No Healthy Upstream es a menudo problema de certificado: Guía vCenter KB 316619

Guía completa para resolver el error No Healthy Upstream por certificado STS caducado en vCenter. Pasos con vCert, logs y prevención.

3 jul 2026 • 3 min de lectura • Equip Q2BSTUDIO

Diagnóstico y recuperación tras error de certificado STS

El mensaje 'No Healthy Upstream' en vSphere Client puede desorientar rápidamente a cualquier administrador. A simple vista parece un fallo del proxy web o un problema de red, pero en entornos basados en vCenter Server Appliance (7.x, 8.x o 9.x) suele ser la manifestación visible de una identidad rota: un certificado STS caducado. La cadena de servicios internos de VMware depende de la emisión de tokens seguros, y cuando el certificado de firma de STS expira, servicios como vmware-stsd fallan al arrancar, impidiendo el inicio de vpxd, vapi-endpoint y la interfaz web. Abordar este error como un simple reinicio de servicios es perder tiempo; se necesita un proceso de triaje estructurado que identifique la causa raíz.

El primer paso consiste en comprobar el estado de los servicios mediante SSH en el appliance. Ejecutar service-control --status --all revela si vmware-stsd está detenido o en bucle de fallo. Si lo está, se debe buscar evidencia en los logs: /var/log/vmware/sso/vmware-identity-sts.log, /var/log/vmware/vpxd-svcs/vpxd-svcs.log y /var/log/vmware/vpxd/vpxd.log. Patrones como 'Signing certificate is not valid', 'InvalidTimeRange' o 'certificate has expired' confirman que el problema es de certificado STS. En ese punto, no se deben tocar los certificados Machine SSL ni forzar reinicios generales; lo correcto es usar la herramienta vCert, descargada desde Broadcom, para reemplazar únicamente el certificado de firma STS. Antes de cualquier modificación, es obligatorio tomar un snapshot sin memoria de la máquina virtual (en entornos con Enhanced Linked Mode, de todos los nodos del dominio SSO). Q2BSTUDIO, como empresa especializada en aplicaciones a medida, recomienda integrar estos procedimientos en un runbook automatizado que reduzca el tiempo de resolución y el error humano.

Una vez reemplazado el certificado STS y reiniciados los servicios, se debe validar que la cadena de confianza se haya restaurado. Para ello, vCert permite revisar los SSL Trust Anchors del Lookup Service; si no se actualizan, pueden persistir fallos de autenticación. Además, conviene generar un informe completo de certificados VECS, entradas de CA en VMware Directory y service principals. La verificación final incluye comprobar que el login desde el cliente sea exitoso y que los servicios críticos (vpxd, lookupsvc, sts) muestren estado 'RUNNING'. Es aquí donde la inteligencia de negocio y las capacidades de monitorización proactiva marcan la diferencia. Q2BSTUDIO ofrece servicios de automatización de procesos que pueden alertar sobre la caducidad próxima de certificados STS antes de que provoquen una parada, integrando dashboards en Power BI para visualizar el ciclo de vida de los certificados en toda la infraestructura.

La prevención es el mejor remedio. El propio Broadcom recomienda reemplazar el certificado STS cuando falten menos de seis meses para su expiración, y a partir de vCenter 7.0 U1 se generan notificaciones con 90 días de antelación. Sin embargo, estas alertas no cubren todos los escenarios; por eso es fundamental disponer de soluciones de ciberseguridad que monitoricen el estado real de los certificados y detecten anomalías en la emisión de tokens. En Q2BSTUDIO combinamos inteligencia artificial con servicios cloud AWS y Azure para crear agentes IA que supervisan continuamente la salud del vCenter, enviando alertas tempranas y ejecutando acciones correctivas automatizadas. Nuestro equipo también desarrolla software a medida para integrar estas monitorizaciones con sistemas de ticketing y plataformas de BI, ofreciendo una visión unificada que minimiza el downtime.

En resumen, 'No Healthy Upstream' no es un problema de red; es la punta del iceberg de una falla de identidad. Abordarlo con un enfoque disciplinado —verificar servicios, analizar logs, proteger el estado del appliance, reemplazar solo el certificado STS y validar la confianza— evita acciones desproporcionadas como reinicios completos o reemplazos masivos de certificados. Para organizaciones que buscan optimizar este flujo, Q2BSTUDIO ofrece consultoría y desarrollo de soluciones personalizadas, desde sistemas de alerta basados en Power BI hasta aplicaciones a medida que gestionan el ciclo de vida completo de los certificados en entornos virtualizados. La clave está en no esperar al fallo, sino en anticiparse con herramientas de ia para empresas que garanticen la disponibilidad y la seguridad de la plataforma VMware.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.