有关虚拟机的注意事项

要求

  • 不支持双引导系统(例如具有两个分区,而且每个分区包含不同的操作系统的虚拟机)。
  • 扫描 VMware 支持的脱机虚拟机时,请注意以下内容:
    • 无法装载加密的虚拟磁盘。
    • 无法装载任何已压缩 .vmdk 文件,或者这些文件是只读文件的虚拟磁盘。
    • 无法装载当前由运行或挂起的虚拟机使用的虚拟磁盘。
    • 不支持接的复制品和压缩的图像。

常规注意事项

  • 仅扫描与修补虚拟机的当前状态。 不扫描与修补虚拟机的快照。
  • 相对于可用的许可证席位的总数,虚拟机仅计数一次,即使在联机(开启)模式和脱机(关闭)模式下扫描。
  • 在计算机组和扫描结果中,会使用特殊图标来区分脱机虚拟机 () 与物理计算机,或者区分联机虚拟机 () 与虚拟机模板 ()。
  • 在计算机组中定义脱机虚拟机时避免使用网络驱动器字母。 建议改为指定通用命名约定 (UNC) 路径。 在脱机虚拟机上执行计划扫描时,此方法会起作用。 网络驱动器映射特定于会话,所以正在执行计划扫描时很可能不再存在指定的映射。
  • 在计算机组中,仅扫描筛选器不适用于脱机虚拟机或虚拟机模板。
  • 两台脱机虚拟机可能有相同的域和计算机名称。 如果复制虚拟机,并且未更改其中一台或两台计算机上的计算机名称或域,则会出现这种情况。 在这种情况下,对于两台重复的虚拟机而言,只有较晚扫描的一台在计算机视图中可见。 计算机视图中显示的计算机关键在于域和计算机名称,而且不允许重复项。
  • 会在扫描前安装处于脱机(关闭)状态的虚拟机。 不需要安装处于联机(开启)状态的虚拟机,因为它们的处理方式与物理计算机相同。
  • 执行修补程序扫描或资产扫描时,可能会扫描作为脱机虚拟机添加至计算机组但扫描时处于联机状态的虚拟机(如果将其托管在 ESX Server 上,并且具有访问该计算机所需的正确凭据)。 无法安装且不会扫描工作站上托管的联机虚拟机。
  • 执行修补程序扫描时,将遵循 vSphere Lifecycle Manager 中配置的所有下载源。
  • 支持次要版本升级,例如从 7.0.1 升级到 7.0.2。
  • 在扫描或部署离线虚拟机时,TCP 端口 902 必须可用才能装载虚拟磁盘。
  • 扫描一个工作站上托管的多台脱机虚拟机时,可能达到该工作站的连接限制。 如果达到连接限制,则会产生错误,并且扫描会失败。 Windows OS 不同,支持的同步连接的最大数量也会发生变化。

修补程序部署

  • 将修补程序部署至服务器上托管的脱机虚拟机时,会开启虚拟机、安装修补程序,然后关闭虚拟机。 有关更多详细信息,请参阅将修补程序部署至虚拟机
  • 将修补程序部署至服务器上托管的脱机虚拟机时,虚拟机上必须安装 VMware 工具。
  • 将修补程序部署至服务器上托管的脱机虚拟机时,需要以下 VMware Server 权限才能管理快照,以及在部署流程中更改计算机的电源状态:
    • VirtualMachine.State.CreateSnapshot
    • VirtualMachine.State.RemoveSnapshot
    • VirtualMachine.Interact.PowerOn
    • VirtualMachine.Interact.PowerOff
    • VirtualMachine.Interact.DeviceConnection (to disable/enable the network card)
  • 对于离线虚拟机,不支持安装在磁盘模式设置为独立 – 持久独立 – 非持久的虚拟磁盘上的修补产品。 如果虚拟机同时具有非独立磁盘和独立磁盘,则可以为安装在非独立磁盘上的产品安装修补程序。
  • 将修补程序部署至位于工作站中的脱机虚拟机时,新的部署作业会覆盖尚未执行的任何之前的部署作业。 因此,应该在单个部署中部署全部所需的修补程序。

    • 例如:将修补程序 A 部署至基于工作站的脱机虚拟机。 部署修补程序 B 和 C 一个月后,虚拟机仍处于脱机状态。 因为从未执行第一个部署作业,该作业被覆盖,并且现在仅修补程序 B 和 C 计划用于部署。 要避免这种情况,只需将修补程序 A 与修补程序 B 和 C 包含在第二个部署作业中。

    管理这种情况的方式之一是:使用修补程序组定义要部署至基于工作站的脱机虚拟机的修补程序。 发现新的修补程序时,只需将其添加至修补程序组的修补程序列表中。 此功能在指定修补程序扫描模板中的修补程序组,并在运行操作对话框中选择自动部署缺失的修补程序时非常有用。 请参阅创建新修补程序扫描模板自动部署修补程序了解有关这些选项的详细信息。

代理

  • 脱机虚拟机不支持 Security Controls Agent操作。
  • 如果在联机虚拟机上安装 Security Controls Agent,稍后在虚拟机处于脱机状态时对其进行扫描,则 Security Controls 可能报告该映像的错误代理状态。 例如,可能显示代理未安装,或可能要求尝试卸载代理。 发生上述情况的原因是脱机虚拟机不支持 Security Controls Agent操作。 一旦虚拟机回到联机状态,并且由 Security Controls 重新扫描,就会报告正确的状态。