NSX für vSphere 6.0.6 | 11. September 2014 | Build 2103699

Aktualisiert am 11. September 2014

Inhalt dieser Versionshinweise

Diese Versionshinweise decken die folgenden Themen ab:

Neuigkeiten

NSX vSphere 6.0.6 enthält einen NSX Edge-Patch, der eine Schwachstelle behebt, die zur Offenlegung wichtiger Informationen führen kann. VMware empfiehlt die Ausführung eines Upgrades auf diese Version.

Systemanforderungen und Installation

Weitere Informationen zu den Systemanforderungen und den Installationsanweisungen finden Sie im NSX Installation and Upgrade Guide .

Die VMware-Produkt-Interoperabilitätsmatrix enthält Details zur Kompatibilität aktueller und vorheriger Versionen von VMware-Produkten und -Komponenten, wie z. B. VMware vCenter Server.

 

Bekannte Probleme

Die bekannten Probleme gliedern sich in folgende Gruppen:

Installations- und Upgrade-Probleme

Das Upgrade von NSX Edge schlägt fehl, der NSX-Manager führt jedoch kein Rollback der Edge-Appliances auf eine ältere Version durch
Wenn das Upgrade von NSX Edge fehlschlägt und das System kein Rollback ausführt, kann dies zur Unterbrechung der Netzwerkverbindung führen und die Verwaltung von Edge blockieren. Problemumgehung: Stellen Sie NSX Edge erneut bereit und führen Sie ein erneutes Edge-Upgrade durch.

Der SSL VPN-Client muss nach einem Upgrade deinstalliert und neu installiert werden
Nach dem Upgrade auf vShield 6.0.5 müssen Sie den SSL VPN-Client deinstallieren und dann neu installieren. Zur Installation des aktuellen Clients gehen Sie zu https:// SSL_VPN-IP-Adresse, wobei SSL_VPN-IP-Adresse die der Edge-Schnittstelle zugewiesene Uplink-IP-Adresse ist, zu deren Überwachung der SSL VPN-Dienst konfiguriert wurde.

vSphere Distributed Switch-MTU wird nicht aktualisiert
Wenn Sie beim Vorbereiten eines Clusters einen MTU-Wert festlegen, der kleiner als der MTU-Wert des vSphere Distributed Switch ist, wird der vSphere Distributed Switch nicht auf diesen Wert aktualisiert. Damit soll sichergestellt werden, dass der vorhandene Datenverkehr mit der höheren Frame-Größe nicht versehentlich unterbrochen wird.
Problemumgehung: Stellen Sie sicher, dass der MTU-Wert, den Sie beim Vorbereiten des Clusters festlegen, mindestens so groß wie der aktuelle MTU-Wert des vSphere Distributed Switch ist. Der erforderliche Mindest-MTU-Wert für VXLAN beträgt 1550.

Wenn in Ihrer Umgebung kein Cluster vorbereitet ist, wird die Upgrade-Meldung für Distributed Firewall nicht auf der Registerkarte "Hostvorbereitung" der Installationsseite angezeigt
Wenn Sie Cluster für die Netzwerkvirtualisierung vorbereiten, ist Distributed Firewall auf solchen Clustern aktiviert. Wenn in Ihrer Umgebung kein Cluster vorbereitet ist, wird die Upgrade-Meldung für Distributed Firewall nicht auf der Registerkarte "Hostvorbereitung" angezeigt.
Problemumgehung: Verwenden Sie den folgenden REST-Aufruf, um die Distributed Firewall zu aktualisieren:
PUT https://vsm-ip/api/4.0/firewall/globalroot-0/state

Die Dienst-VM, die über die Registerkarte "Dienstbereitstellungen" auf der Installationsseite bereitgestellt wurde, wird nicht eingeschaltet
Problemumgehung: Befolgen Sie die unten beschriebenen Schritte.

  1. Entfernen Sie die Dienst-VM manuell vom ESX Agent-Ressourcenpool im Cluster.
  2. Klicken Sie auf Netzwerken und Sicherheit und dann auf Installation.
  3. Klicken Sie auf die Registerkarte Dienstbereitstellungen.
  4. Wählen Sie den entsprechenden Dienst aus und klicken Sie auf das Symbol Auflösen.
    Die Dienst-VM wird neu bereitgestellt.

 

Nach dem Aktualisieren von NSX von Version 6.0 auf 6.0.x sind keine NSX Edges auf der Benutzeroberfläche aufgeführt
Wenn Sie von NSX 6.0 auf NSX 6.0.x aktualisieren, wird das vSphere Web Client-Plug-In möglicherweise nicht ordnungsgemäß aktualisiert. Dies kann zu Anzeigeproblemen auf der Benutzeroberfläche führen, wie zum Beispiel fehlende NSX Edges.
Dieses Problem tritt nicht beim Aktualisieren von NSX 6.0.1 oder höher auf.
Problemumgehung: Befolgen Sie die unten beschriebenen Schritte.

  1. Wechseln Sie auf dem vSphere Server zum folgenden Speicherort:
    /var/lib/vmware/vsphere-client/vc-packages/vsphere-client-serenity
  2. Löschen Sie die folgenden Ordner:
    com.vmware.vShieldManager-6.0.x.1546773
    com.vmware.vShieldManager-6.0.1378053
  3. Starten Sie den vSphere Web Client-Dienst neu.
Damit wird die Bereitstellung des neuesten Plug-In-Pakets sichergestellt.

 

Allgemeine Probleme

NSX vSphere-CPU-Lizenzen werden als VM-Lizenzen angezeigt
NSX vSphere-CPU-Berechtigungen werden auf der Registerkarte "vSphere-Lizenzen" als VM-Berechtigungen angezeigt. Wenn zum Beispiel ein Kunde Lizenzen für 100 CPUs hat, werden 100 VMs angezeigt.
Problemumgehung: Keine.

REST-Anforderung schlägt mit Fehler fehl HTTP/1.1 500 Interner Serverfehler
Wenn Single Sign On (SSO) nicht richtig konfiguriert ist, schlagen alle REST-API-Aufrufe mit dieser Meldung fehl, weil NSX nicht die Anmeldedaten validieren kann.
Problemumgehung: Konfigurieren Sie SSO wie im NSX-Administratorhandbuch beschrieben.

 

Beim Navigieren zwischen NSX Edge-Geräten bleibt vSphere Web Client hängen oder zeigt eine leere Seite an
Problemumgehung: Starten Sie Ihren Browser neu.

vSphere Web Client zeigt diesen Fehler an: Der Vorgang kann nicht abgeschlossen werden. Weitere Informationen finden Sie im Ereignisprotokoll
Wenn Sie Dienste wie vShield Endpoint oder eine Partner-Appliance über die Registerkarte Dienstbereitstellungen installieren, wird durch vSphere Web Client möglicherweise der obige Fehler angezeigt. Sie können diesen Fehler ignorieren.

Entfernen und erneutes Hinzufügen eines Hosts zu einem Cluster, der durch vShield Endpoint und Lösungen von Drittanbietern geschützt wird, ist nicht möglich
Wenn Sie einen Host aus einem durch vShield Endpoint und Lösungen von Drittanbietern geschützten Cluster entfernen, indem Sie die Verbindung des Hosts zu vCenter Server trennen und ihn anschließend aus diesem entfernen, treten möglicherweise Probleme auf, wenn Sie versuchen, denselben Host erneut demselben Cluster hinzuzufügen.
Problemumgehung: Um einen Host aus einem geschützten Cluster zu entfernen, versetzen Sie den Host zunächst in den Wartungsmodus. Verschieben Sie den Host im nächsten Schritt in einen nicht geschützten Cluster oder außerhalb aller Cluster. Trennen Sie dann die Verbindung und entfernen Sie den Host.

Probleme beim NSX-Manager

NSX-Manager wird aus einer Sicherung nicht ordnungsgemäß wiederhergestellt
Nachdem NSX-Manager aus einer Sicherung wiederhergestellt wurde, funktionieren die Kommunikationskanäle mit der Steuerelement-VM des logischen Routers nicht ordnungsgemäß. Daher können logische Switches und Portgruppen nicht mit dem logischen Router verbunden bzw. von diesem getrennt werden.
Problemumgehung: Starten Sie nach dem Wiederherstellen der NSX-Manager-Sicherung alle Steuerelement-VMs des logischen Routers neu.

Beim Verlagern des NSX-Managers unter Verwendung von vMotion kann der folgende Fehler angezeigt werden: Die virtuelle Ethernet-Karte 'Netzwerkadapter 1' wird nicht unterstützt
Sie können diesen Fehler ignorieren. Das Netzwerk funktioniert nach vMotion ordnungsgemäß.

Dienste von Drittanbietern können nach dem Wiederherstellen von NSX-Manager-Sicherungen nicht gelöscht werden
Bereitstellungen von einem oder mehreren Diensten von Drittanbietern können nur dann im vSphere Web Client gelöscht werden, wenn der wiederhergestellte Zustand des NSX-Managers die Dienstregistrierung der Drittanbieter enthält.
Problemumgehung: Sichern Sie die NSX-Manager-Datenbank, wenn alle Drittanbieterdienste registriert worden sind.

Probleme bei NSX Edge

Beim Aktivieren von HA auf einem bereitgestellten logischen Router verliert der Router seine verteilten Routen auf ESXi-Hosts
Die Instanz des logischen Routers wird gelöscht und als Teil des Aktivierungsvorgangs für HA auf ESXi-Hosts neu erstellt. Nachdem die Instanz neu erstellt wurde, werden die Routing-Informationen von der Steuer-VM des Routers nicht richtig neu synchronisiert. Dadurch verliert der Router seine verteilten Routen auf ESXi-Hosts.
Problemumgehung: Starten Sie die virtuelle Maschine des Logical Router-Steuerelements nach der Aktivierung von HA zur Wiederherstellung der Routen neu.

Für Hochverfügbarkeit aktivierter NSX Logical Router verteilt Routen nach dem Upgrade oder nach einer neuen Bereitstellung nicht neu
Wenn Sie einen NSX Logical Router, auf dem Hochverfügbarkeit aktiviert ist, aktualisieren oder neu bereitstellen, verteilt der Router die Routen nicht neu.
Problemumgehung: Synchronisieren Sie den NSX Logical Router mit NSX Manager neu, indem Sie "Weitere Aktionen > Force Sync“ auswählen.

Ein Mitglied des Lastausgleichspools zeigt eine Warnmeldung an
Obwohl ein Mitglied des Lastausgleichspools eine Warnmeldung anzeigt, kann es weiterhin Datenverkehr verarbeiten. Sie können diese Meldung ignorieren.

Für einen logischen Router können keine nicht gekennzeichneten Schnittstellen konfiguriert werden
Die VLAN-ID für den vSphere Distributed Switch, zu dem ein logischer (verteilter) Router eine Verbindung herstellt, kann nicht 0 sein.
Problemumgehung: Erstellen Sie nur gekennzeichnete Schnittstellen.

VDR LIF-Routen werden durch Upstream-ESG angekündigt, auch wenn VDR OSPF deaktiviert ist
Upstream Edge Services Gateway (ESG) kündigt aus VDR-verbundenen Schnittstellen übernommene, OSPF-externe LSAs weiterhin an, auch wenn VDR OSPF deaktiviert ist.
Problemumgehung: Deaktivieren Sie manuell die Neuverteilung der Routen in OSPF und veröffentlichen Sie vor dem Deaktivieren des OSPF-Protokolls. Auf diese Weise wird sichergestellt, dass die Routen ordnungsgemäß zurückgezogen werden.

Wenn Hochverfügbarkeit (HA) auf einem Gateway aktiviert ist und das OSPF-Hallo- bzw. Ausfallintervall auf andere Werte als 30 bzw. 120 Sekunden eingestellt ist, kann ein Teil des Datenverkehrs während eines Failovers verloren gehen
Wenn das primäre NSX Edge fehlschlägt, während OSPF ausgeführt wird und HA aktiviert ist, überschreitet die bis zum Wechsel in den Standby-Modus benötigte Zeit die für einen unterbrechungsfreien Neustart festgelegte Höchstdauer und führt dazu, dass OSPF-Nachbarn gelernte Routen aus ihren FIB-Tabellen (Forwarding Information Base) entfernen. Dies führt zu einem Ausfall der Datenebene, bis OSPF erneut konvergiert.
Problemumgehung: Stellen Sie die Standardwerte für die Zeitüberschreitung beim Hallo- bzw. Ausfallintervall auf allen benachbarten Routern auf 30 Sekunden für das Hallo- und auf 120 Sekunden für das Ausfallintervall. Dies ermöglicht ein erfolgreiches Failover ohne Verlust von Datenverkehr.

HA-Konfiguration schlägt fehl, wenn Sie dieselbe Schnittstelle für die HA-Verwaltung und die L2 VPN-Konfiguration verwenden
Wenn L2 VPN auf einem NSX Edge aktiviert ist und Sie versuchen, HA auf demselben NSX Edge zu aktivieren, schlägt die Konfiguration möglicherweise fehl. Dies kann in zwei Fällen vorkommen:

  1. Wenn Sie für die HA-Verwaltung und für L2 VPN manuell dieselbe Schnittstelle auswählen.
  2. Wenn Sie die automatische HA-Konfiguration auswählen. In diesem Fall verwendet HA möglicherweise dieselbe Schnittstelle wie L2 VPN.
Problemumgehung: Wählen Sie eine dedizierte HA-Verwaltungsschnittstelle aus, bei der es sich nicht um die L2 VPN-Schnittstelle handelt.

 

Edges, auf denen L2 VPN aktiviert ist, geben möglicherweise inkonsistente Ergebnisse aus, wenn HA aktiviert ist.
Problemumgehung: Verwenden Sie L2 VPN nicht mit HA.


Fehler beim Konfigurieren von IPSec VPN
Wenn Sie den IPSec VPN-Dienst konfigurieren, wird möglicherweise folgender Fehler angezeigt:
[Ipsec] Das localSubnet: xxx.xxx.xx.x/xx ist nicht erreichbar. Es muss über das statische Routing oder ein Subnetz von internen Edge-Schnittstellen erreichbar sein.
Problemumgehung: Fügen Sie manuell statisches Routing für das lokale Subnetz hinzu.

 

SSL VPN unterstützt keine Zertifikatswiderrufslisten (Certificate Revocation List, CRL)
Sie können zwar eine CRL zu einem NSX Edge hinzufügen, aber diese CRL wird von SSL VPN nicht verarbeitet.
Problemumgehung: CRL wird nicht unterstützt, aber Sie können die Benutzerauthentifizierung mit Clientzertifikatauthentifizierung aktivieren.

Es kann kein externer Authentifizierungsserver zu SSL VPN-Plus hinzugefügt werden
Sie können den FQDN oder den Hostnamen des externen Authentifizierungsservers nicht verwenden.
Problemumgehung: Sie müssen die IP-Adresse des externen Authentifizierungsservers verwenden.

SSL VPN-Client mit aktiviertem Proxy in Safari-Einstellungen verwenden funktioniert nicht auf MAC-Computern
Die Auswahl von Proxy mit der Safari-Einstellung im SSL VPN-Client auf einem Mac-Computer führt zur automatischen Proxy-Deaktivierung. Aufgrund dieses Fehlers können Sie keine Verbindung zu diesem MAC-Computer über den SSL VPN-Client herstellen.
Problemumgehung: Verwenden Sie SOCKS Version 4/5 oder HTTP anstelle der Safari-Einstellung auf MAC-Computern.

Mit Google Chrome 29 können keine NSX Edge-Tech-Support-Protokolle heruntergeladen werden
Problemumgehung: Verwenden Sie Google Chrome Version 30 oder höher.

SSL VPN-Plus-Installationspaket kann nicht geändert werden
Beim Bearbeiten eines SSL VPN-Plus-Installationspakets werden die Änderungen nicht auf das Paket angewendet.
Problemumgehung: Befolgen Sie die unten beschriebenen Schritte:

  1. Anstatt das Installationspaket zu bearbeiten, löschen Sie es und erstellen ein neues Installationspaket mit den geänderten Parametern.
  2. Wenn auf Ihrem Computer ein SSL VPN-Client installiert ist, löschen Sie ihn.
  3. Starten Sie den Computer neu.
  4. Installieren Sie das neue Installationspaket.

 

Probleme beim logischen Switch

Probleme beim Löschen von EAM-Agencies
Um EAM-Agencies erfolgreich vom ESX Agent Manager (EAM) zu entfernen, muss der NSX-Manager, der die den EAM-Agencies zugeordneten Dienste bereitgestellt hat, verfügbar sein.
Problemumgehung: Stellen Sie sicher, dass der NSX-Manager verfügbar ist.

Beim Löschen eines logischen Switches, der von einer Firewall-Regel verwendet wird, wird keine Warnung angezeigt
Sie können einen logischen Switch löschen, auch wenn dieser gerade von einer Firewall-Regel verwendet wird. Die Firewall-Regel wird als ungültig markiert, aber der logische Switch wird ohne Hinweis darauf gelöscht, dass der Switch gerade von dieser Firewall-Regel verwendet wird.

Probleme bei vShield Endpoint

Nach der Bereitstellung kommuniziert die VM des vShield Endpoint-Diensts nicht mit dem NSX-Manager
Problemumgehung: Befolgen Sie die unten beschriebenen Schritte.

  1. Entfernen Sie die Dienst-VM manuell vom ESX Agent-Ressourcenpool im Cluster.
  2. Klicken Sie auf Netzwerken und Sicherheit und dann auf Installation.
  3. Klicken Sie auf die Registerkarte Dienstbereitstellungen.
  4. Wählen Sie den entsprechenden Dienst aus und klicken Sie auf das Symbol Auflösen.
    Die Dienst-VM wird neu bereitgestellt.

 

Behobene Probleme

Das folgende Problem wurde in der Version 6.0.6 behoben.

  • Microsoft Clustering Services-Failover funktioniert mit logischen Switches nicht ordnungsgemäß
    Wenn virtuelle Maschinen im Rahmen des Prozesses zur Erkennung doppelter Adressen (DAD) ARP-Prüfpakete senden, antwortet der VXLAN ARP-Unterdrückungslayer auf die ARP-Anforderung. Dies führt zu einem Fehler beim Abrufen der IP-Adresse und somit zu einem Fehler im DAD-Prozess.

Die folgenden Probleme wurden in Version 6.0.5 behoben.

  • Wo erforderlich wird OpenSSL 1.0.1 auf 1.0.1h aktualisiert, um die Probleme CVE-2014-0224, CVE-2014-0198, CVE-2010-5298 und CVE-2014-3470 zu beheben.
  • Wo erforderlich wird OpenSSL 0.9.8 auf Version openssl-0.9.8za aktualisiert, um die Probleme CVE-2014-0224, CVE-2014-0198, CVE-2010-5298 und CVE-2014-3470 zu beheben.
  • Während der Migration zwischen Ressourcenpools, Clustern oder vApps wird die Netzwerkkonnektivität der virtuellen Maschine unterbrochen.
    Details finden Sie unter Die Netzwerkkonnektivität einer virtuellen Maschine wird während der Migration zwischen Ressourcenpools, Clustern oder vApps in vCloud Networking and Security 5.1.4, 5.5.2 und NSX für vSphere 6.0.4 unterbrochen.
  • NSX Edge-Upgrade schlägt mit einer Fehlermeldung fehl, die angibt, dass Port 22 in Gebrauch ist
    Wenn Sie ein Upgrade eines NSX Edge mit Lastenausgleich und SSH-Aktivierung durchführen und der virtuelle Lastenausgleichsserver zur Überwachung eines Ports eingerichtet ist, der "22" enthält (zum Beispiel Port 22 oder Port 8228), schlägt das Upgrade fehl.
  • NSX/PAN-Dienstprofil wird auf logische Switches nicht angewendet
    Wenn Sie einen logischen Switch als ein für den Palo Alto NGFW-Dienst anzuwendendes Objekt auswählen, wird das Dienstprofil nicht angewendet.
  • Stapelüberlauf auf dem NSX-Manager kann zum Neustart des NSX-Managers führen
    Das Generieren von Tech-Support-Protokollen für vShield Edge kann zu einem Stapelüberlauf und zum Neustart von NSX-Manager führen.
  • Wenn eine virtuelle Maschine oder ein Host von einer Ressource zu anderen oder von einem Cluster zum anderen wechselt, kann die Verbindung der virtuellen Maschine unterbrochen werden
    Wenn eine virtuelle Maschine zwischen Ressourcenpools oder Clustern verschoben wird, ist die Pfadvariable der virtuellen Maschine möglicherweise nicht ordnungsgemäß festgelegt. Dies kann dazu führen, dass die Verbindung der virtuellen Maschine unterbrochen wird.
  • Wenn die vNIC-Verbindung der virtuellen Maschine häufig aktiviert und deaktiviert wird, kann der Host abstürzen.
  • Wenn Sie VSphere Web Client auf Port 443 konfigurieren, können Sie nicht auf die Registerkarte "Netzwerk und Sicherheit" im vSphere Web Client zugreifen
    Wenn vSphere Web Client auf Port 443 konfiguriert ist, werden Proxy-Aufrufe aus dem vSphere Web Client nicht an den NSX-Manager weitergeleitet, da kein AMF-Kanal konfiguriert ist.
  • vMotion schlägt für Gast-VMs fehl, wenn Partnerdienste bereitgestellt werden.
  • VXLAN ARP-Unterdrückung kann für bestimmte Datenverkehrsmuster fehlschlagen
    Beim Lernen von ARP-Einträgen auf Datenebene aktualisiert VXLAN alle vorhandenen ARP-Cache-Einträge. Dies führt zu einer Situation, in der ein ARP-Eintrag, der auf eine Controller-Antwort wartet, stattdessen mit Datenverkehr auf Datenebene gefüllt wird, auch wenn sich der Eintrag nicht im Controller befindet.