由于時間同步問題，導緻 vCenter Server 7.x 首次引導失敗

症狀

• vSphere 環境的元件不是時間同步的。
• Firstboot 在安裝/部署、更新或遷移期間失敗。
• 在firstbootStatus.json檔案中，您可能會看到以下服務之一在首次啟動期間未能配置或啟動：“失敗步驟”：“cmfirstboot”“failedSteps”：“analytics_firstboot”“失敗步驟”：“vpxd_firstboot”“failedSteps”：“pschealth-firstboot”“失敗步驟”：“sms_spbm_firstboot”“失敗步驟”：“vmafd-firstboot”“失敗步驟”：“vapi_firstboot”“failedSteps”：“mgmt-firstboot”“失敗步驟”：“scafirstboot”“failedSteps”：“updatemgr-firstboot”“失敗步驟”：“ngc_firstboot”

• 在cmfirstboot.py_####_stderr.log檔案中，您會看到錯誤：

  PAM：身份驗證令牌不再有效

  執行安全操作時發生錯誤：“無法将使用者：cm 添加到組：cis”

• 在analytics_firstboot.py_####_stderr.log檔案中，您會看到錯誤：

  Analytics Service registration with Component Manager failed

  ns0:MessageExpired

  The time now (date + time) does not fall in the request lifetime interval extended with clock tolerance 600000 毫秒 [（日期 + 時間）；（日期+時間）]。這可能是由于時鐘偏差問題。

• 在vpxd_firstboot.py_####_stdout.log檔案中，您會看到以下錯誤：

ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] 證書驗證失敗 (_ssl.c:720)

• 在pschealth-firstboot.py_#####_stderr.log檔案中，您會看到以下錯誤：

啟動服務“pschealth”時出錯

• 在sms_spbm_firstboot.py_####_stderr.log檔案中，您會看到以下錯誤：

VMware vSphere 配置檔案驅動的存儲服務啟動失敗

• 在vmafdd-syslog.log檔案中，您會看到以下錯誤：

Vmdir 伺服器已關閉。

• 在vmdird-syslog.log檔案中，您會看到以下錯誤：

DecodeEntry 失敗 (9605) DN:()

LoadServerGlobals：（9700）（）

• 在vapi_firstboot.py_####_stderr.log檔案中，您會看到以下錯誤：

首次啟動時無法配置 vAPI 端點服務

• 在mgmt-firstboot.py_####_stderr.log檔案中，您會看到以下錯誤：

UnboundLocalError：指派前引用了局部變量“e”

• 在scafirstboot.py_####_stderr.log檔案中，您會看到以下錯誤：

[SSL: CERTIFICATE_VERIFY_FAILED] 證書驗證失敗 (_ssl.c:720)

• 在updatemgr-firstboot.py_6012_stderr.log檔案中，您會看到以下錯誤：

無法注冊 updatemgr 擴充

• 在ngc_firstboot.py_####_stderr.log檔案中，您會看到以下錯誤：

SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] 證書驗證失敗 (_ssl.c:720)

• 在%ProgramData%\VMware\vCenterServer\logs\cm\cm.log檔案中，您會看到類似于以下内容的條目：

Caused by: com.vmware.vim.vmomi.client.exception.VlsiCertificateException: 伺服器證書鍊不受信任且未配置指紋驗證

在 com.vmware.vim.vmomi.client.http.impl.ThumbprintTrustManager.checkServerTrusted(ThumbprintTrustManager.java:183)

在 sun.security.ssl.AbstractTrustManagerWrapper.checkServerTrusted(SSLContextImpl.java:984)

在 sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1496)

... 78 更多

原因：sun.security.validator.ValidatorException：PKIX 路徑驗證失敗：java.security.cert.CertPathValidatorException：時間戳檢查失敗

• 在fbInstall.json檔案中顯示開始時間和結束時間之間存在意外的時間差異。這可能是時間上向前或向後的一個大跳躍。

例如：

"start_time": "2018-05-07T13:00:00.000Z

"end_time": "2018-05-07T18:00:00.000Z"

或

"start_time": "2018-05-07T18:05:00.000Z

"end_time" ：“2018-05-07T18：00：00.000Z”

原因

出現此問題的原因是 vSphere 環境中的時間不一緻。當目标 vCenter Server Appliance 的目标 ESXi 主機未與 NTP 同步時，最常發生此問題。如果目标 vCenter Server Appliance 由于完全自動化的 DRS 而遷移到具有不同時間的 ESXi 主機，也會發生此問題。

解決

為避免時間同步問題，請在部署、遷移或更新 vCenter Server Appliance 之前確定以下内容正确無誤：

1. 将部署目标 vCenter Server Appliance 的目标 ESXi 主機同步到 NTP。
2. 如果目标 ESXi 主機是全自動 DRS 群集的一部分，請将自動化級别更改為手動。
3. 運作源 vCenter Server Appliance 的 ESXi 主機同步到 NTP。
4. 如果 vCenter Server Appliance 将連接配接到外部 Platform Services Controller，請確定運作外部 Platform Services Controller 的 ESXi 主機同步到 NTP。
5. 驗證源 vCenter Server 或 vCenter Server Appliance 和外部 Platform Services Controller 的時間是否正确。

有關更多資訊：

• 在 vSphere 中管理時間，請參見同步 vSphere 網絡上的時鐘。
• 更改 DRS 自動化，請參閱編輯叢集設定。
• vCenter Server Appliance 要求，請參見 vCenter Server Appliance 和 Platform Services Controller Appliance 的系統要求。

相關資訊

注意：Firstboot 日志位于：

• vCenter Server Appliance - Firstboot 日志位于/var/log/firstboot 目錄中。

• Windows 上的 vCenter Server - Firstboot 日志位于VMware-VCS-logs-.zip/vcs_logs/uninstall目錄

  或

  VMware-VCS-logs- /vcs_logs/uninstall/ .zip/ProgramData/VMware/vCenterServer/logs/firstboot 目錄中

注意：在 vSphere 7.0 中，适用于 Windows 的 vCenter Server 已被移除且不提供支援。有關詳細資訊，請參見再見，适用于 Windows 的 vCenter Server。