Fehlerbehebung bei Problemen mit virtuellen NSX Malware-Schutz-Dienstmaschinen

Die Informationen in diesem Thema sollen Ihnen dazu dienen, Probleme im Zusammenhang mit der Bereitstellung des NSX Distributed Malware Prevention-Diensts, dem Systemzustand von Dienstinstanzen, ESXi-Agencys und anderen Problemen zu beheben.

Überprüfen des Systemzustands von ESX Agent Manager

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Integritätszustand von vSphere ESX Agent Manager (EAM) normal ist:

Navigieren Sie im vSphere Client zu Verwaltung > vCenter Server-Erweiterungen. Klicken Sie auf vSphere ESX Agent Manager.
Klicken Sie auf die Registerkarte Konfigurieren.
Diese Seite zeigt den Systemzustand von ESX-Agencys auf den Hosts für die NSX Malware-Schutz-Lösung an. Auch von den Agencys erkannte Probleme werden gegebenenfalls dort angezeigt.

Der EAM-Dienst ( ESXi Agency Manager) muss ausgeführt werden. Überprüfen Sie, ob auf die folgende URL zugegriffen werden kann.

https://vCenter_Server_IP_Address/eam/mob

Ersetzen Sie vCenter_Server_IP_Address durch die IP-Adresse des vCenter Server in Ihrem Netzwerk.

Überprüfen der Konnektivität von Portgruppen, Schnittstellen und Kontext-Multiplexer

Führen Sie die folgenden Schritte im vSphere Client aus:

Wählen Sie den Namen der virtuellen Dienstmaschine aus und klicken Sie dann auf die Registerkarte Netzwerke. Vergewissern Sie sich, dass die Portgruppe vmservice-vhsield-pg aufgeführt ist.
Klicken Sie mit der rechten Maustaste auf den Namen der virtuellen Dienstmaschine und klicken Sie auf Einstellungen bearbeiten. Überprüfen Sie auf der Seite Virtuelle Hardware, ob Netzwerkadapter 1 und Netzwerkadapter 2 verbunden sind. Netzwerkadapter 1 verbindet die SVM mit dem Verwaltungsnetzwerk, und Netzwerkadapter 2 verbindet die SVM mit der Portgruppe vmservice-vshield-pg, die NSX während der Dienstbereitstellung automatisch erstellt hat. Netzwerkadapter 2 ist die Steuerungsschnittstelle der SVM, die für die Kommunikation zwischen dem Kontext-Multiplexer (MUX) und der SVM verwendet wird. Die IP-Adresse der Steuerungsschnittstelle für die NSX Malware-Schutz-SVM lautet 169.254.1.22.

Der Kontext-Multiplexer-Dienst muss auf jedem ESXi-Host ausgeführt werden. Um zu überprüfen, ob der nsx-context-mux-Dienst auf dem Host ausgeführt wird, melden Sie sich bei der CLI jedes ESXi-Hosts als Root-Benutzer an und führen Sie den folgenden CLI-Befehl aus:

# /etc/init.d/nsx-context-mux  status

Wenn der Dienst nicht ausgeführt wird, starten Sie den Dienst mit dem folgenden CLI-Befehl bzw. führen Sie mit diesem Befehl einen Neustart durch:

/etc/init.d/nsx-context-mux start

Oder

/etc/init.d/nsx-context-mux restart

Hinweis: Ein Neustart dieses Diensts während der Produktionszeiten ist sicher, da dies keine erheblichen Auswirkungen hat. Der Dienst wird in einigen Sekunden neu gestartet.

Beheben von ESX Agent Manager-Problemen

Der ESX Agent Manager benachrichtigt NSX Manager über Fehlerdetails, wenn Probleme in den ESX-Agencys erkannt werden. Sie können in der NSX Manager-Benutzeroberfläche auf Auflösen klicken, um die Probleme zu beheben. In der folgenden Tabelle werden die ESX Agent Manager-Probleme beschrieben.

Problem	Kategorie	Beschreibung	Lösung
Auf Agent-OVF kann nicht zugegriffen werden	VM nicht bereitgestellt	Eine Agent-VM soll auf einem Host bereitgestellt werden. Die Agent-VM kann aber nicht bereitgestellt werden, da der ESXi Agent Manager nicht auf das OVF-Paket für den Agent zugreifen kann. Dies kann daran liegen, dass der Webserver, der das OVF-Paket bereitstellt, nicht verfügbar ist. Der Webserver gehört oft zur Lösung, die die Agency erstellt hat.	Der ESXi Agency Manager (EAM)-Dienst wiederholt den OVF-Downloadvorgang. Klicken Sie auf Auflösen.
Nicht kompatible Hostversion	VM nicht bereitgestellt	Es wird erwartet, dass eine virtuelle Agent-Maschine auf einem Host bereitgestellt wird. Aufgrund von Kompatibilitätsproblemen wurde der Agent jedoch nicht auf dem Host bereitgestellt.	Aktualisieren Sie entweder den Host oder die Lösung, damit der Agent mit dem Host kompatibel ist. Überprüfen Sie die Kompatibilität des SVM. Klicken Sie auf Auflösen.
Nicht genügend Ressourcen	VM nicht bereitgestellt	Es wird erwartet, dass eine virtuelle Agent-Maschine auf einem Host bereitgestellt wird. Allerdings hat der ESXi Agency Manager (EAM)-Dienst die virtuelle Agent-Maschine nicht bereitgestellt, da der Host weniger CPU- oder Arbeitsspeicherressourcen aufweist.	Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine erneut bereitzustellen. Stellen Sie sicher, dass CPU- und Arbeitsspeicherressourcen verfügbar sind. Überprüfen Sie den Host und geben Sie einige Ressourcen frei. Klicken Sie auf Auflösen.
Nicht genügend Speicherplatz	VM nicht bereitgestellt	Es wird erwartet, dass eine virtuelle Agent-Maschine auf einem Host bereitgestellt wird. Die virtuelle Agent-Maschine wurde jedoch nicht bereitgestellt, da der Agent-Datenspeicher auf dem Host nicht über genügend freien Speicherplatz verfügte.	Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine erneut bereitzustellen. Geben Sie Speicherplatz im Datenspeicher frei. Klicken Sie auf Auflösen.
Kein Agent-VM-Netzwerk	VM nicht bereitgestellt	Eine Agent-VM soll auf einem Host bereitgestellt werden. Der Agent kann aber nicht bereitgestellt werden, da das Agent-Netzwerk nicht auf dem Host konfiguriert wurde.	Fügen Sie eines der Netzwerke zum Host hinzu, die in einem benutzerdefinierten Agent-VM-Netzwerk aufgelistet sind. Das Problem wird automatisch aufgelöst, sobald der Datenspeicher verfügbar ist.
Ungültiges OVF-Format	VM nicht bereitgestellt	Eine Agent-VM soll auf einem Host bereitgestellt werden. Die Bereitstellung schlägt jedoch fehl, da bei der Bereitstellung des OVF-Pakets ein Fehler aufgetreten ist. Die Bereitstellung kann nur dann erfolgreich ausgeführt werden, wenn die Lösung, die das OVF-Paket bereitstellt, aktualisiert oder gepatcht wurde, um ein gültiges OVF-Paket für die Agent-VM bereitzustellen.	Der ESXi Agency Manager (EAM)-Dienst versucht, die SVM erneut bereitzustellen. Stellen Sie sicher, dass ein gültiges OVF-Paket für die Dienstbereitstellung verwendet wird. Klicken Sie auf Auflösen.
Fehlender Agent-IP-Pool	VM ausgeschaltet	Es wird erwartet, dass eine virtuelle Agent-Maschine eingeschaltet ist. Die virtuelle Agent-Maschine wird jedoch ausgeschaltet, weil im VM-Netzwerk des Agents keine IP-Adressen definiert sind.	Definieren Sie die IP-Adresse im Netzwerk der virtuellen Maschine. Klicken Sie auf Auflösen.
Kein Agent-VM-Datenspeicher	VM ausgeschaltet	Eine Agent-VM soll auf einem Host bereitgestellt werden. Der Agent kann aber nicht bereitgestellt werden, da der Agent-Datenspeicher nicht auf dem Host konfiguriert wurde.	Fügen Sie einen der Datenspeicher zum Host hinzu, die in einem benutzerdefinierten Agent-VM-Netzwerk aufgelistet sind. Das Problem wird automatisch aufgelöst, sobald der Datenspeicher verfügbar ist.
Kein benutzerdefiniertes Agent-VM-Netzwerk	Kein Agent-VM-Netzwerk	Eine Agent-VM soll auf einem Host bereitgestellt werden. Der Agent kann aber nicht bereitgestellt werden, da das Agent-Netzwerk nicht auf dem Host konfiguriert wurde.	Fügen Sie den Host einem der Netzwerke hinzu, die in einem benutzerdefinierten Agent-VM-Netzwerk aufgelistet sind. Das Problem wird automatisch aufgelöst, sobald ein benutzerdefiniertes VM-Netzwerk verfügbar ist.
Kein benutzerdefinierter Agent-VM-Datenspeicher	Kein Agent-VM-Datenspeicher	Eine Agent-VM soll auf einem Host bereitgestellt werden. Der Agent kann aber nicht bereitgestellt werden, da der Agent-Datenspeicher nicht auf dem Host konfiguriert wurde.	Fügen Sie den Host einem der Datenspeicher hinzu, die in einem benutzerdefinierten Agent-VM-Datenspeicher aufgelistet sind. Das Problem wird automatisch aufgelöst.
Verwaister DvFilter-Switch	Hostfehler	Auf einem Host ist ein dvFilter-Switch vorhanden, aber keine Agents auf dem Host benötigen den dvFilter. Dieser Fall tritt ein, wenn eine Hostverbindung bei Änderung einer Agency-Konfiguration getrennt wird.	Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, den Host zu verbinden, bevor die Agency-Konfiguration aktualisiert wird.
Unbekannte Agent-VM	Hostfehler	Im vCenter Server-Bestand wurde eine Agent-VM gefunden, die zu keiner Agency in dieser vSphere ESX Agent Manager-Serverinstanz gehört.	Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine in der Bestandsliste zu platzieren, zu der sie gehört.
Ungültige OVF-Eigenschaft	VM-Fehler	Eine Agent-VM muss eingeschaltet werden, aber eine OVF-Eigenschaft fehlt oder weist einen ungültigen Wert auf.	Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die korrekte OVF-Eigenschaft erneut zu konfigurieren.
VM beschädigt	VM-Fehler	Eine Agent-VM ist beschädigt.	Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine zu reparieren.
VM verwaist	VM-Fehler	Ein Agent-VM ist auf einem Host vorhanden, der Host gehört aber nicht mehr zum Bereich für die Agency. Dieser Fall tritt ein, wenn eine Hostverbindung bei Änderung der Agency-Konfiguration getrennt wird.	Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, den Host wieder mit der Agency-Konfiguration zu verbinden.
VM bereitgestellt	VM-Fehler	Eine Agent-VM soll von einem Host entfernt werden, wurde aber nicht entfernt. Der genaue Grund, weshalb vSphere ESX Agent Manager die Agent-VM nicht entfernen konnte, wie z. B. der Host befindet sich im Wartungs- oder Standby-Modus bzw. ist ausgeschaltet.	Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Agent-Maschine vom Host zu entfernen.
VM ausgeschaltet	VM-Fehler	Eine Agent-VM soll eingeschaltet werden, wurde aber ausgeschaltet.	Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine einzuschalten.
VM eingeschaltet	VM-Fehler	Eine Agent-VM soll ausgeschaltet werden, wurde aber eingeschaltet.	Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine auszuschalten.
VM angehalten	VM-Fehler	Eine Agent-VM soll eingeschaltet werden, wurde aber angehalten.	Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine einzuschalten.
Falscher VM-Ordner	VM-Fehler	Eine Agent-VM soll in einem bestimmten Ordner der Agent-VM gespeichert werden, befindet sich aber in einem anderen Ordner.	Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Agent-Maschine im vorgesehenen Ordner zu platzieren.
Falscher VM-Ressourcenpool	VM-Fehler	Eine Agent-VM soll in einem bestimmten Ressourcenpool der Agent-VM gespeichert sein, befindet sich aber in einem anderen Ressourcenpool.	Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Agent-Maschine in einem vorgesehenen Ressourcenpool zu platzieren.
VM nicht bereitgestellt	Agent-Fehler	Eine Agent-VM soll auf einem Host bereitgestellt werden, wurde aber nicht bereitgestellt. Die genauen Gründe, weshalb ESXi Agent Manager den Agent nicht bereitstellen konnte, wie z. B. keine Zugriffsmöglichkeit auf das OVF-Paket für den Agent oder eine fehlende Hostkonfiguration. Dieses Problem kann auch auftreten, wenn die Agent-VM explizit vom Host gelöscht wird.	Klicken Sie zum Bereitstellen der virtuellen Agent-Maschine auf Auflösen.

Beheben von NSX Manager-Problemen

Problem: Statische IP-Adressen aus dem IP-Pool können nicht zugeteilt werden.
Beschreibung: Entweder sind die IP-Adressen aus dem Pool aufgebraucht oder es sind keine weiteren IP-Adressen mehr zum Zuteilen übrig.
Lösung: Beheben Sie das Problem mit dem IP-Pool und klicken Sie auf Auflösen, um das Problem zu beheben.

Überprüfen des Integritätsstatus der Dienstinstanzen

NSX Manager empfängt die Details zum Systemzustand jeder Dienstinstanz. Der letzte Zeitstempel, als der Systemzustand empfangen wurde, wird in der NSX Manager-Benutzeroberfläche angezeigt. Möglicherweise müssen Sie die Seite Dienstinstanzen mehrmals aktualisieren, um den aktuellen Systemzustand abzurufen.

Der Systemzustand einer Dienstinstanz auf einem ESXi-Host hängt von den folgenden Faktoren ab:

Lösungsstatus: Status der NSX Distributed Malware Prevention-Lösung, die auf einer SVM ausgeführt wird. Der Status „Aktiv“ zeigt an, dass die Lösung korrekt ausgeführt wird.
Konnektivität zwischen NSX Guest Introspection-Agent und Context Engine: Der Status ist „Aktiv“, wenn der NSX Guest Introspection-Agent (Kontext-Multiplexer) mit dem NSX Ops-Agent verbunden ist (einschließlich der Context Engine). Der Kontext-Multiplexer leitet die Integritätsinformationen der SVMs an die Context Engine weiter. Der MUX- und der NSX Ops-Agent nutzen die SVM-VM-Konfiguration außerdem gemeinsam, um zu erfahren, welche Arbeitslast-VMs von der SVM geschützt werden.
Dienst-VM-Protokollversion: Intern zur Problembehandlung verwendete Transportprotokollversion.
Informationen zum NSX Guest Introspection-Agent: Stellt die Kompatibilität der Protokollversion zwischen NSX Guest Introspection-Agent und SVM dar.

Führen Sie in NSX Manager die folgenden Schritte aus, um den Systemzustand der Dienstinstanzen anzuzeigen:

Navigieren Sie zu System > Dienstbereitstellungen > Dienstinstanzen.
Klicken Sie in der Spalte Systemzustand auf das Symbol neben „Aktiv“ oder „Inaktiv“.

Anzeigen von Alarmen in NSX Manager

In den folgenden Fällen werden auf der Seite Alarme der NSX Manager-Benutzeroberfläche Alarme angezeigt:

Die Konnektivität zwischen NSX-Kontext-Multiplexer und NSX Malware-Schutz-SVM ist unterbrochen.
Der NSX-Kontext-Multiplexer ist inaktiv oder wird neu gestartet.

Sie können Alarme auch auf der Seite Dienstinstanzen unter System > Dienstbereitstellungen > Dienstinstanzen anzeigen.

Anzeigen von Problemen bei Komponenten im Dashboard „Sicherheitsübersicht“

Das Malware-Schutz-Widget im Dashboard Sicherheitsübersicht zeigt Probleme an, wenn eine der Komponenten im NSX Distributed Malware Prevention-Dienst inaktiv ist oder nicht funktioniert. Um dieses Benutzeroberflächen-Widget in der NSX Manager-Benutzeroberfläche anzuzeigen, navigieren Sie zu Sicherheit > Sicherheitsübersicht > Konfiguration.

Beispiel:

Das Balkendiagramm zeigt ein Problem an, wenn der Sicherheits-Hub auf der virtuellen NSX Malware-Schutz-Dienstmaschine (SVM) inaktiv ist. Zeigen Sie auf die Leiste, um die folgenden Details anzuzeigen:
- Anzahl der betroffenen NSX Malware-Schutz-SVMs.
- Anzahl der Arbeitslast-VMs auf dem Host, die den Malware-Schutz verloren haben, weil der Sicherheits-Hub ausgefallen ist.
Das Ringdiagramm zeigt die folgenden Details an:
- Anzahl der Arbeitslast-VMs, auf denen der NSX Datei-Introspektion-Treiber ausgeführt wird.
- Anzahl der Arbeitslast-VMs, auf denen der NSX Datei-Introspektion-Treiber nicht ausgeführt wird.
Für diese beiden Metriken werden nur die Arbeitslast-VMs auf den Hostclustern berücksichtigt, die für NSX Distributed Malware Prevention aktiviert sind.

Korrekte Benennung der Schlüsselpaare für die einfache Identifizierung

SSH-Zugriff auf den admin-Benutzer der SVM ist schlüsselbasiert (Schlüsselpaar aus öffentlichem und privatem Schlüssel). Ein öffentlicher Schlüssel ist erforderlich, wenn Sie den Dienst auf einem ESXi-Hostcluster bereitstellen, und ein privater Schlüssel ist erforderlich, wenn Sie eine SSH-Sitzung für die SVM starten möchten.

NSX Distributed Malware Prevention-Dienstbereitstellung erfolgt auf der Ebene eines Hostclusters. Daher ist ein Schlüsselpaar an einen Hostcluster gebunden. Sie können entweder ein neues Schlüsselpaar aus öffentlichem und privatem Schlüssel für eine Dienstbereitstellung auf jedem Cluster erstellen oder ein einzelnes Schlüsselpaar für Dienstbereitstellungen auf allen Clustern verwenden.

Wenn Sie ein anderes Schlüsselpaar aus öffentlichem und privatem Schlüssel für die Dienstbereitstellung auf jedem Cluster verwenden möchten, stellen Sie sicher, dass die Schlüsselpaare ordnungsgemäß benannt sind, um die Identifizierung zu erleichtern.

Eine bewährte Vorgehensweise besteht darin, jede Dienstbereitstellung mit einer „Computing-Cluster-ID“ zu identifizieren und die Cluster-ID im Namen des Schlüsselpaars anzugeben. Beispiel: Angenommen, die Cluster-ID lautet „1234-abcd“. Für diesen Cluster können Sie als Dienstbereitstellungsnamen „MPS-1234-abcd“ angeben und das Schlüsselpaar für den Zugriff auf diese Dienstbereitstellung als „id_rsa_1234_abcd.pem“ benennen. Diese Vorgehensweise erleichtert Ihnen die Wartung und Zuordnung von Schlüsseln für jede Dienstbereitstellung.

Wichtig: Speichern Sie den privaten Schlüssel sicher. Der Verlust des privaten Schlüssels kann zu einem Verlust des SSH-Zugriffs auf die NSX Malware-Schutz-SVM führen.

Wenn der private Schlüssel verloren geht, funktioniert die SVM weiterhin fehlerfrei. Sie können sich jedoch nicht bei der SVM anmelden und die Protokolldatei zur Fehlerbehebung herunterladen.

Erfassen von Support-Paketen und NSX Malware-Schutz-SVM-Protokoll

Für eine detaillierte Fehlerbehebung bei den folgenden Komponenten, die zum NSX Distributed Malware Prevention-Dienst beitragen, können Sie Support-Pakete zur Analyse erfassen oder diese an den VMware Support senden:

NSX Manager-Appliances
ESXi-Hosts
VMware Tools auf Arbeitslast-VMs
NSX Malware-Schutz-SVM

Zum Erfassen eines Support-Pakets, das Protokolldateien für ESXi-Hosts und NSX Manager-Appliances enthält, können Sie die Support-Paket-Funktion in NSX-T Data Center verwenden. Eine Anleitung für die Erfassung eines Support-Pakets in NSX-T erhalten Sie unter Erfassen von Support-Paketen.

Informationen zum Erfassen von Support-Paketen mit Protokolldateien für Komponenten und Dienste, die auf vCenter Server ausgeführt werden, finden Sie in der Dokumentation zur vCenter Server-Konfiguration. Beispielsweise können Sie Protokolldateien für VMware Tools mit dem vCenter Server-Support-Paket erfassen.

Starten Sie zum Erfassen von Protokolldateien für die NSX Malware-Schutz-SVM eine SSH-Remotesitzung auf der SVM mit dem Privatschlüssel der SVM. Weitere Informationen finden Sie unter Anmelden bei der virtuellen NSX Malware-Schutz-Dienstmaschine.

Die Protokolldateien befinden sich auf der SVM unter /var/log. Wenn mehrere Syslog-Dateien an diesem Speicherort verfügbar sind, werden sie komprimiert und unter demselben Pfad gespeichert.