Trend Micro Deep Security is een goed product, laat dat gezegd zijn (nee, ik heb geen aandelen en krijg geen provisie). Het is ook een product, die, zeker in versie 7.5, nogal gevoelig is voor configuratie issues en (VMware) patch levels. Zo ook het onderstaande probleem, wat zichtbaar werd binnen de Trend Micro Deep Security Manager nadat we én de host hadden omgezet naar VMware ESXi 4.1 U3 en deze ook van de laatste patches voorzien hadden.


We dachten, in al onze wijsheid, één van onze ESX 4.1 hosts om te moeten zetten naar ESXi 4.1, en daarbij ook maar de laatst VMware patchs te installeren. Het heeft ons een tijdje voor raadsels gesteld, maar uiteindelijk zijn we er uit gekomen:



Installeer geen VMware ESXi 4.1 U3 totdat patch 8 in mei 2013 uit komt maar blijf bij U2! Ook VMware ESXi 4.1 U2 met daarna alle patches geeft het probleem!



Hoezo, geen ESXi 4.1 U3 installeren i.c.m. Trend Micro Deep Security? Het probleem is bij VMware bekend en, vooral belangrijk, onderkend (zie KB artikel 2044676). In patch 8 die uitkomt in mei 2013 wordt het probleem opgelost, zo is mij verzekerd door de VMware Support Engineer die het KB artikel geschreven heeft.


Voordat de bovenstaande conclusie gemaakt kon worden, waren al een groot aantal controles uitgevoerd, zowel op de host als op de betrokken VM's. Voor troubleshooting zijn deze zeker aan te raden, om bij een eventuele support call goed beslagen ten ijs te komen. De controles zijn uitgesplitst in een VM gedeelte en een host gedeelte.


VM controles


De controles die op een VM gedaan kunnen worden:



  • De juiste SCSI driver moet in het Operation Systeem gebruikt worden. De enige eis hiervoor is dat er geen 'Buslogic Parallel' SCSI controller gebruikt mag worden, elk van de andere is wel toegestaan.


  • Op de VM moet ingeval van VMware ESX(i) 4.1 een vShield Endpoint Driver geïnstalleerd zijn. De laatste daarvan is U3 (komt mee met de vShield Manager installatie). Controle op juiste installatie is via de commando prompt uit te voeren via de commando's:


    • sc query vsepflt

    • sc qeury vsepscsi


    • msinfo32 (kijk naar dezelfde drivers als hierboven)



Host controles


Op de host kunnen een aantal zaken gecontroleerd worden



  • Ten eerste moet de Trend Micro Deep Security filter driver correct
    geplaatst zijn en moet er ook een vSwitch voor Deep Security aangemaakt
    zijn. Dit alles wordt vanuit de Trend Micro Deep Security Manager
    interface uitgevoerd en zou correct moeten zijn verlopen. Dit is
    eenvoudig te controleren in de vSphere Client:


  • Daarnaast is te controleren of de juiste drivers wel geïnstalleerd zijn en actief zijn binnen de host. Dus:


    • Geïnstalleerd? Kijk naar de Trend-FilterDriver (Deep Security) en epsec-vfile (vShield Endpoint).


    • Zijn de drivers actief?


    • Is er een IP adres gedefinieerd voor de Trend Micro Deep Security interface?




De bovenstaande controles en de hulp van VMware Suppor en QI Ict hebben mij in
ieder geval geholpen de 'Anti-Malware Driver Offline' problemen te
tackelen! Dank daarvoor!



No comments

The author does not allow comments to this entry