您可以在合規性狀態報告中,尋找有關合規性報告代碼含義的資訊。
| 如需完整的事件清單,請參閱 NSX 事件目錄。 |
| 代碼 | 說明 | 合規性狀態來源 | 修復 |
|---|---|---|---|
| 72001 | 加密已停用。 | 如果 VPN IPSec 設定檔組態包含 NO_ENCRYPTION、NO_ENCRYPTION_AUTH_AES_GMAC_128、NO_ENCRYPTION_AUTH_AES_GMAC_192 或 NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms,則會報告此狀態。此狀態會影響使用所報告不相容組態的 IPSec VPN 工作階段組態。 |
新增使用相容加密演算法的 VPN IPSec 設定檔,並在所有 VPN 組態中使用該設定檔。請參閱新增 IPSec 設定檔。 |
| 72011 | 具有芳鄰略過完整性檢查的 BGP 訊息。未定義訊息驗證。 | 如果 BGP 芳鄰沒有所設定的密碼,則會報告此狀態。 此狀態會影響 BGP 芳鄰組態。 |
在 BGP 芳鄰上設定密碼,並將第 0 層閘道組態更新為使用該密碼。請參閱設定 BGP。 |
| 72012 | 與 BGP 芳鄰的通訊使用弱式完整性檢查。MD5 用於訊息驗證。 | 如果對 BGP 芳鄰密碼使用 MD5 驗證,則會報告此狀態。 此狀態會影響 BGP 芳鄰組態。 |
沒有可用的修復,因為 NSX 僅支援 BGP 的 MD5 驗證。 |
| 72021 | 使用了 SSL 第 3 版來建立安全通訊端連線。建議 TLS 1.1 版或更高版本,並完全停用具有通訊協定弱點的 SSLv3。 | 如果負載平衡器用戶端 SSL 設定檔、負載平衡器伺服器 SSL 設定檔,或負載平衡器 HTTPS 監視器中有 SSL 第 3 版組態,則會報告此狀態。
此狀態會影響下列組態:
|
設定使用 TLS 1.1 版或更新版本的 SSL 設定檔,並在所有負載平衡器組態中使用此設定檔。請參閱新增 SSL 設定檔。 |
| 72022 | 使用了 TLS 1.0 版來建立安全通訊端連線。執行 TLS 1.1 版或更高版本,並完全停用具有通訊協定弱點的 TLS 1.0 版。 | 如果負載平衡器用戶端 SSL 設定檔、負載平衡器伺服器 SSL 設定檔或負載平衡器 HTTPS 監視器包含 TLS 1.0 版組態,則會報告此狀態。
此狀態會影響下列組態:
|
設定使用 TLS 1.1 版或更新版本的 SSL 設定檔,並在所有負載平衡器組態中使用此設定檔。請參閱新增 SSL 設定檔。 |
| 72023 | 使用了弱式 Diffie-Hellman 群組。 | 如果 VPN IPSec 設定檔或 VPN IKE 設定檔組態包含下列 Diffie-Hellman 群組,則會報告此錯誤:2、5、14、15 或 16。群組 2 和 5 是弱式 Diffie-Hellman 群組。群組 14、15 和 16 不是弱式群組,但並非 FIPS 相容。 此狀態會影響使用所報告不相容組態的 IPSec VPN 工作階段組態。 |
將 VPN 設定檔設定為使用 Diffie-Hellman 群組 19、20 或 21。請參閱新增設定檔。 |
| 72024 | 負載平衡器 FIPS 全域設定已停用。 | 如果負載平衡器 FIPS 全域設定已停用,則會報告此錯誤。 此狀態會影響所有負載平衡器服務。 |
為負載平衡器啟用 FIPS。請參閱設定負載平衡器的全域 FIPS 符合性模式。 |
| 72025 | 在 Edge 節點上執行的 Quick Assist Technologies (QAT) 不符合 FIPS 標準。 | QAT 是 Intel 提供的一組硬體加速服務,用於密碼編譯和壓縮。 | 若要停止使用 QAT,請使用 NSX CLI。如需詳細資料,請參閱《NSX 安裝指南》中的〈Intel QAT 支援 IPSec VPN 大量密碼編譯〉。 |
| 72026 | Bouncy-castle FIPS 模組尚未準備就緒。 | 檢查以確定應用程式正在執行,然後查看您的記錄。 | |
| 72200 | 沒有足夠的真實熵可用。 | 如果使用虛擬隨機數字產生器來產生熵,而不依賴硬體產生的熵,則會報告此狀態。 NSX Manager 節點未使用硬體產生的熵,因為沒有所需的硬體加速支援來建立足夠的真實熵。 |
使用較新的硬體來執行 NSX Manager 節點。最新的硬體支援此功能。
備註: 如果基礎結構是虛擬的,您將無法取得真實熵。
|
| 72201 | 熵來源未知。 | 當指示的節點沒有可用的熵狀態,則會報告此狀態。 | 此錯誤是一個內部通訊錯誤,會導致 NSX Manager 無法判斷熵的來源。使用 VMware 來開立服務要求。 |
| 72301 | 憑證未經過 CA 簽署。 | 當其中一個 NSX Manager 憑證未經過 CA 簽署時,會報告此狀態。NSX Manager 使用下列憑證:
|
安裝 CA 簽署憑證。請參閱憑證。 |
| 72302 | 憑證遺失擴充金鑰使用方法 (EKU) 資訊。 | 存在於 CSR 中的 EKU 擴充功能也應當存在於伺服器憑證中。 | EKU 需要與預期的使用方法相符。例如,連線至伺服器時為「伺服器」,作為伺服器上的用戶端憑證時為「用戶端」。 |
| 72303 | 憑證已撤銷。 | 憑證的有效性處於終止狀態,無法復原。 | |
| 72304 | 憑證不是 RSA。 | 確定您的憑證公開金鑰用於 RSA 憑證。 | |
| 72305 | 憑證不是橢圓曲線。 | 如果您的憑證不符合 EAL4+ 標準,則會報告此狀態。 | 將不符合標準的憑證更換為 CA 簽署憑證。請參閱更換憑證。 |
| 72306 | 憑證缺少基本限制。 | 憑證對於所選用途似乎無效,或者可能遺漏必要的欄位或值。 | |
| 72307 | 無法擷取 CRL。 | ||
| 72308 | CRL 無效。 | 檢查 CRL,判斷其被標記為無效的原因。 | |
| 72309 | Corfu 憑證到期檢查已停用。 | ||
| 72310 | 某些計算管理程式沒有 RSA 憑證或憑證金鑰長度小於 3072 位元。 | 當計算管理程式 (例如,vCenter) 連線至 NSX Manager 時,它會將其憑證傳遞給 NSX Manager。如果憑證不是 RSA 類型,或者憑證是 RSA 類型,但憑證的 RSA 金鑰大小小於 3072 位元,則會觸發此錯誤。 | 將計算管理程式從 NSX Manager 刪除。將計算管理程式的憑證更換為 RSA 憑證,且其金鑰大小至少有 3072 位元。 |
| 72401 | 閘道 TLS 檢查不符合 FIPS 標準。 | ||
| 72402 | 系統不符合 FIPS 標準。 | ||
| 72403 | 在系統中偵測到主體身分識別存在。移除所有主體身分識別以獲得 EAL4 合規性。 | ||
| 72404 | 在系統中偵測到 OIDC 端點存在。移除所有 OIDC 端點以獲得 EAL4 合規性。 | ||
| 72501 | 設定的使用者密碼不符合標準。使用者必須使用長度至少為 16 個字元的高強度密碼。 | 如果使用者密碼不符合 EAL4+ 標準,會報告此狀態。 | 本機使用者 (root 使用者除外) 的密碼必須至少有 16 個字元。換句話說,這表示管理員使用者密碼必須至少有 16 個字元。除此之外,在修改密碼時還需要進行密碼複雜性檢查。 |
| 72502 | 無法取得同步的使用者。 | ||
| 72503 | 發現 Manager 應用裝置的 SSH 服務處於執行中狀態。 | ||
| 72504 | 偵測到非管理員作用中使用者帳戶。 | 當管理員以外的任何使用者在 NSX Manager 中處於作用中,則會報告此狀態。 | 停用管理員以外的所有其他使用者。 |
| 73000 | 收集平台合規性資料時發生錯誤。 |
