Die Informationen in diesem Thema sollen Ihnen dazu dienen, Probleme im Zusammenhang mit der Bereitstellung des NSX Distributed Malware Prevention-Diensts, dem Systemzustand von Dienstinstanzen, ESXi-Agencys und anderen Problemen zu beheben.
Überprüfen des Systemzustands von ESX Agent Manager
- Navigieren Sie im vSphere Client zu . Klicken Sie auf vSphere ESX Agent Manager.
- Klicken Sie auf die Registerkarte Konfigurieren.
Diese Seite zeigt den Systemzustand von ESX-Agencys auf den Hosts für die NSX Malware-Schutz-Lösung an. Auch von den Agencys erkannte Probleme werden gegebenenfalls dort angezeigt.
Der EAM-Dienst ( ESXi Agency Manager) muss ausgeführt werden. Überprüfen Sie, ob auf die folgende URL zugegriffen werden kann.
https://vCenter_Server_IP_Address/eam/mob
Ersetzen Sie vCenter_Server_IP_Address durch die IP-Adresse des vCenter Server in Ihrem Netzwerk.
Überprüfen der Konnektivität von Portgruppen, Schnittstellen und Kontext-Multiplexer
- Wählen Sie den Namen der virtuellen Dienstmaschine aus und klicken Sie dann auf die Registerkarte Netzwerke. Vergewissern Sie sich, dass die Portgruppe vmservice-vhsield-pg aufgeführt ist.
- Klicken Sie mit der rechten Maustaste auf den Namen der virtuellen Dienstmaschine und klicken Sie auf Einstellungen bearbeiten. Überprüfen Sie auf der Seite Virtuelle Hardware, ob Netzwerkadapter 1 und Netzwerkadapter 2 verbunden sind. Netzwerkadapter 1 verbindet die SVM mit dem Verwaltungsnetzwerk, und Netzwerkadapter 2 verbindet die SVM mit der Portgruppe vmservice-vshield-pg, die NSX während der Dienstbereitstellung automatisch erstellt hat. Netzwerkadapter 2 ist die Steuerungsschnittstelle der SVM, die für die Kommunikation zwischen dem Kontext-Multiplexer (MUX) und der SVM verwendet wird. Die IP-Adresse der Steuerungsschnittstelle für die NSX Malware-Schutz-SVM lautet 169.254.1.22.
Der Kontext-Multiplexer-Dienst muss auf jedem ESXi-Host ausgeführt werden. Um zu überprüfen, ob der nsx-context-mux
-Dienst auf dem Host ausgeführt wird, melden Sie sich bei der CLI jedes ESXi-Hosts als Root-Benutzer an und führen Sie den folgenden CLI-Befehl aus:
# /etc/init.d/nsx-context-mux status
Wenn der Dienst nicht ausgeführt wird, starten Sie den Dienst mit dem folgenden CLI-Befehl bzw. führen Sie mit diesem Befehl einen Neustart durch:
/etc/init.d/nsx-context-mux start
Oder
/etc/init.d/nsx-context-mux restart
Beheben von ESX Agent Manager-Problemen
Der ESX Agent Manager benachrichtigt NSX Manager über Fehlerdetails, wenn Probleme in den ESX-Agencys erkannt werden. Sie können in der NSX Manager-Benutzeroberfläche auf Auflösen klicken, um die Probleme zu beheben. In der folgenden Tabelle werden die ESX Agent Manager-Probleme beschrieben.
Problem | Kategorie | Beschreibung | Lösung |
---|---|---|---|
Auf Agent-OVF kann nicht zugegriffen werden |
VM nicht bereitgestellt |
Eine Agent-VM soll auf einem Host bereitgestellt werden. Die Agent-VM kann aber nicht bereitgestellt werden, da der ESXi Agent Manager nicht auf das OVF-Paket für den Agent zugreifen kann. Dies kann daran liegen, dass der Webserver, der das OVF-Paket bereitstellt, nicht verfügbar ist. Der Webserver gehört oft zur Lösung, die die Agency erstellt hat. |
Der ESXi Agency Manager (EAM)-Dienst wiederholt den OVF-Downloadvorgang. Klicken Sie auf Auflösen. |
Nicht kompatible Hostversion |
VM nicht bereitgestellt |
Es wird erwartet, dass eine virtuelle Agent-Maschine auf einem Host bereitgestellt wird. Aufgrund von Kompatibilitätsproblemen wurde der Agent jedoch nicht auf dem Host bereitgestellt. |
Aktualisieren Sie entweder den Host oder die Lösung, damit der Agent mit dem Host kompatibel ist. Überprüfen Sie die Kompatibilität des SVM. Klicken Sie auf Auflösen. |
Nicht genügend Ressourcen |
VM nicht bereitgestellt |
Es wird erwartet, dass eine virtuelle Agent-Maschine auf einem Host bereitgestellt wird. Allerdings hat der ESXi Agency Manager (EAM)-Dienst die virtuelle Agent-Maschine nicht bereitgestellt, da der Host weniger CPU- oder Arbeitsspeicherressourcen aufweist. |
Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine erneut bereitzustellen. Stellen Sie sicher, dass CPU- und Arbeitsspeicherressourcen verfügbar sind. Überprüfen Sie den Host und geben Sie einige Ressourcen frei. Klicken Sie auf Auflösen. |
Nicht genügend Speicherplatz |
VM nicht bereitgestellt |
Es wird erwartet, dass eine virtuelle Agent-Maschine auf einem Host bereitgestellt wird. Die virtuelle Agent-Maschine wurde jedoch nicht bereitgestellt, da der Agent-Datenspeicher auf dem Host nicht über genügend freien Speicherplatz verfügte. |
Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine erneut bereitzustellen. Geben Sie Speicherplatz im Datenspeicher frei. Klicken Sie auf Auflösen. |
Kein Agent-VM-Netzwerk |
VM nicht bereitgestellt |
Eine Agent-VM soll auf einem Host bereitgestellt werden. Der Agent kann aber nicht bereitgestellt werden, da das Agent-Netzwerk nicht auf dem Host konfiguriert wurde. |
Fügen Sie eines der Netzwerke zum Host hinzu, die in einem benutzerdefinierten Agent-VM-Netzwerk aufgelistet sind. Das Problem wird automatisch aufgelöst, sobald der Datenspeicher verfügbar ist. |
Ungültiges OVF-Format |
VM nicht bereitgestellt |
Eine Agent-VM soll auf einem Host bereitgestellt werden. Die Bereitstellung schlägt jedoch fehl, da bei der Bereitstellung des OVF-Pakets ein Fehler aufgetreten ist. Die Bereitstellung kann nur dann erfolgreich ausgeführt werden, wenn die Lösung, die das OVF-Paket bereitstellt, aktualisiert oder gepatcht wurde, um ein gültiges OVF-Paket für die Agent-VM bereitzustellen. |
Der ESXi Agency Manager (EAM)-Dienst versucht, die SVM erneut bereitzustellen. Stellen Sie sicher, dass ein gültiges OVF-Paket für die Dienstbereitstellung verwendet wird. Klicken Sie auf Auflösen. |
Fehlender Agent-IP-Pool |
VM ausgeschaltet |
Es wird erwartet, dass eine virtuelle Agent-Maschine eingeschaltet ist. Die virtuelle Agent-Maschine wird jedoch ausgeschaltet, weil im VM-Netzwerk des Agents keine IP-Adressen definiert sind. |
Definieren Sie die IP-Adresse im Netzwerk der virtuellen Maschine. Klicken Sie auf Auflösen. |
Kein Agent-VM-Datenspeicher |
VM ausgeschaltet |
Eine Agent-VM soll auf einem Host bereitgestellt werden. Der Agent kann aber nicht bereitgestellt werden, da der Agent-Datenspeicher nicht auf dem Host konfiguriert wurde. |
Fügen Sie einen der Datenspeicher zum Host hinzu, die in einem benutzerdefinierten Agent-VM-Netzwerk aufgelistet sind. Das Problem wird automatisch aufgelöst, sobald der Datenspeicher verfügbar ist. |
Kein benutzerdefiniertes Agent-VM-Netzwerk |
Kein Agent-VM-Netzwerk |
Eine Agent-VM soll auf einem Host bereitgestellt werden. Der Agent kann aber nicht bereitgestellt werden, da das Agent-Netzwerk nicht auf dem Host konfiguriert wurde. |
Fügen Sie den Host einem der Netzwerke hinzu, die in einem benutzerdefinierten Agent-VM-Netzwerk aufgelistet sind. Das Problem wird automatisch aufgelöst, sobald ein benutzerdefiniertes VM-Netzwerk verfügbar ist. |
Kein benutzerdefinierter Agent-VM-Datenspeicher |
Kein Agent-VM-Datenspeicher |
Eine Agent-VM soll auf einem Host bereitgestellt werden. Der Agent kann aber nicht bereitgestellt werden, da der Agent-Datenspeicher nicht auf dem Host konfiguriert wurde. |
Fügen Sie den Host einem der Datenspeicher hinzu, die in einem benutzerdefinierten Agent-VM-Datenspeicher aufgelistet sind. Das Problem wird automatisch aufgelöst. |
Verwaister DvFilter-Switch |
Hostfehler |
Auf einem Host ist ein dvFilter-Switch vorhanden, aber keine Agents auf dem Host benötigen den dvFilter. Dieser Fall tritt ein, wenn eine Hostverbindung bei Änderung einer Agency-Konfiguration getrennt wird. |
Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, den Host zu verbinden, bevor die Agency-Konfiguration aktualisiert wird. |
Unbekannte Agent-VM |
Hostfehler |
Im vCenter Server-Bestand wurde eine Agent-VM gefunden, die zu keiner Agency in dieser vSphere ESX Agent Manager-Serverinstanz gehört. |
Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine in der Bestandsliste zu platzieren, zu der sie gehört. |
Ungültige OVF-Eigenschaft |
VM-Fehler |
Eine Agent-VM muss eingeschaltet werden, aber eine OVF-Eigenschaft fehlt oder weist einen ungültigen Wert auf. |
Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die korrekte OVF-Eigenschaft erneut zu konfigurieren. |
VM beschädigt |
VM-Fehler |
Eine Agent-VM ist beschädigt. |
Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine zu reparieren. |
VM verwaist |
VM-Fehler |
Ein Agent-VM ist auf einem Host vorhanden, der Host gehört aber nicht mehr zum Bereich für die Agency. Dieser Fall tritt ein, wenn eine Hostverbindung bei Änderung der Agency-Konfiguration getrennt wird. |
Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, den Host wieder mit der Agency-Konfiguration zu verbinden. |
VM bereitgestellt |
VM-Fehler |
Eine Agent-VM soll von einem Host entfernt werden, wurde aber nicht entfernt. Der genaue Grund, weshalb vSphere ESX Agent Manager die Agent-VM nicht entfernen konnte, wie z. B. der Host befindet sich im Wartungs- oder Standby-Modus bzw. ist ausgeschaltet. |
Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Agent-Maschine vom Host zu entfernen. |
VM ausgeschaltet |
VM-Fehler |
Eine Agent-VM soll eingeschaltet werden, wurde aber ausgeschaltet. |
Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine einzuschalten. |
VM eingeschaltet |
VM-Fehler |
Eine Agent-VM soll ausgeschaltet werden, wurde aber eingeschaltet. |
Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine auszuschalten. |
VM angehalten |
VM-Fehler |
Eine Agent-VM soll eingeschaltet werden, wurde aber angehalten. |
Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Maschine einzuschalten. |
Falscher VM-Ordner |
VM-Fehler |
Eine Agent-VM soll in einem bestimmten Ordner der Agent-VM gespeichert werden, befindet sich aber in einem anderen Ordner. |
Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Agent-Maschine im vorgesehenen Ordner zu platzieren. |
Falscher VM-Ressourcenpool |
VM-Fehler |
Eine Agent-VM soll in einem bestimmten Ressourcenpool der Agent-VM gespeichert sein, befindet sich aber in einem anderen Ressourcenpool. |
Klicken Sie auf Auflösen. Der ESXi Agency Manager (EAM)-Dienst versucht, die virtuelle Agent-Maschine in einem vorgesehenen Ressourcenpool zu platzieren. |
VM nicht bereitgestellt |
Agent-Fehler |
Eine Agent-VM soll auf einem Host bereitgestellt werden, wurde aber nicht bereitgestellt. Die genauen Gründe, weshalb ESXi Agent Manager den Agent nicht bereitstellen konnte, wie z. B. keine Zugriffsmöglichkeit auf das OVF-Paket für den Agent oder eine fehlende Hostkonfiguration. Dieses Problem kann auch auftreten, wenn die Agent-VM explizit vom Host gelöscht wird. |
Klicken Sie zum Bereitstellen der virtuellen Agent-Maschine auf Auflösen. |
Beheben von NSX Manager-Problemen
- Problem
- Statische IP-Adressen aus dem IP-Pool können nicht zugeteilt werden.
- Beschreibung
- Entweder sind die IP-Adressen aus dem Pool aufgebraucht oder es sind keine weiteren IP-Adressen mehr zum Zuteilen übrig.
- Lösung
- Beheben Sie das Problem mit dem IP-Pool und klicken Sie auf Auflösen, um das Problem zu beheben.
Überprüfen des Integritätsstatus der Dienstinstanzen
NSX Manager empfängt die Details zum Systemzustand jeder Dienstinstanz. Der letzte Zeitstempel, als der Systemzustand empfangen wurde, wird in der NSX Manager-Benutzeroberfläche angezeigt. Möglicherweise müssen Sie die Seite Dienstinstanzen mehrmals aktualisieren, um den aktuellen Systemzustand abzurufen.
- Lösungsstatus
- Status der NSX Distributed Malware Prevention-Lösung, die auf einer SVM ausgeführt wird. Der Status „Aktiv“ zeigt an, dass die Lösung korrekt ausgeführt wird.
- Konnektivität zwischen NSX Guest Introspection-Agent und Context Engine
- Der Status ist „Aktiv“, wenn der NSX Guest Introspection-Agent (Kontext-Multiplexer) mit dem NSX Ops-Agent verbunden ist (einschließlich der Context Engine). Der Kontext-Multiplexer leitet die Integritätsinformationen der SVMs an die Context Engine weiter. Der MUX- und der NSX Ops-Agent nutzen die SVM-VM-Konfiguration außerdem gemeinsam, um zu erfahren, welche Arbeitslast-VMs von der SVM geschützt werden.
- Dienst-VM-Protokollversion
- Intern zur Problembehandlung verwendete Transportprotokollversion.
- Informationen zum NSX Guest Introspection-Agent
- Stellt die Kompatibilität der Protokollversion zwischen NSX Guest Introspection-Agent und SVM dar.
- Navigieren Sie zu .
- Klicken Sie in der Spalte Systemzustand auf das Symbol neben „Aktiv“ oder „Inaktiv“.
Anzeigen von Alarmen in NSX Manager
- Die Konnektivität zwischen NSX-Kontext-Multiplexer und NSX Malware-Schutz-SVM ist unterbrochen.
- Der NSX-Kontext-Multiplexer ist inaktiv oder wird neu gestartet.
Sie können Alarme auch auf der Seite Dienstinstanzen unter anzeigen.
Anzeigen von Problemen bei Komponenten im Dashboard „Sicherheitsübersicht“
Das Malware-Schutz-Widget im Dashboard Sicherheitsübersicht zeigt Probleme an, wenn eine der Komponenten im NSX Distributed Malware Prevention-Dienst inaktiv ist oder nicht funktioniert. Um dieses Benutzeroberflächen-Widget in der NSX Manager-Benutzeroberfläche anzuzeigen, navigieren Sie zu .
- Das Balkendiagramm zeigt ein Problem an, wenn der Sicherheits-Hub auf der virtuellen NSX Malware-Schutz-Dienstmaschine (SVM) inaktiv ist. Zeigen Sie auf die Leiste, um die folgenden Details anzuzeigen:
- Anzahl der betroffenen NSX Malware-Schutz-SVMs.
- Anzahl der Arbeitslast-VMs auf dem Host, die den Malware-Schutz verloren haben, weil der Sicherheits-Hub ausgefallen ist.
- Das Ringdiagramm zeigt die folgenden Details an:
- Anzahl der Arbeitslast-VMs, auf denen der NSX Datei-Introspektion-Treiber ausgeführt wird.
- Anzahl der Arbeitslast-VMs, auf denen der NSX Datei-Introspektion-Treiber nicht ausgeführt wird.
Für diese beiden Metriken werden nur die Arbeitslast-VMs auf den Hostclustern berücksichtigt, die für NSX Distributed Malware Prevention aktiviert sind.
Korrekte Benennung der Schlüsselpaare für die einfache Identifizierung
SSH-Zugriff auf den admin-Benutzer der SVM ist schlüsselbasiert (Schlüsselpaar aus öffentlichem und privatem Schlüssel). Ein öffentlicher Schlüssel ist erforderlich, wenn Sie den Dienst auf einem ESXi-Hostcluster bereitstellen, und ein privater Schlüssel ist erforderlich, wenn Sie eine SSH-Sitzung für die SVM starten möchten.
NSX Distributed Malware Prevention-Dienstbereitstellung erfolgt auf der Ebene eines Hostclusters. Daher ist ein Schlüsselpaar an einen Hostcluster gebunden. Sie können entweder ein neues Schlüsselpaar aus öffentlichem und privatem Schlüssel für eine Dienstbereitstellung auf jedem Cluster erstellen oder ein einzelnes Schlüsselpaar für Dienstbereitstellungen auf allen Clustern verwenden.
Wenn Sie ein anderes Schlüsselpaar aus öffentlichem und privatem Schlüssel für die Dienstbereitstellung auf jedem Cluster verwenden möchten, stellen Sie sicher, dass die Schlüsselpaare ordnungsgemäß benannt sind, um die Identifizierung zu erleichtern.
Eine bewährte Vorgehensweise besteht darin, jede Dienstbereitstellung mit einer „Computing-Cluster-ID“ zu identifizieren und die Cluster-ID im Namen des Schlüsselpaars anzugeben. Beispiel: Angenommen, die Cluster-ID lautet „1234-abcd“. Für diesen Cluster können Sie als Dienstbereitstellungsnamen „MPS-1234-abcd“ angeben und das Schlüsselpaar für den Zugriff auf diese Dienstbereitstellung als „id_rsa_1234_abcd.pem“ benennen. Diese Vorgehensweise erleichtert Ihnen die Wartung und Zuordnung von Schlüsseln für jede Dienstbereitstellung.
Wenn der private Schlüssel verloren geht, funktioniert die SVM weiterhin fehlerfrei. Sie können sich jedoch nicht bei der SVM anmelden und die Protokolldatei zur Fehlerbehebung herunterladen.
Erfassen von Support-Paketen und NSX Malware-Schutz-SVM-Protokoll
- NSX Manager-Appliances
- ESXi-Hosts
- VMware Tools auf Arbeitslast-VMs
- NSX Malware-Schutz-SVM
Zum Erfassen eines Support-Pakets, das Protokolldateien für ESXi-Hosts und NSX Manager-Appliances enthält, können Sie die Support-Paket-Funktion in NSX-T Data Center verwenden. Eine Anleitung für die Erfassung eines Support-Pakets in NSX-T erhalten Sie unter Erfassen von Support-Paketen.
Informationen zum Erfassen von Support-Paketen mit Protokolldateien für Komponenten und Dienste, die auf vCenter Server ausgeführt werden, finden Sie in der Dokumentation zur vCenter Server-Konfiguration. Beispielsweise können Sie Protokolldateien für VMware Tools mit dem vCenter Server-Support-Paket erfassen.
Starten Sie zum Erfassen von Protokolldateien für die NSX Malware-Schutz-SVM eine SSH-Remotesitzung auf der SVM mit dem Privatschlüssel der SVM. Weitere Informationen finden Sie unter Anmelden bei der virtuellen NSX Malware-Schutz-Dienstmaschine.
Die Protokolldateien befinden sich auf der SVM unter /var/log. Wenn mehrere Syslog-Dateien an diesem Speicherort verfügbar sind, werden sie komprimiert und unter demselben Pfad gespeichert.