Dell PowerProtect Data Manager 无法连接 vCenter 的凭据验证问题

老哥们，今天遇到一个关于数据保护的问题——Dell PowerProtect Data Manager (PPDM) 在尝试发现和连接到 vCenter Server 时失败。查了一下 VMware KB 429320，原来这是一个无效凭据导致的身份验证问题。

故障现象还原

1. PPDM 发现失败

在 Dell PowerProtect Data Manager 中，当尝试添加 vCenter Server 进行数据保护时，发现过程会失败，提示无法连接到 vCenter Server。

2. vCenter Event 日志信息

在 vCenter Server 的 Event 日志中，会看到以下信息：

[YYYY-MM-DDTHH:MM:SS] [vim.event.BadUsernameSessionEvent] [error] [######] [] [21754xxx] [Cannot login ######@##.##.##.##]

3. vpxd 日志信息

在 /var/log/vmware/vpxd/vpxd.log 文件中，会记录详细的错误信息：

YYYY-MM-DDTHH:MM:SSZ info vpxd[437xxx] [Originator@6876 sub=vpxLro opID=4bb0xxx] [VpxLRO] -- BEGIN lro--17348xxx -- SessionManager -- vim.SessionManager.login --  ######-######-######-######
YYYY-MM-DDTHH:MM:SSZ error vpxd[437xxx] [Originator@6876 sub=UserDirectorySso opID=4bb0xxx] AcquireToken exception: N9SsoClient27InvalidCredentialsExceptionE(Authentication failed: Invalid credentials)
YYYY-MM-DDTHH:MM:SSZ error vpxd[437xxx] [Originator@6876 sub=User opID=4bb0xxx] Failed to authenticate user 

核心原因分析

根据 KB 429320 的解释，这个问题的根本原因很简单但很容易被忽略：

使用的用户凭据无效

具体表现为：

• • 用户名或密码错误
  • 凭据已过期
  • 用户账户已被锁定或禁用
  • 权限配置不正确

故障排查与解决方法

1. 检查用户凭据

# 在 vCenter Server 上检查用户账户状态
# 使用 PowerCLI 连接到 vCenter Server
Connect-VIServer

 

# 列出所有用户
Get-VIAccount

 

# 检查特定用户的状态
Get-VIAccount -Name ""

 

# 检查 SSO 用户
Get-IdentityProvider
Get-User

2. 验证网络连接

# 在 PPDM 服务器上测试与 vCenter Server 的网络连通性
nc -zv  443

 

# 测试 DNS 解析
nslookup

 

# 检查证书信任
openssl s_client -connect :443

3. 检查用户权限

# 检查用户在 vCenter Server 中的权限
Get-VIPermission -Principal ""

 

# 检查用户所属的组
Get-VIAccount -Name "" | Get-VIUserGroup

 

# 验证是否具有必要的权限
# 对于数据保护，用户通常需要至少“数据存储浏览器”和“虚拟机电源操作”权限

预防措施

1. 定期轮换凭据

# 定期更改用户密码（PowerShell 示例）
# 在 Active Directory 中
Set-ADAccountPassword -Identity "" -NewPassword (ConvertTo-SecureString -String "" -AsPlainText -Force) -Reset

 

# 或使用 PowerCLI 更改 vCenter 用户密码
Set-VIAccount -User "" -Password ""

2. 使用服务账户

对于数据保护系统，建议使用专门的服务账户：

• • 创建一个专门用于 Dell PowerProtect Data Manager 的用户账户
  • 为该账户分配适当的权限
  • 定期检查该账户的状态

3. 监控身份验证事件

# 在 vCenter Server 上设置身份验证失败的警报
# 使用 PowerCLI 创建警报
New-AlarmDefinition -Name "vCenter Authentication Failures" -EntityType HostSystem -TargetType HostSystem -Description "Alert when there are authentication failures" -ActionTrigger OnViolation -Severity Warning

常见问题解答

Q：为什么 vCenter Event 日志显示无法登录？
A：这通常是由于用户凭据无效导致的，包括用户名或密码错误、凭据过期或账户状态问题。

Q：如何检查用户账户的状态？
A：可以使用 PowerCLI 的 Get-VIAccount 或 Get-User 命令来检查用户账户的状态。

Q：应该为数据保护系统分配什么权限？
A：通常需要至少“数据存储浏览器”和“虚拟机电源操作”权限，但具体权限取决于数据保护系统的功能需求。

Q：是否可以使用本地用户而不是域用户？
A：可以，但使用域用户通常更便于管理和安全。

风险评估

1. 业务影响

• • 无法完成数据保护任务
  • 虚拟机备份可能会失败
  • 数据恢复可能会受到影响
  • 合规性要求可能无法满足

2. 解决方法的风险

• 重置用户密码可能会影响其他系统
• 更改用户权限可能会导致安全问题
• 需要谨慎操作，避免影响其他用户

总结

这个问题的根本原因通常是无效凭据，但解决方法需要系统地进行排查。

建议：
1. 首先检查用户凭据的有效性
2. 验证网络连接
3. 检查用户权限
4. 考虑使用服务账户
5. 定期监控身份验证事件

记住，保持用户凭据的安全和有效是防止此类问题的关键。定期轮换密码和使用专门的服务账户可以提高系统的安全性。

---

Reference: VMware KB 429320