您可以在合規性狀態報告中,尋找有關合規性報告代碼含義的資訊。

https://docs-staging.vmware.com/en/draft/VMware-NSX/4.2/administration/GUID-32B9FB01-6376-40C0-B631-1F20B8FF7452.html?hWord=N4IghgNiBcICYFMwGMAuBLAbmVCAEAKgDIDKIAvkA如需完整的事件清單,請參閱 NSX 事件目錄
表 1. 合規性報告代碼
代碼 說明 合規性狀態來源 修復
72001 加密已停用。 如果 VPN IPSec 設定檔組態包含 NO_ENCRYPTIONNO_ENCRYPTION_AUTH_AES_GMAC_128NO_ENCRYPTION_AUTH_AES_GMAC_192NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms,則會報告此狀態。

此狀態會影響使用所報告不相容組態的 IPSec VPN 工作階段組態。

新增使用相容加密演算法的 VPN IPSec 設定檔,並在所有 VPN 組態中使用該設定檔。請參閱新增 IPSec 設定檔
72011 具有芳鄰略過完整性檢查的 BGP 訊息。未定義訊息驗證。 如果 BGP 芳鄰沒有所設定的密碼,則會報告此狀態。

此狀態會影響 BGP 芳鄰組態。

在 BGP 芳鄰上設定密碼,並將第 0 層閘道組態更新為使用該密碼。請參閱設定 BGP
72012 與 BGP 芳鄰的通訊使用弱式完整性檢查。MD5 用於訊息驗證。 如果對 BGP 芳鄰密碼使用 MD5 驗證,則會報告此狀態。

此狀態會影響 BGP 芳鄰組態。

沒有可用的修復,因為 NSX 僅支援 BGP 的 MD5 驗證。
72021 使用了 SSL 第 3 版來建立安全通訊端連線。建議 TLS 1.1 版或更高版本,並完全停用具有通訊協定弱點的 SSLv3。 如果負載平衡器用戶端 SSL 設定檔、負載平衡器伺服器 SSL 設定檔,或負載平衡器 HTTPS 監視器中有 SSL 第 3 版組態,則會報告此狀態。
此狀態會影響下列組態:
  • 與 HTTPS 監視器相關聯的負載平衡器集區。
  • 與負載平衡器用戶端 SSL 設定檔或伺服器 SSL 設定檔相關聯的負載平衡器虛擬伺服器。
設定使用 TLS 1.1 版或更新版本的 SSL 設定檔,並在所有負載平衡器組態中使用此設定檔。請參閱新增 SSL 設定檔
72022 使用了 TLS 1.0 版來建立安全通訊端連線。執行 TLS 1.1 版或更高版本,並完全停用具有通訊協定弱點的 TLS 1.0 版。 如果負載平衡器用戶端 SSL 設定檔、負載平衡器伺服器 SSL 設定檔或負載平衡器 HTTPS 監視器包含 TLS 1.0 版組態,則會報告此狀態。
此狀態會影響下列組態:
  • 與 HTTPS 監視器相關聯的負載平衡器集區。
  • 與負載平衡器用戶端 SSL 設定檔或伺服器 SSL 設定檔相關聯的負載平衡器虛擬伺服器。
設定使用 TLS 1.1 版或更新版本的 SSL 設定檔,並在所有負載平衡器組態中使用此設定檔。請參閱新增 SSL 設定檔
72023 使用了弱式 Diffie-Hellman 群組。 如果 VPN IPSec 設定檔或 VPN IKE 設定檔組態包含下列 Diffie-Hellman 群組,則會報告此錯誤:2、5、14、15 或 16。群組 2 和 5 是弱式 Diffie-Hellman 群組。群組 14、15 和 16 不是弱式群組,但並非 FIPS 相容。

此狀態會影響使用所報告不相容組態的 IPSec VPN 工作階段組態。

將 VPN 設定檔設定為使用 Diffie-Hellman 群組 19、20 或 21。請參閱新增設定檔
72025 在 Edge 節點上執行的 Quick Assist Technologies (QAT) 不符合 FIPS 標準。 QAT 是 Intel 提供的一組硬體加速服務,用於密碼編譯和壓縮。 若要停止使用 QAT,請使用 NSX CLI。如需詳細資料,請參閱NSX 安裝指南中的〈Intel QAT 支援 IPSec VPN 大量密碼編譯〉。
72026 Bouncy-castle FIPS 模組尚未準備就緒。 檢查以確定應用程式正在執行,然後查看您的記錄。
72200 沒有足夠的真實熵可用。 如果使用虛擬隨機數字產生器來產生熵,而不依賴硬體產生的熵,則會報告此狀態。

NSX Manager 節點未使用硬體產生的熵,因為沒有所需的硬體加速支援來建立足夠的真實熵。

使用較新的硬體來執行 NSX Manager 節點。最新的硬體支援此功能。
備註: 如果基礎結構是虛擬的,您將無法取得真實熵。
72201 熵來源未知。 當指示的節點沒有可用的熵狀態,則會報告此狀態。 此錯誤是一個內部通訊錯誤,會導致 NSX Manager 無法判斷熵的來源。使用 VMware 來開立服務要求。
72301 憑證未經過 CA 簽署。 當其中一個 NSX Manager 憑證未經過 CA 簽署時,會報告此狀態。NSX Manager 使用下列憑證:
  • Syslog 憑證。
  • 個別 NSX Manager 節點的 API 憑證。
  • 用於 NSX Manager VIP 的叢集憑證。
安裝 CA 簽署憑證。請參閱憑證
72302 憑證遺失擴充金鑰使用方法 (EKU) 資訊。 存在於 CSR 中的 EKU 擴充功能也應當存在於伺服器憑證中。 EKU 需要與預期的使用方法相符。例如,連線至伺服器時為「伺服器」,作為伺服器上的用戶端憑證時為「用戶端」。
72303 憑證已撤銷。 憑證的有效性處於終止狀態,無法復原。
72304 憑證不是 RSA。 確定您的憑證公開金鑰用於 RSA 憑證。
72305 憑證不是橢圓曲線。 如果您的憑證不符合 EAL4+ 標準,則會報告此狀態。 將不符合標準的憑證更換為 CA 簽署憑證。請參閱透過 API 更換憑證
72306 憑證缺少基本限制。 憑證對於所選用途似乎無效,或者可能遺漏必要的欄位或值。
72307 無法擷取 CRL。
72308 CRL 無效。 檢查 CRL,判斷其被標記為無效的原因。
72309 Corfu 憑證到期檢查已停用。
72310 某些計算管理程式沒有 RSA 憑證或憑證金鑰長度小於 3072 位元。 當計算管理程式 (例如,vCenter) 連線至 NSX Manager 時,它會將其憑證傳遞給 NSX Manager。如果憑證不是 RSA 類型,或者憑證是 RSA 類型,但憑證的 RSA 金鑰大小小於 3072 位元,則會觸發此錯誤。 將計算管理程式從 NSX Manager 刪除。將計算管理程式的憑證更換為 RSA 憑證,且其金鑰大小至少有 3072 位元。
72401 閘道 TLS 檢查不符合 FIPS 標準。
72402 系統不符合 FIPS 標準。
72403 在系統中偵測到主體身分識別存在。移除所有主體身分識別以獲得 EAL4 合規性。
72404 在系統中偵測到 OIDC 端點存在。移除所有 OIDC 端點以獲得 EAL4 合規性。
72501 設定的使用者密碼不符合標準。使用者必須使用長度至少為 16 個字元的高強度密碼。 如果使用者密碼不符合 EAL4+ 標準,會報告此狀態。 本機使用者 (root 使用者除外) 的密碼必須至少有 16 個字元。換句話說,這表示管理員使用者密碼必須至少有 16 個字元。除此之外,在修改密碼時還需要進行密碼複雜性檢查。
72502 無法取得同步的使用者。
72503 發現 Manager 應用裝置的 SSH 服務處於執行中狀態。
72504 偵測到非管理員作用中使用者帳戶。 當管理員以外的任何使用者在 NSX Manager 中處於作用中,則會報告此狀態。 停用管理員以外的所有其他使用者。
73000 收集平台合規性資料時發生錯誤。