vCenter 6.0 web访问503错误：服务不可用，无法连接endpoint，

问题描述

登录vcenter报错503错误，访问vc的VAMI（https://IP_address:5480或https://VAMI_host_name:5480）管理页面，输入账号密码无法登录。vcenter web页面报错如下：

分析过程

1、ssh或直接romote console登录vc 管理控制台；

2、root用户登录，输入密码后会提示需要更新密码，否则无法登录，需要重新配置新面貌完成后，才可正常登录

执行service-control --start --all //会报vmware 清单服务无法启动的错误

3、修改密码登录后，查看/var/log/messages.0.log 日志会看到相关输出。

grep “Authentication token is no longer valid; new one required” /var/log/messages.0.log | head

查看/var/log/vmware/vmdird/vmdird-syslog.log日志里有相关报错：

4、这时在登陆vc的VAMI（https://IP_address:5480或https://VAMI_host_name:5480）54管理页面即可正常登录，且在管理选项子页面会看到root过期日期，修改为永不过期。

故障原因及处理

上述报错原因如下：

1）是因为vmdird里的密码与vmdird-syslog.log里指定的不匹配导致的，多发生在vc密码过期或vc故障从备份或快照还原后。可重置vmdird-syslog.log相关密码。

2）vcsa设备根分区使用100%导致vc无法访问

这是因 Audit.log 文件未进行轮换，导致vCenter Appliance 中 /dev/sda3 - root 分区已满，从而导致vpxd服务无法启动，自然vc web无法访问，访问 vSphere Web Client 失败并报错: 503 service unavailable。

登录vcsa设备，执行df -h可看到根分区使用率100%，执行du -sh /*|sort-rn，可看到/var/log/audit/目录占用5.3G的空间；且其下有很多auditbz2转储日志。

但是，日志空间并没有足够大；如果日志过大，轮询异常，可运行 /etc/cron.daily/logrotate 可按预期手动轮换日志。另此处提供减少 audit.log 大小的步骤。

1>登录vc，激活shell：shell.set --enabled true

2>进入audit目录：cd /var/log/audit，执行ls -lh audit.log，正常一般不超过500M，如果过大，考虑轮询异常，手动截断处理，执行:

truncate -s 0 audit.log //清除内容而不删除文件

3>查看上次成功运行 cron 作业的时间，执行：

ls -l /var/spool/cron/lastrun/ //确定 cron 作业是否很久未更新。通常应每天更新。

4>检查运行 cron 作业时是否凭据错误，执行：

grep “Authentication token is no longer valid; new one required” /var/log/messages.0.log | head //如有，会看到如下类似输出

2021-07-08T00:20:01.617180+00:00 vcenter /usr/sbin/cron[18972]: Authentication token is no longer valid; new one required

5>检查 root 密码是否已过期：chage -l root

将根密码更改为永不过期：#chage -m 0 -M 99999 -I -1 -E -1 root

注意：在 vCenter Server Appliance 5.5 和 6.0 中，默认情况下，本地帐户密码会在 90 天后过期。在vCenter Server appliance 5.5 Update 1 中，密码会在 90 天后过期。但是您可以在密码过期时通过控制台登录，然后更新密码。如果无法通过控制台、Secure Shell 和虚拟设备管理界面 (VAMI)（vCenter Server Appliance 5.5 和 6.0 Update 1）访问 root 帐户，则说明 root 帐户已由于密码过期而失效。

重新引导 vCenter Server Appliance。出现 GRUB 引导加载程序后（调整引导延迟或强制虚拟机进入 BIOS 或 EFI 设置屏幕），按空格键禁用自动引导。键入 p 访问设备引导选项。输入 GRUB 密码

如果部署 vCenter Server Appliance 时未在虚拟设备管理界面 (VAMI) 中编辑 root 密码，则默认 GRUB 密码为 vmware。如果使用 VAMI 重置了 vCenter Server Appliance 的 root 密码，则 GRUB 密码为上次在 VAMI 中为 root 帐户设置的密码。

使用方向键突出显示 VMware vCenter Server Appliance 并键入 e 编辑引导命令。

滚动到第二行以显示内核引导参数：

键入 e 编辑引导命令。添加 init=/bin/bash 到内核引导选项：

按 Enter。将重新显示 GRUB 菜单。键入b启动引导过程。系统引导到 Shell。运行 passwd root 命令重置 root 密码，完成后运行 reboot 命令重新启动设备。.

如果运行 reboot 命令无法重新启动设备，则运行以下命令：

mkfifo /dev/initctl
reboot -f

注意：如果 root 帐户锁定了很长时间，这可能是因为消息日志的增长导致空间已满。

6>重新启动所有 vCenter Server 服务。

service-control --stop --all
service-control --start --all

附录：防止在 root 帐户仍然有效时强制锁定

本过程主要是通过修改/etc/cron.daily/pass-expiration 脚本来实现的。

1>root用不登录vcsa的console；

2>备份/etc/cron.daily/pass-expiration脚本文件。

3>编辑/etc/cron.daily/pass-expiration脚本，定位到如下位置：

# disable the password if it's time and not already done.
# don't rely on the pam account facility. prepend an x in the shadow file.
if [ $TODAY -ge $DEADLINE ] && ! grep -q 'root:x' $SHADOW; then
sed -e 's/^root:\(.*\)/root:x\1/' $SHADOW -i
fi

增加以下内容：

# force a password change for root if we've reached the password expiration date.
# pam.unix2 doesn't do this the way we would like, so we do this instead.
if [ $TODAY -ge $DEADLINE ]; then
chage –d 0 root
fi

4>完成后保存退出即可。