ビジネスサポートポータルアカウントでログイン
NSX環境でDeep Security Virtual Appliance のインストールに失敗する場合のトラブルシューティング  

NSX環境でDeep Security Virtual Appliance のインストールに失敗する場合のトラブルシューティング

    • 更新日:
    • 29 Aug 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Virtual Appliance すべて
概要
NSX環境でDeep Security Virtual Appliance (以下、DSVA)のインストールに失敗します。この原因と対処法について教えてください。 
詳細
Public

以降の解説では、Deep Security ManagerをDSMと表記しています。

NSX環境でDSVAが有効化されるまでの流れ

  1. vSphere Web Client上の操作で、DSVAをインストールします。具体的な操作方法は、Deep Security ヘルプセンターを参照してください。
  2. 上記の操作によって、vCenterからインストール対象クラスタ配下のESXiホストへDSVAのovfイメージのダウンロードが司令されます。ダウンロードURLは以下の形です。
    https://[DSM]:4119/appliance/NSX/dsva.ovf
  3. 対象クラスタ配下のESXiホストのいずれか1台へDSVAの配信が完了した時点で自動的にスナップショットが取得されます。以降のESXiホストへのDSVAの配信は、そのスナップショットをベースとしてDSVAを複製する形で実施されます。
  4. DSVAの配信が完了すると、vCenter経由でDSMに通知され、DSMはDSVAの有効化処理を実行します。
  5. DSVAの有効化が完了すると同時に、DSVAがアップグレードされます。初期設定ではDSMにインポートされている最新バージョンへアップグレードされますが、[管理]-[システム設定]-[アップデート]画面の最下段にある「Virtual Applianceのバージョン管理」フィールドから、DSVAを有効化した際にアップグレードするビルドを指定する事も可能です。

DSVAが配信されない場合のトラブルシューティング

上述の2で解説している通り、DSMからESXiホストがovfイメージを直接ダウンロードする形でDSVAの配信が実施されますので、DSVAの配信が失敗する場合には以下の可能性が想定できます。

  1. ESXiホストがDSMの名前を解決できない

    ダウンロードURLの[DSM]の部分は、[管理]-[Managerノード]画面のホスト名に該当します。DSMがホスト名やFQDNで指定されていて、その名前をESXiホストが解決できない環境では、DSMのホスト名をIPアドレスに変更すればDSVAの配信に成功できる可能性が想定されます。

DSMのホスト名は、[管理]-[Managerノード]画面のホスト名をダブルクリックして変更可能ですが、変更後のホスト名をDSVAのovfイメージのダウンロードURLとして反映させるためには、[コンピュータ]画面のvCenterを右クリックして「今すぐ同期」を選択する必要があります。

現在のDSVAのovfイメージのダウンロードURLは、vSphere Web Clientの[Networking and Security]-[サービス定義]画面から"Trend Micro Deep Security"をダブルクリックし、[管理]-[デプロイ]タブから確認できます。

  1. ファイアウォール等によって、ESXiホストがDSMに到達できない

    DSMのホスト名をIPに変更しても解決できない場合、ファイアウォール等でESXi→DSM:4119への通信が阻害されていないかご確認ください。

  2. DSMデータベース上のovfイメージが破損している

    任意のコンピュータ上からDSVAのovfイメージのダウンロードURLへアクセスし、実際にovfイメージをダウンロードして可視化xmlフォーマット形式でovfファイルを取得できるかご確認ください。

    ovfファイルがテキストファイルとして可視化できなかったり、ovfファイルのダウンロード自体ができない場合、DSMデータベース上に登録されたovfイメージが破損しています。

    [管理]-[アップデート]-[ソフトウェア]-[ローカル]画面から、一旦DSVAのイメージを削除し、再度インポートし直してください。

  3. ESXiホストのバージョンに適合したDSVAのovfイメージのダウンロードURLが適切に登録されていない

    NSXの「インストール手順」画面から、DSVAのデプロイを試みても必ず失敗し、失敗の原因として「ホストに互換性がないためエージェントはデプロイされません」と表示されている場合、以下の製品Q&Aを参照してください。



DSVAが有効化されない場合のトラブルシューティング

vSphereのインベントリ上に"Trend Micro Deep Security"が現れたものの、DSMの[コンピュータ]画面上で「非管理対象(不明)」ステータスとなっている場合、DSVAの有効化処理が失敗しています。

NSX環境の場合、DSVAのホスト名は必ず"localhost.localdom"で登録されるものの、DSVAのIPアドレスがvCenter経由でDSMへ伝えられるため、DSM→DSVAの通信は常にIPアドレスで実施されます。

DSVAの有効化処理は、DSVAから実施する事ができないため、必ずDSM→DSVA:4118の通信が成立できる必要があります。以下にこの通信が成立できない原因として想定される要因を列挙しておきます。

  1. ファイアウォール等によって、DSMがDSVAに到達できない

    ファイアウォール等でDSM→DSVA:4118への通信が阻害されていないかご確認ください。

  2. DSMとDSVAの中間にNATルータが存在する

    NATによって、DSVAのIPが変換された環境では、DSMからアクセス可能なDSVAのIPアドレスを変更できないため、有効化できません。DSVAに割り当てられたIPへDSMから直接アクセス可能な環境へ配置変更して頂く必要があります。

  3. DSVAのネットワークラベルの指定が誤っている

    vSphere Web ClientからESXiホストを選択し、[設定]-[仮想マシン]-[エージェント仮想マシンの設定]画面からDSVAが配置されるネットワークを指定できます。

    指定されたネットワークラベルが、DSMから到達可能なネットワークである事をご確認ください。

Premium
Internal
評価:
カテゴリ:
インストール
Solution Id:
1117810
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド