最近升級虛擬化平臺,從ESXI5.0升級至ESXI6.0.0 Update1,中間經過了Windows vCenter5.1遷移至VCSA6.0、View 5.1 升級至 Horzion View 6.1、防毒系統升級、vShield Manager升級等等,過程中也遇到了很多問題,並逐步的解決了,在此分享給大家,希望對於後續各位的升級有所幫助;
報錯信息:
1、顯示vShield Endpoint Host status,如下圖所示:
2、查看vShield顯示未安裝狀態,如下圖所示:
3、重新安裝,安裝5分鐘還是5%,如下圖所示:
4、安裝失敗,顯示Failed to download VIB錯誤,如下圖所示:
6、查看vShield Manager管理平臺發現,報錯信息:
A connection between the ESX module and the vShield Endpoint solution,MOVE AV Agentless,faild.
7、查看ePO發現服務已經啓動,但是SVM異常;
事件描述: Scanner service warning, unable to contact the hypervisor. Please update the SVM policy on ePO and provide credentials for the hypervisor.
原因分析:
問題一:安裝5分鐘最後失敗報無法下載對應的VIB文件
查看相關文檔顯示vShield Manager需要以下端口通訊正常;
因ESXI、ePO、vShield Manager三者需要通訊,而192.168.0.187策略爲未保證三者正常通訊;
display current-configuration | include 0.77 rule 77 deny tcp source 192.168.0.0 0.0.255.255 destination 192.168.0.77 0 destination-port eq 22 rule 78 deny tcp source 192.168.0.0 0.0.255.255 destination 192.168.0.77 0 destination-port eq 443
解決方法:
添加允許對應端口規則:
rule 52 permit ip source 192.168.0.6 0 destination 192.168.0.77 0 rule 53 permit ip source 192.168.0.7 0 destination 192.168.0.77 0 rule 54 permit ip source 192.168.0.236 0 destination 192.168.0.77 0 rule 56 permit ip source 192.168.0.237 0 destination 192.168.0.77 0 rule 57 permit ip source 192.168.0.7 0 destination 192.168.0.18 0 rule 58 permit ip source 192.168.0.6 0 destination 192.168.0.18 0
重新刷新:vShield Endpoint 防毒模塊安裝正常;
vShield Manager顯示正常:
問題二:安裝正常以後,但是虛擬機還無法正常殺毒,
原因分析:
通過vShield Manager查看,虛擬機精簡代理未啓用(Thin agent enabled)
原因系在安裝VMware tools的時候未安裝VMCI造成;
解決方法:重新安裝VMware tools工具,注意選擇對應的驅動程序;
檢測是否安裝成功,通過fltmc命令:
測試殺毒正常:
錯誤三:lost communication with ESX module
vShield Manager 顯示錯誤信息“Lost communication with ESX module”. 導致這個問題的原因是ESX/ESXi 和正在運行的vShield Manager 時間戳不匹配。
vShield Manager在它第一次運行的時候會建立一個新的證書.如果時間戳不一致,會導致證書驗證失敗並且該錯誤信息會提示。 這個錯誤還可能引起受保護的虛擬機脫機
解決方法:
要解決這個問題請確保vShield Manaer 與ESX/ESXi 的時間同步
卸載程序,再重新安裝對應的vshield;
重新安裝完成以後,ESX Modle是成功的,但是MOVE AV無代理防毒會出現異常,如下圖所示:
同時在vShpere Client也會報對應的錯誤,這時候我們需要重新導入防毒系統的OVF重新配置即可;