vCenter Setup schlägt fehl

[ParadisE95]

Hallo Community,

auf meinem vCenter Server schlägt nach der Installation das Setup fehl.
Das Setup kann nicht erneut ausgeführt werden und es erscheint die Meldung "Abrufen des Bereitstellungsstatus fehlgeschlagen" auf dem Webinterface.
Der Server selbst gibt mir die Meldung....

Download support bundle from:
https://vcenter.test.local:443/appliance/support-bundle
Failed to start services. Firstboot Error.

Ich habe bereits folgendes versucht, leider ohne Erfolg...
- Dienst Neustarten (Command Line)
- Server Neustarten
- Update über das Repository (Bash Shell) -> cat software_update_state.conf { "state": "UP_TO_DATE"}

Kann mir hier jemand auf die Schnelle helfen? Woran das liegt und wie es sich beheben lässt?

Gruß

[rprengel]

Hallo Community,

auf meinem vCenter Server schlägt nach der Installation das Setup fehl.
Das Setup kann nicht erneut ausgeführt werden und es erscheint die Meldung "Abrufen des Bereitstellungsstatus fehlgeschlagen" auf dem Webinterface.
Der Server selbst gibt mir die Meldung....

Download support bundle from:
https://vcenter.test.local:443/appliance/support-bundle
Failed to start services. Firstboot Error.

Ich habe bereits folgendes versucht, leider ohne Erfolg...
- Dienst Neustarten (Command Line)
- Server Neustarten
- Update über das Repository (Bash Shell) -> cat software_update_state.conf { "state": "UP_TO_DATE"}

Kann mir hier jemand auf die Schnelle helfen? Woran das liegt und wie es sich beheben lässt?

Gruß

Erste Frage ist immer DNS funktioniert tip-top?

[irix]

Ich frage mich gerade welche Sprache der Installer hat weil "Abrufen des Bereitstellungsstatus fehlgeschlagen". Na egal.

Ich kenne zumind. einen Grund wenn man den Installer ausserhalb des eigentlichen Zielnetzes startet und seine FW noch nicht vorbereitet hat, wo ich meine das dann dieser Fehler kommt. Die ersten Schritte laufen alle mittels 443/TCP und ueber den ESXi. Wenn dann aber die VCSA gestartet wird wird er am Ende des OVA deployments und der Installation der RPMs dann pruefen ob 5480/TCP erreicht wird. Kann er den nicht erreichen von deinem PC aus so stoppt er dann.
In meinem Falle konnte ich dann aber von einem anderen System welches sich im Zielnetz bekannt einfach per Browser dann auf https://ip:5480 mich verbinden und mittels Stage2 fortfuehren.

Ich stimme @rprengel zu das der Start der Dienste fehlschlagen kann wenn DNS nicht funktioniert oder man sich andersweitig bei Maske/GW vertippt hat und DNS/NTP nicht erreicht werden kann.
NTP koennte man zeitlich aussetzen in dem man beim Deployment sagt das die VCSA vom Host die Zeit bekommt. Das kann man dann ja hinterher umstellen wenn man dann mal sich verbinden kann.

Gruss
Joerg

[ParadisE95]

Hallo irix,
Hallo rprengel,

mittlerweile kann ich sicher sagen das DNS das Problem verursachen wird.
Trotz gesetztem DNS in der Konsole des vCenter Servers, bekomme ich keine Verbindung zu diesem.

Meinen DNS Server steht eigentlich soweit. Zumindest habe ich die Zonen schon alle angelegt und auch die Einträge für den Server angelegt.
(A Record und PTR/Reverse Record).

Wenn ich den DNS Server am vCenter abfrage, antwortet er mir mit dem Localhost.Auch ist dieser in der /etc/resolv.conf eingetragen.
Ich habe den Eintrag hier jetzt auf meinen richtigen Nameserver geändert. Allerdings auch ohne Erfolg :/

Gibt es eine Möglichkeit dem vCenter zu sagen welchen DNS Server er nutzen soll, wenn die Einstellungen über die Server-Konsole scheinbar nicht mit übernommen werden?

Gruß

[irix]

Stop.. moderne Linuxe, da gehoert nun das PhotonOS der VCSA dazu, haben immer einen lokalen DNS resolver mittlerweile. Darum steht da auch localhost bei dir in der resolv.conf. Ich muss immer Googlen wenn ich dessen Cache loeschen will weil das wird einfach ueber den Dienstneustart gemacht aber den Befehl kann ich mir nicht merken.

Aber ich meine das dann unterhalb der 127.0.0.1 dann eine DNS Server stehen sollten?

Code: Alles auswählen

root@vcsa [ ~ ]# cat /etc/resolv.conf
# This file is managed by man:systemd-resolved(8). Do not edit.
#
# This is a dynamic resolv.conf file for connecting local clients directly to
# all known uplink DNS servers. This file lists all configured search domains.
#
# Third party programs must not access this file directly, but only through the
# symlink at /etc/resolv.conf. To manage man:resolv.conf(5) in a different way,
# replace this symlink by a static file or a different symlink.
#
# See man:systemd-resolved.service(8) for details about the supported modes of
# operation for /etc/resolv.conf.

nameserver 127.0.0.1
nameserver 192.168.xx.xx
nameserver 192.168.yy.yy
search company.local

Um zu gucken ob rein routing stimm pinge einfach den DNS an sofern die FW da ICMP Echo erlaubt. Wenn das geht pruefe in der FW ob sie eine Ausnahme fuer DNS mit Port 53 hat. Letzteres wuerde aber auch ein Funktionstest mittels "nslookup" aus der Shell der VCSA heraus zeigen.

Code: Alles auswählen

root@vcsa [ ~ ]# nslookup www.heise.de 192.168.xx.xx
Server:         192.168.xx.yy
Address:        192.168.yy.yy#53

Non-authoritative answer:
Name:   www.heise.de
Address: 193.99.144.85
Name:   www.heise.de
Address: 2a02:2e0:3fe:1001:7777:772e:2:85

Moegliche Fehlerquellen

1. Du kommst nicht hin zum DNS
2. Du spricht mit einem DNS welcher deinen Addressrecord nicht hat


Gibt es bei euch im Netz eine NAC Loesung so das neue Geraete bzw. deren MACs erst freigeschaltet werden muessen?

[ParadisE95]

Hallo irix,

also der von mir gesetzte DNS Server wird nicht mit in die resolv.conf geschrieben.
Nur der Localhost wird eingetragen. Einziger Eintrag (nameserver 127.0.0.53)

Zu deinen Fragen...

1- Ping läuft durch. Auch ein SSH von DNS Server auf vCenter läuft gut.
2. Die Adressrecords sind alle angelegt sowohl im Forward als auch Reserv. Mein DNS Server kann die Records auflösen wenn ich diese Frage...
(Ich habe mit dig getestet, sodass ich auch sicher gehen kann, den PTR oder A Record des Servers anzusprechen.)
3. Nein ein NAC nutzen wir nicht in dem NEtzwerk.
Alles was blockiert werden könnte... läuft über eine FortiFirewall. Hier habe ich zum Test aber alle Regeln zwischen Netzen auf Allow Any gesetzt.
(Innerhalb des Server Netzes sollte es egal sein, da DNS und vCenter im gleichen Sub hängen 172.30.0.x /24)

Beim nutzen von dig sieht man am vCenter, dass er den A Record nicht auflösen kann, weil er seinen localhost (127.0.0.53) fragt?/ ich denke, dass was du mit DNS Resolver meinst.

Bei nslookup kann kein nameserver gefunden werden. Antwort: " server cant't find... :SERVFAIL"


Hättest du noch eine Idee?

Gruß und vielen Dank

[irix]

Ich habe nicht gesagt das du dig nutzen sollst(gehe aber davon aus das es das auch koennte) sondern du sollst dem nslookup sagen das du mit deinem externen DNS sprechen willst. Wenn das geht dann ist FW und so weiter erst mal aussen vor. Dann muss man das Problem bei dem internen Resolver suchen.

Wie schauts denn in der GUI aus? Tauchen da deine DNS auf? Was passiert wenn du die manuell ans Ende der resolv.conf eintraegst. Dazu musst du dann aber diesen Resolver neustarten... oder gleich die ganze VCSA.

Gruss
Joerg

[ParadisE95]

Hallo irix,

mit einem externen DNS Server kann ich sprechen.
Sowohl ins Internet als auch als externen DNS Server meinen eigenen DNS Server anfragen und interne Auflösungen durchführen.

Ich habe jetzt erneut versucht meine resolv.conf zu bearbeiten allerdings wieder ohne Erfolg.
Habe dazu die folgende Doku einmal verwendet...
https://vmware.github.io/photon/assets/ ... erver.html

Leider bleibt das Problem, dass er nach wie vor nur den 127.0.0.53 als DNS Server über die resolve.conf findet

Gruß

[irix]

Ich hab ja mal oben meine resolv.conf gepostet.

Wenn man nach dem Problem googled dann findet man eher wenig wobei es fuer 6.5 einmal genau das gleiche problem gab aber keine Loesung. Ansonsten waren es eher die ueblichen Firewall probleme wenn man aus einem anderen Netz kommt.

Gruss
Joerg