Informationen zur Bedeutung der Compliance-Berichtscodes finden Sie im Compliance-Statusbericht.
| Eine vollständige Liste der Ereignisse finden Sie im NSX-Ereigniskatalog. |
| Code | Beschreibung | Compliance-Statusquelle | Wartung |
|---|---|---|---|
| 72001 | Verschlüsselung ist deaktiviert. | Meldet diesen Status, wenn eine VPN-IPSec-Profilkonfiguration NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 oder NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms enthält.Dieser Status wirkt sich auf IPSec-VPN-Sitzungskonfigurationen aus, die die gemeldeten nicht kompatiblen Konfigurationen verwenden. |
Fügen Sie ein VPN-IPSec-Profil hinzu, das kompatible Verschlüsselungsalgorithmen verwendet, und nutzen Sie das Profil in allen VPN-Konfigurationen. Siehe Hinzufügen von IPSec-Profilen. |
| 72011 | BGP-Meldungen mit Nachbarn umgehen die Integritätsprüfung. Keine Nachrichtenauthentifizierung definiert. | Meldet diesen Status, wenn für den BGP-Nachbarn kein Kennwort konfiguriert wurde. Dieser Status wirkt sich auf die BGP-Nachbarkonfiguration aus. |
Konfigurieren Sie ein Kennwort für den BGP-Nachbarn und aktualisieren Sie die Tier-0-Gateway-Konfiguration für die Verwendung des Kennworts. Siehe Konfigurieren des BGP-Protokolls. |
| 72012 | Die Kommunikation mit dem BGP-Nachbarn verwendet eine schwache Integritätsprüfung. MD5 wird für die Nachrichtenauthentifizierung verwendet. | Meldet diesen Status, wenn die MD5-Authentifizierung für das Kennwort des BGP-Nachbarn verwendet wird. Dieser Status wirkt sich auf die BGP-Nachbarkonfiguration aus. |
Keine Wartung verfügbar, da NSX nur die MD5-Authentifizierung für BGP unterstützt. |
| 72021 | SSL-Version 3 wird für die Herstellung einer sicheren Socket-Verbindung verwendet. Es wird empfohlen, TLSv 1.1 oder höher auszuführen und SSLv3 mit Protokollschwächen vollständig zu deaktivieren. | Meldet diesen Status, wenn sich die SSL-Version 3-Konfiguration im Client-SSL-Profil des Load Balancers im Server-SSL-Profil des Load Balancers oder im HTTPS-Monitor des Load Balancers befindet.
Dieser Status wirkt sich auf die folgenden Konfigurationen aus:
|
Konfigurieren Sie ein SSL-Profil für die Verwendung von TLS 1.1 oder höher und verwenden Sie dieses Profil in allen Load Balancer-Konfigurationen. Siehe Hinzufügen eines SSL-Profils. |
| 72022 | TLS-Version 1.0 wird für die Herstellung einer sicheren Socket-Verbindung verwendet. Führen Sie TLSv 1.1 oder höher aus und deaktivieren Sie TLSv1.0 mit Protokollschwächen vollständig. | Meldet diesen Status, wenn das Client-SSL-Profil des Load Balancers, das SSL-Profil des Load Balancer-Servers oder die HTTPS-Überwachung des Load Balancers die TLSv1.0-Konfiguration enthält.
Dieser Status wirkt sich auf die folgenden Konfigurationen aus:
|
Konfigurieren Sie ein SSL-Profil für die Verwendung von TLS 1.1 oder höher und verwenden Sie dieses Profil in allen Load Balancer-Konfigurationen. Siehe Hinzufügen eines SSL-Profils. |
| 72023 | Es wird eine schwache Diffie-Hellman Group verwendet. | Meldet diesen Fehler, wenn eine VPN-IPSec-Profil- oder VPN-IKE-Profilkonfiguration die folgenden Diffie-Hellman-Gruppen enthält: 2, 5, 14, 15 oder 16. Die Gruppen 2 und 5 sind schwache Diffie-Hellman Groups. Die Gruppen 14, 15 und 16 sind keine schwachen Gruppen, aber nicht FIPS-kompatibel. Dieser Status wirkt sich auf IPSec-VPN-Sitzungskonfigurationen aus, die die gemeldeten nicht kompatiblen Konfigurationen verwenden. |
Konfigurieren Sie die VPN-Profile für die Verwendung von Diffie-Hellman group 19, 20 oder 21. Siehe Hinzufügen von Profilen. |
| 72024 | Die globale FIPS-Einstellung für den Load Balancer ist deaktiviert. | Meldet diesen Fehler, wenn die globale FIPS-Einstellung des Load Balancers deaktiviert ist. Dieser Status wirkt sich auf alle Load Balancer-Dienste aus. |
Aktivieren Sie FIPS für den Load Balancer. Siehe Konfigurieren des globalen FIPS-Übereinstimmungsmodus für den Load Balancer. |
| 72025 | QAT, die auf einem Edge-Knoten ausgeführt wird, ist nicht FIPS-konform. | QAT (Quick Assist Technologies) ist ein Satz Hardware-beschleunigter Dienste, die Intel für Kryptografie und Komprimierung bereitstellt. | |
| 72026 | Das FIPS-Modul „Bouncy-Castle“ ist nicht bereit. | Überprüfen Sie, ob Ihre Anwendungen ausgeführt werden, und prüfen Sie Ihre Protokolle. | |
| 72200 | Unzureichende wahre Entropie verfügbar. | Meldet diesen Status, wenn ein Pseudo-Zufallszahlengenerator die Entropie generiert, statt sich auf Hardware-generierte Entropie zu stützen. Der NSX Manager-Knoten verwendet keine Hardware-generierte Entropie, da er nicht über die erforderliche Hardwarebeschleunigung verfügt, um eine ausreichend wahre Entropie zu erstellen. |
Setzen Sie neuere Hardware ein, um den NSX Manager-Knoten auszuführen. Die neueste Hardware unterstützt diese Funktion.
Hinweis: Wenn die zugrunde liegende Infrastruktur virtuell ist, erhalten Sie keine wahre Entropie.
|
| 72201 | Entropiequelle unbekannt. | Meldet diesen Status, wenn für den angegebenen Knoten kein Entropiestatus verfügbar ist. | Dieser Fehler ist ein interner Kommunikationsfehler, der verhindert, dass NSX Manager die Quelle der Entropie ermitteln kann. Öffnen Sie eine Dienstanforderung mit VMware. |
| 72301 | Zertifikat ist nicht von der Zertifizierungsstelle signiert. | Dieser Status wird gemeldet, wenn eines der NSX Manager-Zertifikate nicht von der Zertifizierungsstelle signiert ist. NSX Manager verwendet die folgenden Zertifikate:
|
Installieren Sie von einer Zertifizierungsstelle signierte Zertifikate. Sehen Sie hierzu Zertifikate. |
| 72302 | Im Zertifikat fehlen Informationen zur erweiterten Schlüsselverwendung. | Erweiterungen für die erweiterte Schlüsselverwendung (Extended Key Usage, EKU), die in der CSR vorhanden sind, müssen auch in den Serverzertifikaten vorhanden sein. | Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) muss zu der beabsichtigten Nutzung passen. Beispiel: SERVER beim Herstellen einer Verbindung mit einem Server, CLIENT bei Verwendung als Clientzertifikat auf einem Server. |
| 72303 | Das Zertifikat wurde widerrufen. | Die Gültigkeit des Zertifikats befindet sich im Endzustand und kann nicht wiederhergestellt werden. | |
| 72304 | Das Zertifikat ist nicht RSA. | Stellen Sie sicher, dass ihr öffentlicher Schlüssel für ein RSA-Zertifikat gilt. | |
| 72305 | Das Zertifikat ist keine elliptische Kurve. | Meldet diesen Status, wenn Ihr Zertifikat nicht EAL4+-konform ist. | Ersetzen Sie Ihre nicht konformen Zertifikate durch von einer Zertifizierungsstelle signierte Zertifikate. Siehe Zertifikate ersetzen. |
| 72306 | Im Zertifikat fehlen grundlegende Einschränkungen. | Das Zertifikat scheint für den ausgewählten Zweck nicht gültig zu sein oder es fehlen möglicherweise erforderliche Felder oder Werte. | |
| 72307 | CRL kann nicht abgerufen werden. | ||
| 72308 | Die CRL ist ungültig. | Überprüfen Sie die CRL, um festzustellen, warum es als ungültig gekennzeichnet wurde. | |
| 72309 | Die Ablaufprüfung für das Corfu-Zertifikat wurde deaktiviert. | ||
| 72310 | Einige Compute Manager verfügen über kein RSA-Zertifikat oder die Länge des Zertifikatschlüssels beträgt weniger als 3072 Bit. | Wenn ein Compute Manager (z. B. vCenter) mit dem NSX Manager verbunden ist, übergibt er sein Zertifikat an den NSX Manager. Dieser Fehler wird ausgelöst, wenn es sich bei dem Zertifikat nicht um einen RSA-Typ handelt oder wenn es sich bei dem Zertifikat zwar um einen RSA-Typ handelt, die RSA-Schlüsselgröße des Zertifikats aber weniger als 3.072 Bit beträgt. | Löschen Sie den Compute Manager von NSX Manager. Ersetzen Sie das Zertifikat des Compute Managers durch ein RSA-Zertifikat mit einer Schlüsselgröße von mindestens 3072 Bit. |
| 72401 | Gateway-TLS-Prüfung ist nicht FIPS-konform. | ||
| 72402 | Das System ist nicht FIPS-konform. | ||
| 72403 | Vorhandensein der Prinzipalidentität im System erkannt. Entfernen Sie alle Prinzipalidentitäten für EAL4-Konformität. | ||
| 72404 | OIDC-Endpunkt-Präsenz im System erkannt. Entfernen Sie alle OIDC-Endpunkte für EAL4-Konformität. | ||
| 72501 | Konfigurierte Benutzerkennwörter sind nicht konform. Benutzer müssen sichere Kennwörter mit einer Länge von mindestens 16 Zeichen verwenden. | Meldet, wenn Benutzerpasswörter nicht EAL4+-konform sind. | Das Kennwort für lokale Benutzer (mit Ausnahme des Root-Benutzers) muss mindestens 16 Zeichen lang sein. Das bedeutet, dass das Admin-Benutzerkennwort mindestens 16 Zeichen lang sein muss. Dies passiert zusätzlich zu der Prüfung der Kennwortkomplexität, die beim Ändern des Kennworts erforderlich ist. |
| 72502 | Synchronisierte Benutzer können nicht abgerufen werden. | ||
| 72503 | SSH-Dienst für Manager-Appliance wurde ausgeführt. | ||
| 72504 | Aktive Benutzerkonten ohne Administrator wurden erkannt. | Wenn ein Benutzer, der kein Admin-Benutzer ist, im NSX Manager aktiv ist. | Deaktivieren Sie alle Benutzer außer dem Admin-Benutzer. |
| 73000 | Beim Erfassen der Plattformkonformitätsdaten ist ein Fehler aufgetreten. |
