一、故障描述
上述错误是因无法解析来自身份验证错误响应中的错误时,会报出。这往往时由于horizon client与TA,view agent之间的通信中断造成的。造成在desktone.log日志里可看到相关warning或error,如下所示:
二、分析处理
1、登录测试
登录租户admin平台,观察故障虚拟桌面的agent状态和版本数据均正常,Horizon client登录同一租户下的其他桌面正常,浏览器登录故障桌面失败,桌面重置或重启后验证无效,view agent和daas agent、blast服务器重启后,daas agent图标显示正常。daas agent日志只要身份验证错误。切换到RDP和PCoiP协议也登录失败,报错一样。
2、时间确认和agent状态:
3、日志
且验证daas agent到 broke(TA)的jms端口是通的,信息发出去了但是没收到响应回复(可能呗安全软件拦截了),综上,还应该去查看安全软件的拦截行为
4、查看安全软件360:
重启horizon view agent和daas agent,daas agent日志如下:
horizon view agent日志显示agent通信还是异常,添加programData/vmware到白名单
后卸载360后,desktone日志未有明显好转,故本次故障并不一定是360所致。又结合上面提到的daas agent与horizon agent通信正常,能发出去,却回不来。先重新安装horiozn agent尝试。
后端登录故障桌面,报错以下警示(这是正常情况的正常警示,证明桌面当前状态正常才对):
再查看desktone日志,发现如下报错:
从上述报错,结合之前horizon view agent安装无效,此处应该重新对daas agent重新执行pairing操作,更新ssl 认证。
根据回忆,上述应该是EDB数据库里有了该vm的对象,不匹配所致,需要去TA上删除vmid,修改允许配对,但是本环境的TA数据库密码给忘记了。尬尴呀!
上图中,是某些vm上的agent失效所致。只要没出现320*出现的报错就行。
在Horizon环境中, MQ JMS服务经常用于view连接服务器/TA,Horizon client,桌面 agent之间的SSL通信(证书,身份认证等),他们这些endpoin每次启动后,都会创建和提供一个SSL/TLS 证书,这个证书默认会在180天后自动刷新。当我们怀疑该证书失效后,可利用vdmUtil命令行工具立即刷新该证书,确保安全授信通信正常。
重新配对失败:daasagent日志如下:
view agent:
针对以上查询edb
注意下面这个报错:
根据日志发现脏数据:
其他脏数据:删除ip地址为空的:
清除完数据重启还是不管用,报错依旧。
但实际测试到3和4的4001端口是可通的。
由上可知还是处在TA侧问题,agent请求到了,但是没有等到TA响应超时任务自杀了。再来看TA侧报错:
这里仿佛在说这个存储关联又问题。清空对应租户的如下配置:
清空agent相关注册信息:
重新对agent执行配对:未果,还是无法changeKey。
下面是一个agent注册的日子,我们来比对一下:
综上,部分错误其实并不影响,关键还是agent发起changeKey请求时,TA不知因何原因未处理,虽然提示为身份验证失败。哪位兄弟理解了,还请不吝赐教!!!
三、附录:相关说明
1)相关服务: