vpxd-svcs startet nicht mehr

7. Juni 2021 at 20:32

Ein vCenter eines Kunden hatte heute morgen nicht mehr funktioniert. Der WebClient zeigte lediglich die Meldung no healthy upstream und auf die API konnte man nicht verbinden.

Zuerst einmal schaute ich mir an welche Dienste gestartet waren und welche nicht:

Dort sieht das z.B. die Datenbank und andere Core-Services gestartet waren, aber z.B. vpxd (der vCenter Server Daemon) und vpxd-svcs nicht. Da vpxd von vpxd-svcs abhängig ist, sollte man überprüfen warum dieser nicht startet. Hilfreich ist dabei das Logfile dieses Dienstens. Dies ist zu finden unter /storage/log/vmware/vpxd-svcs/vpxd-svcs.log.
Dort befand sich der folgende Eintrag:

Dies hat in den meisten Fällen einen von zwei möglichen Gründen:

  1. die Trust Anchor sind fehlerhaft konfiguriert
  2. es gibt abgelaufene Zertifikate in der Konfiguration der diversen Dienste

Den ersten Grund kann man über den lsdoctor (https://kb.vmware.com/s/article/80469) prüfen. Doch in diesem Fall brachte dies keine Probleme zum Vorschein (“no problems found”).
Um den zweiten Grund zu überprüfen, gibt es ein Shellcommand. Dieses listet alle Zertifikate auf und zeigt das Ablaufdatum an:

Hier zeigte sich die folgende Ausgabe:

Hier zeigten sich unter anderem im machine-Store Zertifikate welche abgelaufen waren.

Zur Fehlerbehebung kann man nun mittels dem Certificate Manager (https://kb.vmware.com/s/article/2097936) die Zertifikate zurücksetzen (Option 8).
Danach startete das vCenter wieder korrekt. Nun kann man wieder neue CA-Zertifikate implementieren.
Wie jede Änderung an den Zertifikaten, hat dies Einfluss an die Integration von Drittanbieterprogrammen. Dort muss der Trust evtl. neu hergestellt werden.