Informationen zur Bedeutung der Compliance-Berichtscodes finden Sie im Compliance-Statusbericht.

https://docs-staging.vmware.com/en/draft/VMware-NSX/4.2/administration/GUID-32B9FB01-6376-40C0-B631-1F20B8FF7452.html?hWord=N4IghgNiBcICYFMwGMAuBLAbmVCAEAKgDIDKIAvkAEine vollständige Liste der Ereignisse finden Sie im NSX-Ereigniskatalog.
Tabelle 1. Codes für Compliance-Berichte
Code Beschreibung Compliance-Statusquelle Wartung
72001 Verschlüsselung ist deaktiviert. Meldet diesen Status, wenn eine VPN-IPSec-Profilkonfiguration NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 oder NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms enthält.

Dieser Status wirkt sich auf IPSec-VPN-Sitzungskonfigurationen aus, die die gemeldeten nicht kompatiblen Konfigurationen verwenden.

Fügen Sie ein VPN-IPSec-Profil hinzu, das kompatible Verschlüsselungsalgorithmen verwendet, und nutzen Sie das Profil in allen VPN-Konfigurationen. Siehe Hinzufügen von IPSec-Profilen.
72011 BGP-Meldungen mit Nachbarn umgehen die Integritätsprüfung. Keine Nachrichtenauthentifizierung definiert. Meldet diesen Status, wenn für den BGP-Nachbarn kein Kennwort konfiguriert wurde.

Dieser Status wirkt sich auf die BGP-Nachbarkonfiguration aus.

Konfigurieren Sie ein Kennwort für den BGP-Nachbarn und aktualisieren Sie die Tier-0-Gateway-Konfiguration für die Verwendung des Kennworts. Siehe Konfigurieren des BGP-Protokolls.
72012 Die Kommunikation mit dem BGP-Nachbarn verwendet eine schwache Integritätsprüfung. MD5 wird für die Nachrichtenauthentifizierung verwendet. Meldet diesen Status, wenn die MD5-Authentifizierung für das Kennwort des BGP-Nachbarn verwendet wird.

Dieser Status wirkt sich auf die BGP-Nachbarkonfiguration aus.

Keine Wartung verfügbar, da NSX nur die MD5-Authentifizierung für BGP unterstützt.
72021 SSL-Version 3 wird für die Herstellung einer sicheren Socket-Verbindung verwendet. Es wird empfohlen, TLS v1.1 oder höher auszuführen und SSLv3 mit Protokollschwächen vollständig zu deaktivieren. Meldet diesen Status, wenn sich die SSL-Version 3-Konfiguration im Client-SSL-Profil des Load Balancers im Server-SSL-Profil des Load Balancers oder im HTTPS-Monitor des Load Balancers befindet.
Dieser Status wirkt sich auf die folgenden Konfigurationen aus:
  • Load Balancer-Pools, die mit HTTPS-Monitoren verknüpft sind.
  • Virtuelle Load Balancer-Server, die mit Client-SSL-Profilen oder Server-SSL-Profilen von Lastausgleichsdiensten verknüpft sind.
Konfigurieren Sie ein SSL-Profil für die Verwendung von TLS v1.1 oder höher und verwenden Sie dieses Profil in allen Load Balancer-Konfigurationen. Siehe Hinzufügen eines SSL-Profils.
72022 TLS-Version 1.0 wird für die Herstellung einer sicheren Socket-Verbindung verwendet. Führen Sie TLS v1.1 oder höher aus und deaktivieren Sie TLS v1.0, das Protokollschwächen aufweist. Meldet diesen Status, wenn das Client-SSL-Profil des Load Balancers, das SSL-Profil des Load Balancer-Servers oder die HTTPS-Überwachung des Load Balancers die TLS v1.0-Konfiguration enthält.
Dieser Status wirkt sich auf die folgenden Konfigurationen aus:
  • Load Balancer-Pools, die mit HTTPS-Monitoren verknüpft sind.
  • Virtuelle Load Balancer-Server, die mit Client-SSL-Profilen oder Server-SSL-Profilen von Lastausgleichsdiensten verknüpft sind.
Konfigurieren Sie ein SSL-Profil für die Verwendung von TLS v1.1 oder höher und verwenden Sie dieses Profil in allen Load Balancer-Konfigurationen. Siehe Hinzufügen eines SSL-Profils.
72023 Es wird eine schwache Diffie-Hellman Group verwendet. Meldet diesen Fehler, wenn eine VPN-IPSec-Profil- oder VPN-IKE-Profilkonfiguration die folgenden Diffie-Hellman-Gruppen enthält: 2, 5, 14, 15 oder 16. Die Gruppen 2 und 5 sind schwache Diffie-Hellman Groups. Die Gruppen 14, 15 und 16 sind keine schwachen Gruppen, aber nicht FIPS-kompatibel.

Dieser Status wirkt sich auf IPSec-VPN-Sitzungskonfigurationen aus, die die gemeldeten nicht kompatiblen Konfigurationen verwenden.

Konfigurieren Sie die VPN-Profile für die Verwendung von Diffie-Hellman group 19, 20 oder 21. Siehe Hinzufügen von Profilen.
72025 Das Ausführen von QAT (Quick Assist Technologies) auf einem Edge-Knoten ist nicht FIPS-konform. QAT ist ein Satz Hardware-beschleunigter Dienste, die Intel für Kryptografie und Komprimierung bereitstellt. Verwenden Sie die NSX CLI, um die QAT-Nutzung zu deaktivieren. Weitere Informationen finden Sie unter „Intel QAT-Unterstützung für IPSec-VPN-Massenkryptografie“ im Installationshandbuch für NSX.
72026 Das FIPS-Modul „Bouncy-Castle“ ist nicht bereit. Überprüfen Sie, ob Ihre Anwendungen ausgeführt werden, und prüfen Sie Ihre Protokolle.
72200 Unzureichende wahre Entropie verfügbar. Meldet diesen Status, wenn ein Pseudo-Zufallszahlengenerator die Entropie generiert, statt sich auf Hardware-generierte Entropie zu stützen.

Der NSX Manager-Knoten verwendet keine Hardware-generierte Entropie, da er nicht über die erforderliche Hardwarebeschleunigung verfügt, um eine ausreichend wahre Entropie zu erstellen.

Setzen Sie neuere Hardware ein, um den NSX Manager-Knoten auszuführen. Die neueste Hardware unterstützt diese Funktion.
Hinweis: Wenn die zugrunde liegende Infrastruktur virtuell ist, erhalten Sie keine wahre Entropie.
72201 Entropiequelle unbekannt. Meldet diesen Status, wenn für den angegebenen Knoten kein Entropiestatus verfügbar ist. Dieser Fehler ist ein interner Kommunikationsfehler, der verhindert, dass NSX Manager die Quelle der Entropie ermitteln kann. Öffnen Sie eine Dienstanforderung mit VMware.
72301 Zertifikat ist nicht von der Zertifizierungsstelle signiert. Dieser Status wird gemeldet, wenn eines der NSX Manager-Zertifikate nicht von der Zertifizierungsstelle signiert ist. NSX Manager verwendet die folgenden Zertifikate:
  • Syslog-Zertifikat.
  • API-Zertifikate für die einzelnen NSX Manager-Knoten.
  • Für NSX Manager-VIP verwendetes Clusterzertifikat.
Installieren Sie von einer Zertifizierungsstelle signierte Zertifikate. Sehen Sie hierzu Zertifikate.
72302 Im Zertifikat fehlen Informationen zur erweiterten Schlüsselverwendung (EKU, Extended Key Usage). In der CSR vorhandene EKU-Erweiterungen müssen auch in den Serverzertifikaten vorhanden sein. Die EKU muss dem Verwendungszweck entsprechen. Beispiel: SERVER beim Herstellen einer Verbindung mit einem Server, CLIENT bei Verwendung als Clientzertifikat auf einem Server.
72303 Das Zertifikat wurde widerrufen. Die Gültigkeit des Zertifikats befindet sich im Endzustand und kann nicht wiederhergestellt werden.
72304 Das Zertifikat ist nicht RSA. Stellen Sie sicher, dass ihr öffentlicher Schlüssel für ein RSA-Zertifikat gilt.
72305 Das Zertifikat ist keine elliptische Kurve. Meldet diesen Status, wenn Ihr Zertifikat nicht EAL4+-konform ist. Ersetzen Sie Ihre nicht konformen Zertifikate durch von einer Zertifizierungsstelle signierte Zertifikate. Siehe Zertifikate durch API ersetzen.
72306 Im Zertifikat fehlen grundlegende Einschränkungen. Das Zertifikat scheint für den ausgewählten Zweck nicht gültig zu sein oder es fehlen möglicherweise erforderliche Felder oder Werte.
72307 CRL kann nicht abgerufen werden.
72308 Die CRL ist ungültig. Überprüfen Sie die CRL, um festzustellen, warum es als ungültig gekennzeichnet wurde.
72309 Die Ablaufprüfung für das Corfu-Zertifikat wurde deaktiviert.
72310 Einige Compute Manager verfügen über kein RSA-Zertifikat oder die Länge des Zertifikatschlüssels beträgt weniger als 3072 Bit. Wenn ein Compute Manager (z. B. vCenter) mit dem NSX Manager verbunden ist, übergibt er sein Zertifikat an den NSX Manager. Dieser Fehler wird ausgelöst, wenn es sich bei dem Zertifikat nicht um einen RSA-Typ handelt oder wenn es sich bei dem Zertifikat zwar um einen RSA-Typ handelt, die RSA-Schlüsselgröße des Zertifikats aber weniger als 3.072 Bit beträgt. Löschen Sie den Compute Manager von NSX Manager. Ersetzen Sie das Zertifikat des Compute Managers durch ein RSA-Zertifikat mit einer Schlüsselgröße von mindestens 3072 Bit.
72401 Gateway-TLS-Prüfung ist nicht FIPS-konform.
72402 Das System ist nicht FIPS-konform.
72403 Vorhandensein der Prinzipalidentität im System erkannt. Entfernen Sie alle Prinzipalidentitäten für EAL4-Konformität.
72404 OIDC-Endpunkt-Präsenz im System erkannt. Entfernen Sie alle OIDC-Endpunkte für EAL4-Konformität.
72501 Konfigurierte Benutzerkennwörter sind nicht konform. Benutzer müssen sichere Kennwörter mit einer Länge von mindestens 16 Zeichen verwenden. Meldet, wenn Benutzerpasswörter nicht EAL4+-konform sind. Das Kennwort für lokale Benutzer (mit Ausnahme des Root-Benutzers) muss mindestens 16 Zeichen lang sein. Das bedeutet, dass das Admin-Benutzerkennwort mindestens 16 Zeichen lang sein muss. Dies passiert zusätzlich zu der Prüfung der Kennwortkomplexität, die beim Ändern des Kennworts erforderlich ist.
72502 Synchronisierte Benutzer können nicht abgerufen werden.
72503 SSH-Dienst für Manager-Appliance wurde ausgeführt.
72504 Aktive Benutzerkonten ohne Administrator wurden erkannt. Wenn ein Benutzer, der kein Admin-Benutzer ist, im NSX Manager aktiv ist. Deaktivieren Sie alle Benutzer außer dem Admin-Benutzer.
73000 Beim Erfassen der Plattformkonformitätsdaten ist ein Fehler aufgetreten.