既存の古いロックダウンモード例外ユーザーが存在するため、NSX用にESXiホストを準備できません。NSXの削除も失敗する可能性があります。
search cancel

既存の古いロックダウンモード例外ユーザーが存在するため、NSX用にESXiホストを準備できません。NSXの削除も失敗する可能性があります。

book

Article ID: 431555

calendar_today

Updated On:

Products

VMware NSX

Issue/Introduction

免責事項:これは英文の記事「Unable to prepare ESXi hosts for NSX due to existing stale Lockdown Mode exception user(s). Removing NSX may also fail.」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

  • NSX をアップグレードすると、ESXi ホスト トランスポート ノードの NSX 構成が失敗状態になり、次のエラーが発生します。

    Host Configuration: Failed to send the HostConfig message.

    [TN=TransportNode/<Transport_Node_UUID>]. Reason: Failed to send HostConfig RPC to MPA TN:<Transport_Node_UUID>. Error: Unable to reach client <Transport_Node_UUID>, application SwitchingVertical. LogicalSwitch full-sync: LogicalSwitch full-sync realization query skipped.

     

  • NSXトランスポートノードとして準備中のESXiホストのインストールに失敗する場合があります。これは、構成プロセスの67%完了時またはそれ以降に発生する可能性があります。 

     

  • NSX のインストール/構成に失敗した ESXi ホストの /var/run/log/nsxaVim.log を確認すると、次のようなログが表示されます。   
    nsxaVim: [2102356]: INFO Entered update lockdown exception to [add] user [nsx-user]^@
    nsxaVim: [2102356]: INFO Adding user nsx-user in lockdown exception list^@
    nsxaVim: [2102356]: WARNING User <user name> does not exist retrying updating exception list^@  

     

  • ホスト トランスポート ノードから NSX マネージャーへの ping および netcat 接続は引き続き正常に機能します。

  • この状態でホストから NSX を削除しようとすると、ESXi コマンド: 'del nsx'はも失敗する可能性があります。

Environment

VMware NSX 4.x
VMware NSX-T Datacenter 3.x

Cause

HostClient または vCenter Lockdown の例外リストに Active Directory ユーザーが含まれており、その後 AD ドメインサーバから削除された場合、ESXi ホストはロックダウン例外リストからそのユーザーを自動的に削除しません。

この「古い」ロックダウンモードの例外ユーザーにより、ESXi ホスト上の nsxaApp サービスが停止し、ホストを NSX トランスポートノードとして正常に構成できなくなる可能性があります。

Resolution

  • 上記のように、ログ /var/run/log/nsxaVim.log に記載されているユーザーアカウントを、ロックダウン例外リストから削除してください。
    • VC で ESXi ホストを選択します。
    • 「構成」>「システム」>「セキュリティプロファイル」>「ロックダウンモード」に移動します。
    • 「編集」を選択します。
    • 「例外ユーザー」を選択します。
    • /var/run/log/nsxdavim.log で「存在しない」エラーが発生しているユーザーの横にある 3 つのドットをクリックします。
    • ユーザーを削除します。
  • 上記の手順を実行すると、NSX のトランスポートノードのステータスは数分以内に「成功」​​と表示されます。もし表示されない場合は、/etc/init.d/nsx-opsagent restartコマンドを使用して nsx-opsagent サービスを再起動し、アップグレードを完了してください。
  • 必要に応じて、ユーザーを例外リストに再度追加します。
  • ESXi ホストの構成を再試行します。

 

注:HostClient UI にもユーザーが存在する場合があります。存在する場合は、HostClient UI で該当のユーザーを確認し、削除してください。

Additional Information

NSX インストールプロセスのワークフローは、ホスト上でのローカルユーザー認証の成功に依存しています。そのため、ロックダウン除外リストにユーザーが登録されていない場合や、ホストに適用されているセキュリティプロファイルに何らかの不一致がある場合、「Failed to send HostConfig RPC to MPA TN:<Transport_Node_UUID>. Error: Unable to reach client <Transport_Node_UUID>, application SwitchingVertical.」というエラーが発生する可能性があります。

関連 KB: VMs unable to migrate on to NSX upgraded ESXi hosts by DRS/Manually

Powered by Wolken Software