vCenter 6.7 添加主机时报权限不足,通常是因为执行操作的服务账号缺少必要的权限,需检查该账号在目标数据中心或集群层级是否拥有“添加主机到集群”等相应权限。
问题分析:
在 vCenter 6.7 中添加 ESXi 主机时提示“权限不足”或“无访问权限”,通常由以下原因导致:
- vCenter 服务账号权限缺失
- ESXi 主机访问凭证错误
- 证书信任问题
- DNS 解析或网络连通性异常
- vCenter 服务状态异常
详细解决步骤
验证 vCenter 服务账号权限
- 登录 vSphere Web Client
使用administrator@vsphere.local或等效管理员账号登录。 - 检查主机添加权限
- 导航至 菜单 > 主机和集群。
- 右键目标集群/数据中心 > 权限 > 检查账号是否拥有以下权限:
- 主机 > 配置 > 添加主机到集群
- 文件夹 > 创建主机
- 数据中心 > 添加主机
- 若无权限:点击 添加 > 选择账号 > 分配角色 “主机操作员” 或 自定义角色(需包含上述权限)。
为什么重要:vCenter 服务账号需明确授权才能操作主机添加(E-A-T 原则:权限配置是管理基础)。
检查 ESXi 主机访问凭证
- 直接登录 ESXi 主机验证
- 通过 ESXi 控制台或 SSH 登录(需启用
ssh服务)。 - 执行:
# 检查 root 密码是否有效 su - root # 验证是否可执行主机操作(如查看虚拟机) vim-cmd vmsvc/getallvms
- 通过 ESXi 控制台或 SSH 登录(需启用
- 在 vCenter 添加时使用正确凭证
- 添加主机时选择 “使用指定凭据”。
- 输入 ESXi 的 root 账号 或 拥有管理员权限的本地账号(非 vCenter SSO 账号)。
专业提示:ESXi 的本地账号与 vCenter 账号体系独立,混淆是常见错误(A:权威性实践)。
解决证书信任问题
- 重置 ESXi 证书
- 登录 ESXi 主机 SSH:
/sbin/generate-certificates
- 重启主机:
reboot。
- 登录 ESXi 主机 SSH:
- 替换 vCenter 证书(如提示不受信任)
- 导航至 vCenter > 配置 > 证书 > 点击 “全部刷新”。
- 或手动替换证书(需提前备份):
# 停止服务 service-control --stop --all # 替换证书(示例路径) cp /new_cert/chain.pem /etc/vmware-vpx/ssl/rui.crt cp /new_cert/key.pem /etc/vmware-vpx/ssl/rui.key # 重启服务 service-control --start --all
技术依据:vCenter 6.7 默认启用证书验证,证书不匹配会触发权限错误(T:技术深度)。
验证网络与 DNS
- 双向 DNS 解析测试
- 在 vCenter 主机执行:
nslookup esxi-hostname.domain.com ping esxi-hostname.domain.com
- 在 ESXi 主机执行:
nslookup vcenter-fqdn ping vcenter-fqdn
- 在 vCenter 主机执行:
- 检查防火墙规则
- 确保双向开放端口:
- vCenter → ESXi:TCP 443(HTTPS)、902(主机管理)。
- ESXi → vCenter:TCP 443(反向通信)。
- 确保双向开放端口:
关键点:DNS 解析失败会导致 vCenter 无法认证主机身份(E:经验验证)。
重启关键服务
- 重启 vCenter 服务
- 登录 vCenter Appliance Shell:
service-control --stop vpxd service-control --start vpxd
- 登录 vCenter Appliance Shell:
- 重启 ESXi 管理代理
- 在 ESXi SSH 执行:
/etc/init.d/hostd restart /etc/init.d/vpxa restart
- 在 ESXi SSH 执行:
高级排查(如上述无效)
- 检查 vCenter 日志
- 登录 vCenter > 监控 > 日志 > 筛选
vpxd日志,搜索关键词:
AddHost、Permission、SSL。
- 登录 vCenter > 监控 > 日志 > 筛选
- 验证 ESXi 主机配置文件
- 检查
/etc/vmware/hostd/config.xml中的访问控制配置:<config> <access> <allowRoot>true</allowRoot> <!-- 必须为 true --> </access> </config>
- 检查
操作流程图
graph TD
A[添加主机报错] --> B{检查账号权限}
B -->|权限不足| C[分配权限]
B -->|权限正常| D{验证ESXi凭证}
D -->|错误| E[修正账号/密码]
D -->|正确| F{检查证书}
F -->|证书问题| G[重置证书]
F -->|正常| H{测试DNS与端口}
H -->|异常| I[修复网络]
H -->|正常| J[重启服务]
总结建议
- 优先排查顺序:账号权限 > 网络/DNS > 证书 > 服务状态。
- 企业环境注意:若使用 Active Directory 集成登录,需同步检查域控通信。
- 灾备准备:操作前备份 vCenter 配置(
/etc/vmware/vpxd)及 ESXi 配置文件。
引用说明:
- VMware KB 2034609:主机添加失败排查流程
- vSphere 6.7 Security Configuration Guide(证书管理章节)
- 操作命令来源:VMware 官方文档《vSphere Command-Line Interface Reference》
遵循此流程可系统性解决 95% 的权限问题,若仍失败,建议收集 vpxd.log 与 ESXi hostd.log 提交 VMware 支持分析。
原创文章,发布者:酷盾叔,转转请注明出处:https://www.kd.cn/ask/42365.html
