vCloud Networking and Security 5.5.4 | 2015 年 3 月 12 日 | 内部版本 2504419

发行说明内容

本发行说明包含以下主题:

新增功能

vCloud Networking and Security 5.5.4 版本包含所有 vCloud Networking and Security 设备的改进。 VMware 建议您升级至此版本。

vCloud Networking and Security 5.5.4 与 vSphere 6.0 兼容。 但是,vSphere 6.0 中引入的 vSphere 新功能尚未经 vCloud Networking and Security 测试。 这些新的 vSphere 功能不应在安装了 vCloud Networking and Security 的环境中使用,因为它们不受支持。 有关 vSphere 6.0 特定的 vCloud Networking and Security 限制的列表,请参见 VMware 知识库文章 2109120

您可以从 5.1.x 和 5.5.x 版本升级至此版本。

系统要求和安装

有关系统要求以及安装或升级说明,请参见 《vShield 安装和升级指南》 

已知问题

已知问题分为如下类别:

升级问题

问题 1375343: 升级后无法重新配置 SSO
如果在 vShield Manager 上配置的 SSO 服务器是 vCenter Server 上的本机服务器,则在 vCenter Server 升级到 6.0 版本且 vShield Manager 升级到 5.5.4 版本后,无法重新配置 SSO 设置。
解决办法: 无。

问题 1369782: 将 L2VPN 服务器升级到 5.5.4 后,L2VPN 通道中断
如果在未升级 L2VPN 客户端的情况下将 vShield Manager 和 L2VPN 服务器升级到 5.5.4,L2VPN 通道将中断。 5.5.4 版本之前的 L2VPN 客户端通过 SSLv2 或 SSLv3 连接,但是这些协议在 5.5.4 中不受支持。
解决办法: 将 L2VPN 客户端升级到 5.5.4。 然后,可以使用 TLS 协议将客户端连接到服务器。

问题 1396592: 如果使用 vCenter Server 6.0 和 ESX 6.0,版本部署规范需要更新至 6.0.x。
已针对 vCloud Networking and Security 注册了 NetX 解决方案的合作伙伴必须更新注册,以包含适用于 6.0.x 的版本部署规范以及相应的 OVF。
解决办法: 如果基本配置为 5.5.x 及 vSphere 5.5,且在升级 vCloud Networking and Security 之前已升级了基础架构,请遵循以下步骤:

  1. 将 vSphere 从 5.5 升级到 6.0。
  2. 使用以下 API 调用,添加适用于 6.0.x 的版本部署规范:
    POST https://<vCNS-IP>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec
    <versionedDeploymentSpec>
    <hostVersion>6.0.x</hostVersion>
    <ovfUrl>http://engweb.eng.vmware.com/~netfvt/ovf/Rhel6-32bit-6.1svm/Rhel6-32bit-6.1svm.ovf</ovfUrl>
    <vmciEnabled>true</vmciEnabled>
    </versionedDeploymentSpec>
  3. 通过使用以下 REST 调用更新服务
    POST https://<vsm-ip>/api/2.0/si/service/config?action=update
  4. 按以下步骤解决 EAM 警报:
    1. 单击 vSphere Web Client 上的“主页”。
    2. 单击“管理”。
    3. 在“解决方案”中,选择 vCenter Server Extension。
    4. 单击 vSphere ESX Agent Manager,然后单击“管理”选项卡。
    5. 在无效的机构状态上单击右键并选择“解决所有问题”。

 

问题 1291731:vShield Endpoint 升级或卸载失败并出现错误: vShield Endpoint 安装在卸载 vib 时遇到错误: 内部服务器错误 (vShield Endpoint installation encountered error while uninstalling vib:Internal server error)
vShield Endpoint 升级/卸载失败并出现错误。 从 ESXi 命令行卸载 vib 也失败,并显示以下错误消息:
 
[安装错误]
运行 rm /tardisks/epsec-mu.v00 时出错:
返回代码: 1
输出: rm: 无法移除“/tardisks/epsec-mu.v00”: 设备或资源繁忙
继续操作不安全。 请立即重新引导主机以放弃未完成的更新。 请参阅日志文件了解详细信息 ([InstallationError] Error in running rm /tardisks/epsec-mu.v00: Return code: 1 Output: rm: cannot remove '/tardisks/epsec-mu.v00': Device or resource busy It is not safe to continue. Please reboot the host immediately to discard the unfinished update. Please refer to the log file for more details)。

 
解决办法: 按照下面的步骤执行操作:

  1. 登录 ESXi cli。
  2. /bootbank/boot.cfg 文件中,将条目 epsec-mu.v00 移动到条目 sb.v00 之后。
    boot.cfg 中的模块条目具有 --- 分隔符。 因此更改后,条目应该如下所示: sb.v00 --- epsec-mu.v00
  3. 保存 /bootbank/boot.cfg 文件。
  4. 将主机置于维护模式,然后从 vCenter Server Web Client 重新引导主机。
  5. 安装/升级 vShield Endpoint。

 

一般问题

问题 1411125: 无法打开客户机虚拟机电源
打开客户机虚拟机电源时,可能显示“当前未部署所需的全部代理虚拟机 (All required agent virtual machines are not currently deployed)”错误。
解决办法: 按照下面的步骤执行操作:

  1. 单击 vSphere Web Client 上的“主页”。
  2. 单击“管理”。
  3. 在“解决方案”中,选择 vCenter Server Extension。
  4. 单击 vSphere ESX Agent Manager,然后单击“管理”选项卡。
  5. 单击 [解决]。

 

问题 1341573: 长度大于 7 个东亚字符或者大于 10 个欧洲字符的用户 ID 无法登录到 SSL VPN 门户
如果创建 SSL VPN Plus 用户时,用户 ID 的长度大于 63 个字符(ASCII 或非 ASCII 字符),则会显示“用户 ID 长度超出最大字符限制 (user ID length exceeded the maximum character limit)”错误。 少于 63 个字符的用户 ID 将被接受,将会创建用户。
解决办法: VMware 建议仅使用 ASCII 字符创建 SSL VPN Plus 用户 ID。 如果用户 ID 必须使用非 ASCII 字符,请确保每个用户名包含的东亚字符不超过 7 个或者包含的拉丁字符(含变音符号)不超过 10 个。

问题 1311302: 如果 vNIC 位于联网的安全组中,且关联的虚拟机移动到其他网络,则无法通过 UI 编辑该安全组,该 vNIC 继续作为该安全组的成员
解决办法: 使用以下 REST 调用从安全组中移除 vNIC
DELETE https://<vsm-ip>/api/2.0/services/securitygroup/<securityGroupId>/members/<vNicId>
然后,可以在 UI 上编辑安全组。

问题 1303665: 为 VXLAN 准备群集会导致 ESXi 报告 vSwitch 上失去网络连接
卸载并重新安装网卡驱动程序以在已启用 VXLAN 的群集上启用 RSS 时,为 VXLAN 准备群集会导致临时断开连接。 仅当使用 Intel ixgbe 驱动程序时才会出现该问题。
解决办法: 无。

问题 1056970: 如果用户名包含 CJK 或高位 ASCII 字符,将无法登录 vShield Manager
解决办法: 将浏览器编码设置为 UTF-8。

vShield Manager 问题

问题 1405582/1310034: SSL VPN 远程用户将无法更改其 AD 用户凭据
通过 Active Directory 对 SSL VPN 进行身份验证时,您可以使用此域凭据登录到 SSL VPN,以访问企业网络(专用网络)。 当用户位于远程位置时,将无法更改 AD 密码。
解决办法: SSL VPN 配置中没有具体的解决办法。 管理员应提供一些外部实用程序用于更改 AD 密码。

问题 1303278: 当存在超过 1100 个 MAC Set 时,分组页面会加载缓慢,并且可能会显示重叠的行条目
如果 vShield Manager 上存在过多 MAC Set(例如 1100+),则分组页面会加载缓慢,并且 MAC Set 行条目会与其他条目重叠,使其不可读。 添加新的 MAC Set 会花费较长时间。
解决办法: 在安全组中保留的 MAC Set 条目低于 1100 个。

问题 1301688: 在 NSX Manager 上配置 Lookup Service 时,无法在域和用户名之间使用反斜线
解决办法: 在用户名和域之间使用 @ 代替反斜线。 例如,键入 user@domain 代替 domain\user

问题 1161237: 创建服务时,显示“数据格式无效 (Invalid Data Format)”错误
添加/创建服务时,如果您向服务输入了超过 15 个端口,则可能会发生“数据格式无效 (Invalid Data Format)”错误。
解决办法: 如果服务使用的端口超过 15 个,请创建多个服务。

问题 1161214: 用户必须注销才能查看已修改或添加的角色
用户在已登录到会话的状态下添加或修改其角色后,会话并不反映对角色所做的更改。
解决办法: 注销后重新登录即可查看更新的角色分配。

vShield App 问题

问题 1197810: 恢复到旧防火墙配置之后,无法从 Flow Monitoring 表添加防火墙规则
加载旧防火墙配置之后,无法从 Flow Monitoring 表添加规则。 这是因为检测到流的规则可能不再属于当前防火墙配置。
解决办法: 无。

问题 967277: 如果在 vShield App 升级过程中 vCenter Server 不可用,则升级将失败且 Update 链接也将不可用
请参见 VMware 知识库文章 vShield App 升级过程中 Update 链接不可用

问题 1089671: 在现有虚拟线路中添加新虚拟机时,将不会应用以源/目标作为虚拟线路的防火墙规则
如果预先配置的防火墙规则包含源/目标中的虚拟线路,则添加到该虚拟线路中的新虚拟机不会应用这些规则。
解决办法: 将新虚拟机添加到虚拟线路后,在该虚拟线路上重新发布防火墙配置。

vShield Edge 问题

问题 1405586/1311273: SSL VPN 门户登录屏幕为空。
SSL VPN 门户使用的某个 javascript 文件在 vShield Edge 上损坏。 这会导致门户页面呈现失败。
解决办法: 出现此问题时重新部署 vShield Edge。

问题 1165472: 如果 vShield Manager 已升级至 5.1.3 而 Edge 仍为 5.0.2,将无法创建 CSR/证书
当 vShield Manager 升级至 5.1.3 而 Edge 仍为较低版本时,无法创建大小为 512/1024 位的 CSR。
解决办法: 无。

Service Insertion 问题

问题 1062057: 无法将服务配置文件绑定到网络
无法将服务配置文件绑定到任何可用网络。
解决办法: 重新引导 vShield Manager。

Data Security 问题

问题 1291748: 为 Data Security 扫描指定文件筛选器时,无法从日历中选择 [上次修改日期]
尝试选择 [之前] 日期运行 Data Security 扫描时,日历灰显。  
解决办法: 在浏览器中,将 [语言首选项] 更改为 en-US,然后在 [之前] 字段中选择日期。  

已解决的问题

以下问题已在 5.5.4 版本中解决:

问题 1405907: vShield App 阻止新部署的虚拟机连接到 Internet 或互相连接
即使 App Firewall 默认的任何允许规则允许流量通过,新部署的虚拟机仍会失去连接。

问题 1406457:vCloud vShield Edge 设备失去网络备用,变得难以管理
vShield Manager 通过发送并行 VIX 请求定期进行健康状况检查。 如果在超时时间段(默认为 2 分钟)内没有收到足够的响应,VIX 代理将重新启动。 VIX 重新启动时,VIX 代理重新连接到每个 Edge 虚拟机并尝试再次进行健康状况检查。 在此错误条件下,由于未及时收到新的健康状况检查响应,健康状况检查模块将反复声明超时。

问题 1406456: 无法在 DLP 字段中选择日历
在“之后”字段中选择日期后无法在“之前”字段中选择日历。

问题 1406453/1070011: vCenter Server 从 5.1 升级到 5.5 后,在 NSX Manager 中添加 vNIC 失败
添加 vNIC 失败,因为 NSX Manager 错误地使用 vmodl API 版本 8(而不是版本 9)与 vCenter Server 通信。 发生这种情况的原因是 vCenter Server 从 5.1 升级至 5.5 后,NSX Manager 未完成置备,无法动态处理版本变更。 请参见 VMware 知识库文章 2085044

问题 1405910/1334068: 某些包含空白字符的 vApp 网络无法正确创建
如果虚拟线路名称以空格结尾,生成的端口组名称也可能以空格结尾,这些空格会依次被 vCenter Server 删除。 根据 vCloud Networking and Security 版本,vShield Manager 可能会以未设置 system_resource 标记的虚拟线路结尾,否则在创建虚拟线路本身时可能会出错。

问题 1405909: 门户上未显示 SSL VPN“门户自定义”徽标和颜色更改
在 SSL VPN 门户自定义中,徽标背景的更改在门户上未显示。 在徽标背景 html 表中(而非颜色),使用了背景图像。 默认的背景颜色需要设置为图像的颜色。

问题 1285954:vShield Edge 丢弃 RST 包
当客户端和服务器不同步时,向 vShield Edge 添加其他条件以允许 RST。 如果客户端的 RST 序列号与服务器中先前的 ACK 匹配(即使该 ACK 属于旧连接),将允许该 RST。

问题 1308591: 无法修改 SSL VPN-Plus 安装软件包
编辑 SSL VPN-Plus 安装软件包不会应用对软件包的更改。

问题 1268933: DHCP 绑定的主机名不能包括 CJK 或高位 ASCII 字符串
如果 [DHCP 绑定] 窗口中的 [主机名] 字段包含 CJK 或高位 ASCII 字符串,发布绑定会导致错误。