. 如果用的是同一个系统用户需要执行下面操作。打开运行,输入"gpedit.msc"。计算机设置 → 管理模版 → windows组件 → 远程桌面服务 → 远程桌面会话主机 → 连接 → 将远程桌面服务用户限制到单独的远程桌面服务会话 → 禁用
8.Access denied by server (account locked/disabled?)
使用Web GUI连接Windows资产时报错:“Access denied by server (account locked/disabled?)”
问题原因:
服务器拒绝访问(帐户被锁定/禁用?)。可能用户被锁或密码过期。
解决方案:
用mstsc登陆测试,解锁用户或更新密码。
9.未能找到会话
使用Web GUI连接Windows资产时报错:“未能找到会话”。
问题原因:
JumpServer多节点,通过lb代理的时候,lb的负载规则为轮询导致。
解决方案:
检查修改负载规则,nginx应设为ip_hash;阿里云开启会话保持;aws云开启粘性有效期至少1天,其他类似。
10.拒绝请求的会话访问
使用Web GUI连接Windows资产时报错:“拒绝请求的会话访问。”。
解决方案:
先用mstsc进资产,右击我的电脑→属性→高级系统设置→远程,将此用户添加进允许远程登陆的列表里。
11.Core API 发生错误
使用Web GUI连接Windows资产时报错:“Core API发生错误”。
问题原因:
JumpServer 后台服务出现了异常,需要查看jumpserver.log 。
解决方案:
1. 查看jumpserver.log日志根据实际情况再做处理。
2. docker ps 查看组件状态,一般 lion组件异常导致,组件异常则重启 docker restart jms_lion。
3. 查找网络层原因,可尝试重启docker 服务。
12.远程计算机接收到非预期的服务器身份验证证书
Web GUI连接资产时,报以下错误
问题原因:
通过https形式来访问jms页面 负载均衡配置的ssl证书 与jms节点的证书不一致了
解决方案:
修改ssl证书配置,使得两边证书一致
13.502 Bad Gateway
使用Web GUI连接Windows资产时报错:“502 Bad Gateway”。
问题原因:
Lion组件异常,或者负载后端服务出现异常。
解决方案:
1. 检查Lion容器状态是否正常,后台执行 docker restart jms_celery 命令重启该容器。
2. 检查jms_web上的nginx配置中Lion的路由配置是否正确。
二、RDP 客户端
1.由于协议错误,会话连接将断开。请重新连接到远程计算机。
使用RDP方式连接Windows资产时报错:“由于协议错误,会话连接将断开。请重新连接到远程计算机。”。
问题原因:
资产的连接协议和堡垒机默认的不一致。
解决方案:
尝试修改资产的系统平台。
2.RDP方式连接无报错直接闪退或者黑屏
使用RDP方式连接Windows资产时没有显示报错,但mstsc直接闪退。
问题原因:
安全层策略未开启,或者安全层协议和系统平台不一致
解决方案:
参照 1.1.4 中 解决方案2,对安全层进行调整,更改适当的系统平台
三、其他 windows 使用过程中可能出现的问题
1.文件无法复制粘贴
无法使用复制粘贴功能,粘贴文本时无反应
问题原因:
RDP 剪切进程发生故障,存在僵尸进程
解决方案:
1. 任务管理器中,结束 RDP 剪切监视程序进程,重新复制粘贴
2. 不影响正常业务情况下,重启 windows 机器。
2.文件上传时无法打开共享目录 Guacamole
无法进行文件上传下载,打开共享目录报错
问题原因:
网络连接占用,未能及时释放导致网络资源无法正常访问。
解决方案:
1. 清理windows网络连接。打开 windows 的 cmd 命令行,输入net use,就会打印出当前缓存的连接上列表,根据列表,一个个删除连接: net use 远程连接名称 /del;或者一次性全部删除: net use* /del。
2. 重启机器也能释放网络连接
总结
连接Windows异常的原因各不相同,但总体来说排查思路很简单。
使用 ping、telnet工具测试网络,使用mstsc工具连接确定资产可以被远程,且用户没有被锁定,密码没有过期。以上都正常,很有可能是系统平台、网络级别身份验证、资产的远程协议、安全层组策略的原因。同时查看资产的事件管理器和 JumpServer的 lion.log、razor.log 定位问题原因。