vCloud Networking and Security 5.1.3 | 11. Februar 2014 | Build 1563888

Inhalt dieser Versionshinweise

Diese Versionshinweise decken die folgenden Themen ab:

Neuigkeiten

Die Patch-Version vCloud Networking and Security 5.1.3 enthält alle Hotfixes der Version 5.1.2.x sowie zahlreiche neue Bugfixes.

Systemanforderungen und Installation

Weitere Informationen zu den Systemanforderungen und den Installationsanweisungen finden Sie im Installations- und Upgrade-Handbuch für vShield.

Bekannte Probleme

Die folgenden bekannten Probleme wurden beim Testen der Software erkannt. Sie helfen Ihnen, das Verhalten, auf das Sie in dieser Version treffen, besser zu verstehen.

Die bekannten Probleme gliedern sich in folgende Gruppen:

Probleme bei vShield Manager

vShield Manager-Upgrade schlägt fehl
Wenn ein Upgrade von vShield Manager von 4.1 auf 5.0 auf 5.1 durchgeführt wurde, schlägt die Verbindung von vShield Manager zum vCenter Server fehl und die Benutzeroberfläche zeigt einen internen Serverfehler an.
Problemumgehung: Geben Sie die Anmeldedaten für vCenter Server erneut ein. Wenn die Verbindung nicht wiederhergestellt wird, starten Sie vShield Manager neu.

Fehler "Ungültiges Datenformat" wird trotz der Eingabe des korrekten Portformats angezeigt
Beim Hinzufügen/Erstellen eines Dienstes erhalten Sie möglicherweise einen Fehler "Ungültiges Datenformat", obwohl die Ports im korrekten Format eingegeben wurden. Dies kann vorkommen, wenn die Anzahl der eingegebenen Ports die maximal zulässige Anzahl von 15 Ports überschreitet.
Umgehung: Wenn der Dienst mehr als 15 Ports verwendet, erstellen Sie mehrere Dienste.

Benutzer muss sich abmelden, um die geänderte oder hinzugefügte Rolle zu sehen
Wenn ein Benutzer eine Rolle für sich hinzufügt oder ändert, während er bei einer Sitzung angemeldet ist, zeigt die Sitzung die Rollenänderung nicht an.
Problemumgehung: Melden Sie sich ab und wieder an, um die aktualisierten Rollenzuweisungen anzuzeigen.

Beim Löschen eines lokalen Benutzers oder einer Rollenzuweisung für einen vCenter-Benutzer wird 'Interner Serverfehler' angezeigt
Problemumgehung: Deaktivieren Sie das Benutzerkonto, das gelöscht werden soll.

Probleme bei vShield App

Wenn der vCenter Server während des vShield App-Upgrade-Vorgangs nicht mehr verfügbar ist, schlägt das Upgrade fehl und der Link "Aktualisieren" ist nicht verfügbar.
Siehe Link "Aktualisieren" nicht verfügbar während des vShield App-Upgrades.

Cluster können nicht vorbereitet werden, wenn vShield App auf einem Host installiert ist
Die Vorbereitung eines Clusters für VXLAN verläuft nicht erfolgreich, da der Host nicht in den Wartungsmodus wechseln kann, wenn vShield App installiert ist.

Problemumgehung: Versetzen Sie den Host bzw. die Hosts manuell in den Wartungsmodus. Wenn dieser Modus manuell ausgelöst wird, werden die vShield App-Appliances heruntergefahren und die Clustervorbereitung kann durchgeführt werden. Im Anschluss daran beenden der Host bzw. die Hosts den Wartungsmodus, und die vShield App-Appliances werden wieder normal ausgeführt.

 

Probleme bei vShield Edge

Für zwei unterschiedliche Funktionen können keine zwei unterschiedlichen Zertifikate konfiguriert werden
Für zwei unterschiedliche Funktionen können keine zwei unterschiedlichen Zertifikate konfiguriert werden. Sie können beispielsweise nicht Zertifikat a für IPsec und Zertifikat b für SSL VPN verwenden.
Problemumgehung: Verwenden Sie dasselbe Zertifikat für beide Funktionen und ändern Sie anschließend das Zertifikat für eine der Funktionen.

Signaturanforderung/Zertifikat kann nicht erstellt werden, wenn ein Upgrade von vShield Manager auf 5.1.3 durchgeführt wird und Edge noch immer in der Version 5.0.2 vorhanden ist
Wenn ein Upgrade von vShield Manager auf 5.1.3 durchgeführt wird und Edge in einer älteren Version vorhanden ist, können Sie keine Signaturanforderung der Größe 512/1024 Bit erstellen.
Problemumgehung: Erstellen Sie eine CSR der Größe 2048 und 3072 Bit.

Behobene Probleme

Das folgende Problem wurde in der Patch-Version 5.1.3 behoben.

  • Import von zwei Stammzwischenzertifikaten einer Zertifizierungsstelle in Version 5.1.1 von vShield Manager nicht möglich
  • Zunahme der Regelbereitstellung seit Upgrade auf Version 5.1.2a
  • Die Nutzung der vShield Manager-CPU liegt bei über 90 Prozent, da alle DCN-Threads beim Leeren der Objekte in der Transaktion für große Bestandslisten stehen bleiben
  • Der Edge TCP-Zeitüberschreitungswert bei Leerlauf kann mit REST APIs in 5.1.3 konfiguriert werden
  • vShield Manager löst eine Kernelpanik aus, wenn der Speicher, auf dem das Programm ausgeführt wird, Probleme aufweist bzw. aufgrund eines niedrigen Datenträger-Zeitüberschreitungswerts nicht verfügbar ist. Als neuer Wert werden 120 Sekunden festgelegt.
  • Aktualisierungen der Mac-Adressengruppierung (mac-set) werden bei Portgruppen, die Mitglieder von Sicherheitsgruppen sind, nicht durchgeführt
  • Zertifikatsignieranforderungen (Certificate Signing Requests, CSR) werden unter Angabe des Werts NULL in den Feldern "Ortsname" und "Name des Bundesstaats" generiert.
  • Wenn die vCloud Director-Lizenz "vCloud Networking and Security - Networking for VCD" verwendet wird, kann kein neues Org-VDC-Isolierungsnetzwerk erstellt werden, und der Vorgang schlägt mit der folgenden Fehlermeldung fehl: "VSM response error (214): Not licensed for Entity : vcloud-netsec feature : vxlan : add on :".
  • Virtuelle Maschinen verlieren nach der Migration mit vMotion von einem ESXi-Host ohne vShield App auf einen ESXi-Host mit vShield App die Netzwerkkonnektivität
  • Die vShield App-Installation schlägt fehl, weil der vShield Manager ungültige VNIC-UUIDs in der VMInfo-Meldung sendet
  • Virtuelle Maschinen können sich kurz nach ihrer Migration mit vMotion nicht mit dem Netzwerk verbinden und/oder erhalten keine DHCP-Adresse. Damit diese eine DHCP-Adresse erhalten können, muss eine Synchronisierung erzwungen werden.
  • Die Konnektivität mit ausgelagerten Antivirusprodukten externer Anbieter wird beeinträchtigt, wenn vShield App auf demselben ESXi-Host installiert wird
  • Virtuelle Maschinen können sich in einigen Fällen kurz nach der Migration mit vMotion nicht mit dem Netzwerk verbinden.
  • Die Bereitstellung von Firewallregeln dauert lange
  • Der Datenverkehr ist für virtuelle Maschinen, die Pakete mit verkürzten Ethernet-Trailern enthalten, blockiert.
  • vShield App blockiert den Datenverkehr, obwohl keine Regeln konfiguriert bzw. alle Regeln so konfiguriert wurden, dass sie zulassen, dass die vSA-VNICs getrennt werden und/oder der ESXi-Host ausgeschaltet wird, wenn die vSA aufgrund einer Fehlkonfiguration durch einen Endbenutzer (z. B. die kombinierte Ausschaltung der vSM und/oder der vSA) nicht zwischen den wesentlichen Infrastrukturkomponenten kommunizieren kann, was einen nicht synchronisierten Zustand verursacht
  • Die vSA löst eine Kernelpanik aus, wenn der Speicher, auf dem diese ausgeführt wird, Probleme aufweist oder aufgrund eines niedrigen Datenträger-Zeitüberschreitungswerts nicht mehr verfügbar ist. Als neuer Datenträger-Zeitüberschreitungswert werden 180 Sekunden festgelegt.
  • Virtuelle Maschinen auf einem vDS verlieren die Netzwerkkonnektivität infolge der Verschiebung eines ESXi-Hosts auf einen anderen Cluster
  • Virtuelle Maschinen, die von einem vCenter Server-Objekt zu einem anderen Objekt (z. B. vApp, Cluster oder Ressourcenpool) verschoben werden, übernehmen die auf das Zielobjekt angewendeten Firewallregeln nicht
  • Die vShield App-Appliance wird neu gestartet, wenn ein großer IP-Bereich (z. B. die gesamte Klasse A) zum Definieren einer Regel verwendet wird
  • Der Datenverkehr geht aufgrund von Zeitüberschreitungen von Sitzungen in falschen Intervallen verloren
  • Flow Monitoring meldet die Umkehr von Quelle und Ziel für einige Arten von Datenverkehr, der aus physischen Quellen stammt
  • Sicherheitsgruppen können versehentlich gelöscht werden, wenn eine Firewallregel veröffentlicht wird, nachdem diese Regel bereits mehrere Male erneut veröffentlicht wurde
  • Die Veröffentlichung von Ethernet- (L2-)Firewallregeln schlägt bei Verwendung großer MACsets fehl
  • Eine virtuelle IP (VIP) für einen Lastausgleichsdienst kann nicht zu einer vShield Edge hinzugefügt werden, wenn ebenfalls ein RSA ACE-Server ausgeführt wird
  • Die RSA-Authentifizierung schlägt fehl, nachdem die Änderungen der vShield Edge-Konfiguration übernommen wurden, z. B. bei Wiederbereitstellung, Upgrade oder HA-Ereignis
  • Der Mac-Client für SSL VPN kann sich nicht anmelden, wenn das Kennwort kurz vor dem Erreichen der ablaufbedingten, in der Kennwortrichtlinie konfigurierten Zeitüberschreitung steht
  • Im HA-Modus konfigurierte vShield Edges lösen gleichzeitig eine Kernelpanik aus
  • vShield Edge-DHCP kann nicht auf einer VNIC ausgeführt werden, auf der zwei separate IP-Adressen und Subnetze mit einem Subnetz als 0.0.0.0/32 definiert sind
  • Beide vShield Edges in einem HA-Paar wechseln in den aktiven Modus
  • vShield Edge kann IPSEC-VPN-Tunnel nicht wiederherstellen, die nach dem Eintreten eines Zustands unzureichenden Arbeitsspeichers (Out of Memory, OoM) verloren gegangen sind
  • Das vShield Edge-Upgrade schlägt fehl, wenn ein Ressourcenpool, auf dem die vShield Edge anfänglich bereitgestellt wurde, nicht mehr verfügbar ist
  • HA-aktivierte vShield Edges, die SSL-VPN-Dienste verwenden, weisen innerhalb kurzer Zeit mehrmals eine hohe CPU-Auslastung und Failover auf
  • Für vShield Edges, die mit einer virtuellen Leitung verbunden sind, wird eine leere Konfiguration der statischen DHCP-Bindung in der Benutzeroberfläche angezeigt
  • Bei vShield Edge treten geringer Durchsatz und niedrige Leistung auf
  • Es wurde eine Option für die Bereitstellung von 4-vCPU vShield Edge hinzugefügt
  • Datenpfadprobleme beim Passieren eines SSL-L2-VPN-Tunnels
  • SNAT-Regel über einen vSE-L2-VPN-Tunnel verhindert, dass VMs hinter vSE öffentliche IPs erreichen
  • vShield Edge-Appliance unterstützt keine Speicherung von Core-Dumps. Der Befehl "debug crashdump" wurde zur Befehlszeilenschnittstelle hinzugefügt
  • IPsec-Tunnel gehen häufig verloren, wenn PFS aktiviert ist
  • Nachdem die Persistenzmethode für den Lastausgleich über die Benutzeroberfläche festgelegt oder geändert wurde, werden die Änderungen nicht übernommen
  • Der Lastausgleich stürzt ab, wenn als Persistenzmethode SSL_SESSION_ID festgelegt wurde
  • Der SSL VPN-Client kann nicht auf OSX 10.9 (Mavericks) installiert werden
  • Inkonsistentes Verhalten zwischen der Benutzeroberfläche und REST beim Verwenden von Sicherheitsgruppen in Firewallregeln
  • Bei den vShield Edge-Workflows für Konfiguration/Installation/Upgrade werden diese Fehler gemeldet
  • Eine ungültige Antwort des VIX-Agenten wurde empfangen
  • Der VIX-Agent ist nicht mit VC verbunden
  • IPsec-Tunnel mit Zertifikatmodus können nicht eingerichtet werden