コンプライアンス レポート コードの意味に関する情報は、コンプライアンス状態レポートで確認できます。

https://docs-staging.vmware.com/en/draft/VMware-NSX/4.2/administration/GUID-32B9FB01-6376-40C0-B631-1F20B8FF7452.html?hWord=N4IghgNiBcICYFMwGMAuBLAbmVCAEAKgDIDKIAvkAイベントの完全なリストについては、「NSX イベント カタログ」を参照してください。
表 1. コンプライアンス レポートのコード
コード 説明 コンプライアンスの状態の送信元 修正方法
72001 暗号化が無効になっています。 この状態は、VPN IPsec プロファイルの構成に NO_ENCRYPTIONNO_ENCRYPTION_AUTH_AES_GMAC_128NO_ENCRYPTION_AUTH_AES_GMAC_192 または NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms が含まれている場合に報告されます。

この状態は、報告された非遵守の構成を使用する IPsec VPN セッションの構成に影響します。

準拠している暗号化アルゴリズムを含む VPN IPsec プロファイルを追加して、このプロファイルをすべての VPN 構成で使用します。「IPsec プロファイルの追加」を参照してください。
72011 ネイバーのバイパス整合性チェックの BGP メッセージ。メッセージ認証が定義されていません。 この状態は、BGP ネイバーにパスワードが設定されていない場合に報告されます。

この状態は、BGP ネイバーの構成に影響します。

BGP ネイバーにパスワードを構成し、このパスワードを使用するように Tier-0 ゲートウェイの構成を更新します。「BGP の構成」を参照してください。
72012 BGP ネイバーとの通信で、脆弱な整合性チェックが使用されています。メッセージ認証に MD5 が使用されています。 この状態は、BGP ネイバーのパスワードに MD5 認証が使用されている場合に報告されます。

この状態は、BGP ネイバーの構成に影響します。

NSX は BGP に MD5 認証のみをサポートしているため、この状態は修正できません。
72021 セキュアなソケット接続の確立に SSL バージョン 3 が使用されています。TLS v 1.1 以降を実行し、プロトコルに脆弱性がある SSLv3 を完全に無効にすることをおすすめします。 この状態は、ロード バランサのクライアント SSL プロファイル、ロード バランサのサーバ SSL プロファイルまたはロード バランサの HTTPS モニターで SSL バージョン 3 が構成されている場合に報告されます。
この状態は、次の構成に影響します。
  • ロード バランサ プールが HTTPS モニターに関連付けられている場合。
  • ロード バランサの仮想サーバが、ロード バランサのクライアント SSL プロファイルまたはサーバ SSL プロファイルに関連付けられている場合。
TLS v1.1 以降を使用するように SSL プロファイルを構成し、このプロファイルをすべてのロード バランサで使用します。「SSL プロファイルの追加」を参照してください。
72022 セキュアなソケット接続の確立に TLS バージョン 1.0 が使用されています。TLS v1.1 以降を実行し、プロトコルに脆弱性がある TLS v1.0 を完全に無効にします。 この状態は、ロード バランサのクライアント SSL プロファイル、ロード バランサのサーバ SSL プロファイル、またはロード バランサの HTTPS モニターに TLS v1.0 が構成されている場合に報告されます。
この状態は、次の構成に影響します。
  • ロード バランサ プールが HTTPS モニターに関連付けられている場合。
  • ロード バランサの仮想サーバが、ロード バランサのクライアント SSL プロファイルまたはサーバ SSL プロファイルに関連付けられている場合。
TLS v1.1 以降を使用するように SSL プロファイルを構成し、このプロファイルをすべてのロード バランサで使用します。「SSL プロファイルの追加」を参照してください。
72023 脆弱な Diffie-Hellman グループが使用されています。 このエラーは、VPN IPsec プロファイルまたは VPN IKE プロファイルの構成に Diffie-Hellman グループ(2、5、14、15、16)が含まれている場合に報告されます。グループ 2 と 5 は、脆弱な Diffie-Hellman グループです。グループ 14、15、16 は脆弱なグループではありませんが、FIPS に準拠していません。

この状態は、報告された非遵守の構成を使用する IPsec VPN セッションの構成に影響します。

Diffie-Hellman グループ 19、20 または 21 を使用するように VPN プロファイルを構成します。「プロファイルの追加」を参照してください。
72025 Edge ノードで実行されている Quick Assist Technologies (QAT) は FIPS に準拠していません。 QAT は、Intel が暗号化と圧縮のために提供するハードウェア アクセラレーション サービスのセットです。 QAT の使用を無効にするには、NSX CLI を使用します。詳細については、『NSX インストール ガイド』の「IPsec VPN 一括暗号化での Intel QAT のサポート」を参照してください。
72026 Bouncy-castle FIPS モジュールの準備ができていません。 アプリケーションが実行されていることを確認し、ログをチェックします。
72200 エントロピが十分ではありません。 この状態は、疑似乱数ジェネレータが、ハードウェアによって生成されたエントロピーに依存せずにエントロピーを生成した場合に報告されます。

NSX Manager ノードは、十分な真のエントロピーを作成するために必要なハードウェア アクセラレーションのサポートがないため、ハードウェア生成のエントロピーを使用しません。

新しいハードウェアを使用して、NSX Manager ノードを実行します。最新のハードウェアでは、この機能がサポートされています。
注: 基盤となるインフラストラクチャが仮想の場合、真のエントロピは得られません。
72201 エントロピ源が不明です。 この状態は、指定されたノードでエントロピーの状態が不明な場合に報告されます。 このエラーは、NSX Manager がエントロピーのソースを特定できないことを示す内部通信エラーです。サービス要求を作成して VMware に問い合わせてください。
72301 証明書に認証局 (CA) の署名がありません。 この状態は、NSX Manager 証明書のいずれかに CA の署名がない場合に報告されます。NSX Manager は次の証明書を使用します。
  • Syslog 証明書。
  • 個別の NSX Manager ノードの API 証明書。
  • NSX Manager VIP に使用されるクラスタ証明書。
CA 署名付き証明書をインストールします。証明書を参照してください。
72302 証明書に拡張キーの使用情報 (EKU) がありません。 CSR に存在する EKU 拡張機能は、サーバ証明書にも存在する必要があります。 EKU は、目的の使用方法と一致する必要があります。たとえば、サーバに接続する場合は SERVER、サーバ上でクライアント証明書として使用する場合は CLIENT にします。
72303 証明書が失効しています。 証明書の有効性が終了状態のため、リカバリできません。
72304 証明書が RSA ではありません。 証明書のパブリック キーが RSA 証明書用であることを確認します。
72305 証明書が楕円曲線ではありません。 この状態は、証明書が EAL4+ コンプライアンスを遵守していない場合に報告されます。 非遵守の証明書を CA 署名付き証明書で置き換えます。「API による証明書の置き換え」を参照してください。
72306 証明書に基本的な制約がありません。 証明書が、選択した目的に対して有効でないか、必要なフィールドまたは値が欠落している可能性があります。
72307 CRL を取得できません。
72308 CRL が無効です。 CRL をチェックして、無効とマークされた理由を特定します。
72309 Corfu 証明書の有効期限チェックが無効になっています。
72310 一部のコンピュート マネージャに RSA 証明書がないか、証明書キーの長さが 3,072 ビット未満です。 コンピュート マネージャ(vCenter Server など)が NSX Manager に接続されると、その証明書が NSX Manager に渡されます。証明書が RSA タイプではない場合、または証明書が RSA タイプでも証明書の RSA キー サイズが 3,072 ビット未満の場合、このエラーがトリガされます。 NSX Manager からコンピュート マネージャを削除します。コンピュート マネージャの証明書を、キー サイズが 3,072 ビット以上の RSA 証明書に置き換えます。
72401 ゲートウェイ TLS 検査が FIPS に準拠していません。
72402 システムが FIPS に準拠していません。
72403 システムでプリンシパル ID の存在が検出されました。EAL4 コンプライアンスのため、すべてのプリンシパル ID を削除してください。
72404 システムで OIDC エンドポイントの存在が検出されました。EAL4 コンプライアンスのため、すべての OIDC エンドポイントを削除してください。
72501 構成されたユーザー パスワードが準拠していません。ユーザーは、16 文字以上の高品質のパスワードを使用する必要があります。 ユーザー パスワードが EAL4+ を遵守していない場合に報告されます。 ローカル ユーザー(root ユーザーを除く)のパスワードは 16 文字以上にする必要があります。つまり、admin ユーザーのパスワードは 16 文字以上にする必要があります。パスワードの変更時に必要なパスワードの複雑性チェックに加えて、これの条件を満たす必要があります。
72502 同期されたユーザーを取得できません。
72503 NSX Manager アプライアンスの SSH サービスが実行状態であることが確認されました。
72504 管理者以外のアクティブなユーザー アカウントが検出されました。 NSX Manager で admin 以外のユーザーがアクティブになっている場合。 admin 以外の他のすべてのユーザーを無効にします。
73000 プラットフォーム コンプライアンス データの収集中にエラーが発生しました。