Jumpserver RDP協議和SSH協議資產連接錯誤排查思路

1、RDP 協議資產連接說明

RDP 協議資產連接錯誤排查思路

(1). 如果白屏  檢查nginx配置文件的guacamole設置ip是否正確, 檢查終端管理的gua狀態是否在線
(2). 如果顯示沒有權限 是你 終端管理里 guacamole 狀態為紅色或者沒有注冊成功
(3). 如果顯示未知問題 可能是你的資產填寫的端口不對, 或者授權的系統用戶的協議不是rdp
(4). 提示無法連接服務器 一般情況下是登錄的系統賬戶不正確或者防火牆設置有誤, 資產的信息填寫不正確也會報這個錯誤
(5). 提示網絡問題無法連接或者超時, 請檢查網絡連接並重試, 或聯系管理員 一般情況下網絡有問題

1. 檢查終端是否在線

# 如果終端不在線, 請檢查 guacamole 的 BOOTSTRAP_TOKEN 是否與 jumpserver 一致, 如果不一致請修改后重啟
$ cat /opt/jumpserver/config.yml | grep BOOTSTRAP_TOKEN
$ env | grep BOOTSTRAP_TOKEN

$ /etc/init.d/guacd stop
$ sh /config/tomcat8/bin/shutdown.sh
$ rm -rf /config/guacamole/keys/*
$ /etc/init.d/guacd start
$ sh /config/tomcat8/bin/startup.sh

# docker 部署請直接刪除容器后重建, 記得一定要先在 終端管理 刪除不在線的組件
$ docker stop jms_guacamole
$ docker rm jms_guacamole

# http://<Jumpserver_url> 指向 jumpserver 的服務url, 如 http://192.168.244.144:8080
# BOOTSTRAP_TOKEN 為 Jumpserver/config.yml 里面的 BOOTSTRAP_TOKEN
$ docker run --name jms_guacamole -d -p 8081:8081 -e JUMPSERVER_SERVER=http://<Jumpserver_url> -e BOOTSTRAP_TOKEN=xxxxxx jumpserver/jms_guacamole:1.4.8

# 正常運行后到Jumpserver 會話管理-終端管理 里面查看 gua 的狀態是否為綠色(等待大概5s后刷新頁面)

2. 登錄要連接的windows資產, 檢查遠程設置和防火牆設置

# Windows 7/2008 勾選 允許運行任意版本遠程桌面的計算機連接(較不安全)(L)
# Windows 8/10/2012 只勾選 允許遠程連接到此計算機(L), 其他選項請取消勾選

# Windows防火牆-高級設置-入站規則 把遠程桌面開頭的選項 右鍵-啟用規則
# Windows 7/2008 啟用 遠程桌面(TCP-In)
# Windows 8/10/2012 啟用 遠程桌面-用戶模式(TCP-In)

3. 登錄要連接的windows資產, 檢查用戶和IP信息(Windows目前還不支持推送, 所以必須使用資產上面已存在的用戶進行登錄)

# 注：因為 windows 暫時不支持推送, 所以必須使用資產上面已經存在的賬戶進行登錄, 如 administrator 賬戶

4. 創建Windows資產管理用戶(如果是域資產, 格式是uesr@domain.com)

# 不帶域的用戶直接輸入用戶名即可, 如 administrator
# 域用戶的用戶名格式為 user@domain.com, 如 administrator@jumpserver.org

5. 創建Windows資產系統用戶(如果是域資產, 格式是uesr@domain.com, 注意協議不要選錯)

# 注：因為 windows 暫時不支持推送, 所以必須使用資產上面已經存在的賬戶進行登錄, 如 administrator 賬戶
# 不帶域的用戶直接輸入用戶名即可, 如 administrator
# 域用戶的用戶名格式為 user@domain.com, 如 administrator@jumpserver.org
# 如果想讓用戶登錄資產時自己輸入資產的賬戶密碼, 可以點擊系統用戶的名稱 點擊清除認證信息
# 此處必須輸入能正確登錄 windows 資產的 賬戶密碼
# 如不確實是不是因為密碼或者賬戶信息錯誤導致的無法登錄, 可以使用手動登錄功能(在系統用戶處設置)

6. 創建Windows資產(注意端口不要填錯)

# Windows 7/8/2008/2012 "系統平台"選擇 "Windows"
# Windows 10/2016 "系統平台"選擇 "Windows(2016)"

7. 創建授權規則

# 先定位到 windows 的資產, 然后授權, 如果資產用戶密碼不一致, 請不要直接在節點上授權

8. 使用web terminal登錄(如果登錄報錯, 檢查防火牆的設置, 可以參考FAQ)

9. Windows 資產文件上傳和下載

# 直接拖拽文件到 windows 窗口即可, 文件上傳后在 Guacamole RDP上的 G 目錄查看
# 下載在 luna 頁面, 按 ctrl+alt+shift, 選擇文件下載即可

---

2、SSH 協議資產連接說明

SSH 協議資產連接錯誤排查思路

(1). 檢查管理用戶的權限是否正確, 權限需要與root權限一致
(2). 檢查資產的防火牆策略, 可以在資產上面新建個用戶, 嘗試用此用戶在jumpserver服務器上進行ssh連接
(3). 檢查資產的ssh策略, 確保可以被jumpserver應用訪問

1. 檢查終端是否在線

# 如果不在線請檢查 coco 的 BOOTSTRAP_TOKEN 是否與 jumpserver 一致, 如果不一致請修改后重啟
# 在 終端管理 刪除不在線的組件
$ cat /opt/jumpserver/config.yml | grep BOOTSTRAP_TOKEN
$ cat /opt/coco/config.yml | grep BOOTSTRAP_TOKEN

$ cd /opt/coco && ./cocod stop
$ rm /opt/coco/data/keys/.access_key  # coco, 如果你是按文檔安裝的, key應該在這里, 如果不存在, 直接下一步
$ ./cocod start -d

# docker 部署請直接刪除容器后重建, 記得一定要先在 終端管理 刪除不在線的組件
$ docker stop jms_coco
$ docker rm jms_coco

# http://<Jumpserver_url> 指向 jumpserver 的服務url, 如 http://192.168.244.144:8080
# BOOTSTRAP_TOKEN 為 Jumpserver/config.yml 里面的 BOOTSTRAP_TOKEN
$ docker run --name jms_coco -d -p 2222:2222 -p 5000:5000 -e CORE_HOST=http://<Jumpserver_url> -e BOOTSTRAP_TOKEN=xxxxxx jumpserver/jms_coco:1.4.8

# 正常運行后到Jumpserver 會話管理-終端管理 里面查看 coco 的狀態是否為綠色

2. 訪問 luna 界面不顯示資產信息

# 確定已經授權資產給當前登錄用戶
# 確定 Jumpserver 的版本與 luna 的版本一致, 如不一致請參考升級文檔進行處理

# Jumpserver 版本可在 jumpserver頁面右下角 看到
# Luna 版本可在 luna頁面左下角 看到

# 注：更新后請清理瀏覽器緩存后再訪問

3. 訪問 Linux 資產無任何提示

# 請參考第一條檢查終端是否在線
# 檢查 coco 的 ws 端口(默認 5000)
# 檢查 nginx 配置的 socket.io 設置是否有誤

# 正常部署的 coco 組件請使用如下命令
$ cd /opt/coco
$ source /opt/py3/bin/activate
$ ./cocod stop
$ ps -ef | grep cocod | awk '{print $2}' | xargs kill -9
$ ./cocod start

# docker 容器部署的 coco 組件請檢查防火牆是否無誤, 重啟容器即可
$ docker restart jms_coco

4. 登錄資產提示 Authentication failed

# 請檢查推送 或 系統用戶 是否正確, 可以把系統用戶設置成手動登錄測試
# 在 資產管理-系統用戶 下, 點擊相應的 系統用戶名稱 可以看到 系統用戶詳情, 右邊可以測試

5. 測試可連接性 及 更新硬件信息

# 注意不要攔截窗口

　　

 

6. 管理用戶 測試可連接性

# 注意不要攔截窗口

 

7. 系統用戶 推送 測試資產可連接性

# 注意不要攔截窗口

 

8. ssh 使用key 登錄資產提示 所選的用戶密鑰未在遠程主機上注冊

# 這里是信息填寫錯誤, ip端口應該填coco服務器的ip, 端口應該填coco服務的ssh端口(默認2222)

9. 清理celery產生的數據(無法正常推送及連接資產, 一直顯示........等可以使用, 請確定字符集是zh_CN.UTF-8)

$ source /opt/py3/bin/activate
$ cd /opt/jumpserver/apps
$ celery -A ops purge -f

# 如果任然異常, 手動結束所有jumpserver進程, 然后kill掉未能正常結束的jumpserver相關進程, 在重新啟動jumpserver即可

10. 連接測試常見錯誤

# 提示 Authentication failure
# 一般都是資產的管理用戶不正確

# 提示Failed to connect to the host via ssh: ssh_exchange_identification: read: Connection reset by peer\r\n
# 一般是資產的 ssh 或者 防火牆 做了限制, 無法連接資產(資產信息填錯也可能會報這個錯誤)
# 檢查防火牆設置以及 /etc/hosts.allow /etc/hosts.deny

# 提示 "MODULE FAILURE", "module_stdout":"/bin/sh: 1: /usr/bin/python: not found\r\n", "module_stderr":"Shared connection to xx.xx.xx.xx closed.\r\n"
# 一般是資產 python 未安裝或者 python 異常