De afgelopen weken ben ik ben mijn huidige werkgever druk geweest met een aantal hardnekkige Trend Micro DeepSecurity problemen op onze VMware vSphere 4 omgeving. Voor diegene die niet weten wat Trend Micro DeepSecurity nu precies doet, eerst een korte uitleg.


Trend Micro DeepSecurity


Door Trend Micro DeepSecurity te gebruiken wordt, onder andere, de anti-virus en anti-malware scanning verplaatst van virtuele machines naar een zogenaamde DeepSecurity Virtual Appliance. Hierdoor hoeft er op de virtuele machine geen anti-virus of anti-malware oplossing meer te draaien, en dat scheelt o.a. CPU, memory en disk resources. Ook wordt er een ander probleem, het tegelijkertijd scannen of updaten van alle virtuele machines met als gevolg resource problemen, opgelost. Al met al zou het ontzettend veel resources moeten schelen, zodat er meer virtuele machines per fysieke host gedraaid kunnen worden.


Om Trend Micro DeepSecurity aan de praat te krijgen, moeten de onderstaande zaken geregeld worden:




  1. Trend Micro DeepSecurity licenties, per fysieke host één DeepSecurity Virtual Appliance. Trend Micro DeepSecurity komt in verschillende smaken, de anti-virus en anti-malware is de meest simpele en goedkoopste. Neem contact op met uw Trend Micro reseller voor meer informatie.

  2. VMware Endpoint licenties per virtuele machine. Dit kunt u regelen met uw VMware partner.

  3. De VMware VShield Manager appliance moet geïnstalleerd staan op de VMware omgeving. Deze is te downloaden bij VMware (indien u een account hebt).

  4. Er moet voldoende ruimte zijn om fysieke hosts vrij te maken, want tijdens de installatie moet er per fysieke host een Trend Micro DeepSecurity filter driver geïnstalleerd worden.

  5. De virtuele machines mogen geen BusLogic SCSI controller gebruiken (zie dit artikel van Trend Micro). Als dat niet geregeld is, wordt je geconfronteerd met de melding 'Anti-Malware Driver Offline' en moet de controller omgebouwd worden.

  6. Per virtuele machine moet er een VMware vShield Endpoint driver geïnstalleerd worden, waarvoor een herstart van de virtuele machine nodig is.


De installatie van Trend Micro DeepSecurity wordt normaliter gedaan door een partner en beschrijvingen zijn ook op Internet te vinden. Hieronder een screenshot van onze DeepSecurity omgeving (moment opname).



Problemen


Zoals ik aan het begin al vertelde, zijn we de laatste weken druk geweest met een aantal hardnekkige problemen met betrekking tot Trend Micro DeepSecurity. De bedoeling is dat er geen critical meldingen zijn (zoals ze in het screenshot hierboven nog wel zijn).


  • Virtuele Terminal Servers (in ons geval Windows Server 2008 Remote Desktop Servers) accepteerden geen RDP sessies meer zodra we de beveiliging in Trend Micro DeepSecurity activeerden (het instellenvan een Security Profile). De eerste 2-3 gingen nog wel goed, maar daarna kon niemand meer een RDP sessie opzetten. Het uitschakelen van het beveiliging en een reset van de virtuele machine verhielp het probleem.

  • De statistieken van één fysieke host waren na de installatie van de Trend Micro DeepSecurity filter driver verdwenen.

  • 'Interfaces out of sync' meldingen, waarbij de virtuele machine eerst de status online gaf.

  • 'Activation Failed (Protocol Error)' meldingen, waarbij het niet mogelijk is de virtuele machine binnen Trend Micro DeepSecurity te activeren.


Virtuele Terminal Servers


Een hardnekkig probleem, mede door het feit dat als het fout gaat niemand meer een sessie kon opzetten en het dus niet getest kon worden met een productie omgeving. Heel veel geprobeerd en getest, maar de onderstaande punten hebben voor de oplossing gezorgt:



  • Voeg uitzonderingen toe aan het gebruikte Security Profile (volg dit artikel).

  • Voer als directory exclusion de Terminal Server License server naam op, waarbij de naam hoofdlettergevoelig is. De syntax is dan:
    \\ (eerst testen of het werkt, daarna nader specificeren)
    \\server.domain (op te vragen door middel van een ping naar de DNS naam)


Hieronder een tweetal voorbeelden.






Trend Micro heeft al aangegeven dat er wordt gewerkt aan het hoofdlettergevoelig zijn zijn van de Exclusion List, want dat is niet echt handig bij uitzonderingen.


Statistieken fysieke host


Na de installatie van de Trend Micro DeepSecurity filter driver op de fysieke hosts, konden we via vCenter van één van die hosts geen statistieken meer opvragen. Wel de realtime statistieken, maar niet die van de afgelopen dag, week, maand of een specifieke ingestelde periode. Eerst hebben we geprobeerd de historische data te repareren door een aantal database scripts te draaien (zie dit VMware KB artikel). Dit gaf geen verbetering. De echte oplossing is:



  • Verwijder de betreffende host uit het cluster en voeg deze vervolgens weer toe. Zorg daarbij wel dat alles gestopt en/of verplaatst is. De DeepSecurity Virtual Appliance moet direct gestart worden nadat de host toegevoegd is, anders worden de virtuele machines die naar deze host verplaatst worden niet beschermd.


Interfaces out of Sync


Er is een oplossing die ik eigenlijk persoonlijk geen oplossing vind, het doet namelijk niets aan de oorzaak (die we nog steeds niet weten). Om van de melding af te komen:



  • Suspend de virtuele machine en start deze weer.


Activation Failed (Protocol Error)


Dit was ook zo'n lekker probleem. Opnieuw starten virtuele machine, verwijderen en opnieuw installeren VMware vShield Endpoint Driver, niets hielp. Waar we, met behulp van Trend Micro Europe, wel achter kwamen, was dat de machine wel de VMware vShield Endpoint Driver geïnstalleerd had. Dit is via msinfo3 te controleren.




We misten een aantal instellingen in het VMware configuratie bestand (de machine.vmx die op te storage te vinden is).



Aangezien niets anders hielp, dan maar het paardenmiddel en ook direct de oplossing:



  • Verwijder de virtuele machine uit de vCenter inventory (wel eerst de storage noteren waar de virtuele machine op staat)

  • Voeg de virtuele machine weer toe.


Dankwoord


Trend Micro Europe heeft ons geassisteerd met het vinden van de oplossingen, maar een aantal konden we zelf oplossen (trial and error). Tako Zandink, mede bedankt!

No comments

The author does not allow comments to this entry