サポートチケットを送信する前に、これらの一般的な問題と解決策をご確認ください。このページでは、Bastionhost 経由でサーバーに接続する際に発生する接続の失敗、認証エラー、アカウントの問題について説明します。
サーバー接続の問題
Bastionhost 経由でサーバーにアクセスできない場合の対処法
症状
Bastionhost インスタンス経由でサーバーに接続できません。
ステップ 1:接続性のテスト
まず、Bastionhost インスタンスとサーバーの IP アドレスおよびポート間の接続をテストします。詳細については、「ネットワーク診断」をご参照ください。
ステップ 2:テスト結果に基づくトラブルシューティング
接続性テストが失敗した場合
次の項目を順番に確認してください:
非標準のサーバーポート:サーバーのポート番号が非標準のプロトコルポートに変更されていないか確認してください。変更されている場合は、Bastionhost コンソールの Assets ページでホストのサービスポートを変更します。詳細については、「ホストのサービスポートの変更」をご参照ください。
セキュリティグループルール:セキュリティグループが Bastionhost インスタンスの送信元 IP アドレスからのトラフィックを許可しているか確認してください。送信元 IP アドレスは、Bastionhost コンソールのインスタンスリストで確認できます。セキュリティグループルールの追加方法の詳細については、「セキュリティグループルールの管理」をご参照ください。
サーバー側のセキュリティポリシー:サーバー上のセキュリティポリシーが Bastionhost インスタンスからのアクセスをブロックしていないか確認してください。以下の場所でブロッキングポリシーを確認します:
ネットワーク ACL
セキュリティグループ
Cloud Firewall
iptables や Windows ファイアウォールなどのサーバーの内部ファイアウォール
ホストベースのアクセス制御:サーバー上の
/etc/hosts.allowおよび/etc/hosts.deny構成ファイルが Bastionhost インスタンスからのアクセスを制限していないか確認してください。Cloud Firewall ポリシー:Bastionhost インスタンスで Cloud Firewall の保護が有効になっているか、またアクセスをブロックするセキュリティポリシーが構成されていないかを確認してください。詳細については、「Cloud Firewall と Bastionhost の共同デプロイメントにおけるアクセスポリシーのベストプラクティス」をご参照ください。
内部ネットワーク接続:Bastionhost インスタンスが内部ネットワーク経由でサーバーにアクセスできない場合は、両者間にネットワーク接続が確立されているか確認してください。詳細については、「ハイブリッド O&M (運用保守) シナリオのベストプラクティス」をご参照ください。
IP アドレスの競合:サーバーの IP アドレスが、Bastionhost インスタンスの送信元 IP アドレスまたは内部エンドポイントから解決された IP アドレスと競合していないか確認してください。競合が発生すると、サーバーのデータが Bastionhost インスタンスに到達できなくなる可能性があります。
プライベートネットワーク上のパブリック IP:サーバーがプライベートネットワークにパブリック IP アドレスを使用していないか確認してください。使用している場合は、Bastionhost でこの設定を構成できます。詳細については、「Bastionhost の構成」をご参照ください。
接続性テストが成功した場合
Bastionhost インスタンスをバイパスして、サーバーに直接接続してみてください。
直接接続も失敗する場合、問題はサーバー側にあります。サーバーでプロトコル接続のトラブルシューティングを行ってください。詳細については、以下をご参照ください:
サーバーに直接接続できるが、Bastionhost インスタンス経由では接続できない場合は、特定のエラーメッセージを確認してください。詳細については、「Bastionhost の一般的な O&M エラー」をご参照ください。
上記の手順で問題が解決しない場合は、チケットを送信できます。
認証の問題
新しいホストアカウントでパスワード検証エラーが発生した場合の対処法
症状 1:検証のタイムアウトまたは失敗
原因
検証のタイムアウトは、通常、ネットワークの到達不能性が原因で発生します。
解決策
まず、Bastionhost インスタンスとアセット間の接続性をテストします。詳細については、「ネットワーク診断」をご参照ください。
接続性が異常な場合、Bastionhost インスタンスとホスト間のネットワーク接続が利用できない可能性があります。詳細については、「Bastionhost 経由でサーバーにアクセスできない場合の対処法」をご参照ください。
接続性は正常であるにもかかわらず、検証がタイムアウトまたは失敗する場合は、ネットワーク同期が遅延している可能性があります。アカウントのパスワードを Bastionhost インスタンスに保存してから、アセットで O&M を実行してみてください。アカウントのパスワードを Bastionhost に保存する方法の詳細については、「ホストアカウントの構成」をご参照ください。
症状 2:パスワードが正しくないことによる検証の失敗
原因
Bastionhost で入力されたアカウントのパスワードが、アセットで設定されたパスワードと一致しません。
解決策
パスワード認証中に入力するアカウントのパスワードは、アセットで設定されているものと同じである必要があります。正しいアカウントのパスワードを入力したか確認してください。詳細については、「ホストアカウントの構成」をご参照ください。
Linux ホストで O&M を実行している場合は、
sshd_configファイルでルートアカウントまたはパスワード認証が無効になっていないか確認してください。
Bastionhost からキーベースの認証を使用してサーバーにアクセスできない場合の対処法
この問題は、V3.2.38 より前のバージョンを実行している Bastionhost インスタンスでのみ発生します。
症状
Bastionhost 経由でサーバーにアクセスしようとすると、キーベースの認証が失敗します。
原因
Rocky 9 や Ubuntu 22.04 以降などの一部のオペレーティングシステムでは、OpenSSH 8.7 以降を使用するサーバーで、デフォルトで ssh-rsa 公開鍵署名アルゴリズムが無効になっています。これにより、Bastionhost がキーベースの認証を使用してサーバーにアクセスしようとすると失敗します。
解決策
サーバー上の sshd_config ファイルを構成して、ssh-rsa 公開鍵署名アルゴリズムを手動で有効にします:
sshd_config 構成ファイルを開きます。
vim /etc/ssh/sshd_configsshd_config 構成ファイルに次の内容を追加して、ファイルを保存します。
HostKeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsasshd サービスを再起動します。
systemctl restart sshd
アカウントとセッションの問題
O&M ページにホストが表示されない理由
症状
Bastionhost にログインした後、[O&M ページ] にホストが表示されません。
原因 A:権限の不足
Resource Access Management (RAM) ユーザーにホストに対する権限が付与されていません。
解決策:RAM ユーザーにホストに対する権限を付与してから、再度確認してください。詳細については、「ユーザーへのアセットおよびアセットアカウントの権限付与」をご参照ください。
原因 B:不正なユーザーセッション
正しい RAM ユーザーとしてログインしていません。
解決策:ホストに対する権限が付与されている RAM ユーザーとして Bastionhost コンソールにログインしてください。
Bastionhost にログイン後、EMPTY アカウントが表示される理由
症状
Bastionhost にログインすると、EMPTY とラベル付けされたアカウントが表示されます。
原因
システム設定で [未承認の資産アカウントを許可] を選択し、O&M エンジニアに、そのホストアカウントではなく資産にのみ権限を付与した場合、ログイン時に EMPTY というラベルのアカウントが表示されます。
解決策
ユーザーにホストアカウントの権限を付与します。詳細については、「ユーザーへのアセットアカウントの権限付与」をご参照ください。