最近升级虚拟化平台,从ESXI5.0升级至ESXI6.0.0 Update1,中间经过了Windows vCenter5.1迁移至VCSA6.0、View 5.1 升级至 Horzion View 6.1、防毒系统升级、vShield Manager升级等等,过程中也遇到了很多问题,并逐步的解决了,在此分享给大家,希望对于后续各位的升级有所帮助;
报错信息:
1、显示vShield Endpoint Host status,如下图所示:
2、查看vShield显示未安装状态,如下图所示:
3、重新安装,安装5分钟还是5%,如下图所示:
4、安装失败,显示Failed to download VIB错误,如下图所示:
6、查看vShield Manager管理平台发现,报错信息:
A connection between the ESX module and the vShield Endpoint solution,MOVE AV Agentless,faild.
7、查看ePO发现服务已经启动,但是SVM异常;
事件描述: Scanner service warning, unable to contact the hypervisor. Please update the SVM policy on ePO and provide credentials for the hypervisor.
原因分析:
问题一:安装5分钟最后失败报无法下载对应的VIB文件
查看相关文档显示vShield Manager需要以下端口通讯正常;
因ESXI、ePO、vShield Manager三者需要通讯,而192.168.0.187策略为未保证三者正常通讯;
display current-configuration | include 0.77 rule 77 deny tcp source 192.168.0.0 0.0.255.255 destination 192.168.0.77 0 destination-port eq 22 rule 78 deny tcp source 192.168.0.0 0.0.255.255 destination 192.168.0.77 0 destination-port eq 443
解决方法:
添加允许对应端口规则:
rule 52 permit ip source 192.168.0.6 0 destination 192.168.0.77 0 rule 53 permit ip source 192.168.0.7 0 destination 192.168.0.77 0 rule 54 permit ip source 192.168.0.236 0 destination 192.168.0.77 0 rule 56 permit ip source 192.168.0.237 0 destination 192.168.0.77 0 rule 57 permit ip source 192.168.0.7 0 destination 192.168.0.18 0 rule 58 permit ip source 192.168.0.6 0 destination 192.168.0.18 0
重新刷新:vShield Endpoint 防毒模块安装正常;
vShield Manager显示正常:
问题二:安装正常以后,但是虚拟机还无法正常杀毒,
原因分析:
通过vShield Manager查看,虚拟机精简代理未启用(Thin agent enabled)
原因系在安装VMware tools的时候未安装VMCI造成;
解决方法:重新安装VMware tools工具,注意选择对应的驱动程序;
检测是否安装成功,通过fltmc命令:
测试杀毒正常:
错误三:lost communication with ESX module
vShield Manager 显示错误信息“Lost communication with ESX module”. 导致这个问题的原因是ESX/ESXi 和正在运行的vShield Manager 时间戳不匹配。
vShield Manager在它第一次运行的时候会建立一个新的证书.如果时间戳不一致,会导致证书验证失败并且该错误信息会提示。 这个错误还可能引起受保护的虚拟机脱机
解决方法:
要解决这个问题请确保vShield Manaer 与ESX/ESXi 的时间同步
卸载程序,再重新安装对应的vshield;
重新安装完成以后,ESX Modle是成功的,但是MOVE AV无代理防毒会出现异常,如下图所示:
同时在vShpere Client也会报对应的错误,这时候我们需要重新导入防毒系统的OVF重新配置即可;