vCloud Networking and Security 5.5.4 | 12. März 2015 | Build 2504419

Inhalt dieser Versionshinweise

Diese Versionshinweise decken die folgenden Themen ab:

Neuigkeiten

Die Version vCloud Networking and Security 5.5.4 enthält Verbesserungen für alle vCloud Networking and Security-Appliances. VMware empfiehlt die Ausführung eines Upgrades auf diese Version.

vCloud Networking and Security 5.5.4 ist mit vSphere 6.0 kompatibel. Die neuen vSphere-Funktionen in vSphere 6.0 wurden jedoch nicht mit vCloud Networking and Security getestet. Diese neuen vSphere-Funktionen sollten nicht in Umgebungen verwendet werden, in denen vCloud Networking and Security installiert ist, da sie nicht unterstützt werden. Eine Aufstellung der Einschränkungen bei vCloud Networking and Security im Hinblick auf vSphere 6.0 finden Sie im VMware-Knowledgebase-Artikel  2109120.

Sie können von den Versionen 5.1.x und 5.5.x ein Upgrade auf diese Version durchführen.

Systemanforderungen und Installation

Weitere Informationen über Systemanforderungen und Installations- oder Upgrade-Anweisungen finden Sie im Installations- und Upgrade-Handbuch für vShield .

Bekannte Probleme

Die bekannten Probleme gliedern sich in folgende Gruppen:

Upgrade-Probleme

Problem 1375343: SSO kann nach dem Upgrade nicht neu konfiguriert werden
Wenn es sich bei dem in vShield Manager konfigurierten SSO-Server um den nativen vCenter-Server handelt, können Sie nach dem Upgrade von vCenter Server auf Version 6.0 und dem Upgrade von vShield Manager auf Version 5.5.4 SSO-Einstellungen in vShield Manager nicht neu konfigurieren.
Problemumgehung: Keine.

Problem 1369782: L2VPN-Tunnel wird nach dem Upgrade des L2VPN-Servers auf Version 5.5.4 unterbrochen
Wenn Sie ein Upgrade von vShield Manager und L2VPN-Server auf Version 5.5.4 ohne Upgrade des L2VPN-Clients durchführen, wird der L2VPN-Tunnel unterbrochen. Ältere L2VPN-Clients als Version 5.5.4 stellten per SSLv2 oder SSLv3 eine Verbindung her, aber diese Protokolle werden in Version 5.5.4 nicht unterstützt.
Problemumgehung: Führen Sie ein Upgrade des L2VPN-Clients auf Version 5.5.4 durch. Der Client kann dann mithilfe des TLS-Protokolls eine Verbindung mit dem Server herstellen.

Problem 1396592: Bereitstellungsspezifikation mit Versionsangabe muss bei Verwendung von vCenter Server 6.0 und ESX 6.0 auf Version 6.0.x aktualisiert werden.
Partner, die NetX-Lösungen für vCloud Networking and Security registriert haben, müssen die Registrierung aktualisieren und eine Bereitstellungsspezifikation mit Versionsangabe (VersionedDeploymentSpec) für Version 6.0.x mit dem entsprechenden OVF einbinden.
Problemumgehung: Wenn die Basiskonfiguration aus Version 5.5.x mit vSphere 5.5 besteht und für die Infrastruktur vor dem Upgrade von vCloud Networking and Security ein Upgrade durchgeführt wird, führen Sie die folgenden Schritte aus:

  1. Führen Sie ein Upgrade für vSphere von Version 5.5 auf Version 6.0 durch.
  2. Fügen Sie die Bereitstellungsspezifikation mit Versionsangabe für Version 6.0.x mithilfe des folgenden API-Aufrufs hinzu:
    POST https://<vCNS-IP>/api/2.0/si/service/<Dienst-ID>/servicedeploymentspec/versioneddeploymentspec
    <versionedDeploymentSpec>
    <hostVersion>6.0.x</hostVersion>
    <ovfUrl>http://engweb.eng.vmware.com/~netfvt/ovf/Rhel6-32bit-6.1svm/Rhel6-32bit-6.1svm.ovf</ovfUrl>
    <vmciEnabled>true</vmciEnabled>
    </versionedDeploymentSpec>
  3. Aktualisieren Sie den Dienst mithilfe des folgenden REST-Aufrufs
    POST https://<vsm-ip>/api/2.0/si/service/config?action=update
  4. Beheben Sie den EAM-Alarm durch Ausführen der folgenden Schritte:
    1. Klicken Sie im vSphere Web Client auf „Home“.
    2. Klicken Sie auf „Verwaltung“.
    3. Wählen Sie in „Lösung“ die Option „vCenter Server-Erweiterungen“ aus.
    4. Klicken Sie auf „vSphere ESX Agent Manager“ und klicken Sie dann auf die Registerkarte „Verwalten“.
    5. Klicken Sie mit der rechten Maustaste auf den Agency-Status „Fehlgeschlagen“ und wählen Sie „Alle Probleme beheben“ aus.

 

Problem 1291731: Upgrade bzw. Deinstallation von vShield Endpoint wird mit dem Fehler Bei der Installation von vShield Endpoint ist ein Fehler bei der Deinstallation des VIBs aufgetreten: Interner Serverfehler abgebrochen
Das Upgrade bzw. die Deinstallation von vShield Endpoint wird mit einem Fehler abgebrochen. Die Deinstallation von vib über die ESXi-Befehlszeile wird ebenfalls mit dem folgenden Fehler abgebrochen:
 
[InstallationError]
Fehler beim Ausführen von rm /tardisks/epsec-mu.v00:
Rückgabecode: 1
Ausgabe: rm: '/tardisks/epsec-mu.v00' kann nicht entfernt werden: Gerät oder Ressource ist ausgelastet
Eine Fortsetzung des Vorgangs ist nicht sicher. Starten Sie den Host sofort neu, um das unvollständige Update zu verwerfen. Weitere Informationen finden Sie in der Protokolldatei.

 
Problemumgehung: Befolgen Sie die unten beschriebenen Schritte:

  1. Melden Sie sich bei der ESXi-CLI an.
  2. Verschieben Sie in der Datei /bootbank/boot.cfg den Eintrag epsec-mu.v00 hinter den Eintrag sb.v00.
    Als Trennzeichen in den Moduleinträgen in boot.cfg wird --- verwendet. Nach Ausführen der Änderung sollten die Einträge also so aussehen: sb.v00 --- epsec-mu.v00.
  3. Speichern Sie die Datei /bootbank/boot.cfg.
  4. Versetzen Sie den Host in den Wartungsmodus und starten Sie ihn dann vom vCenter Server-Webclient aus neu.
  5. Führen Sie die Installation bzw. das Upgrade von vShield Endpoint durch.

 

Allgemeine Probleme

Problem 1411125: Einschalten der Gast-VM nicht möglich
Beim Einschalten einer Gast-VM wird möglicherweise die Fehlermeldung „Zurzeit sind nicht alle erforderlichen virtuellen Agentmaschinen bereitgestellt“ angezeigt.
Problemumgehung: Befolgen Sie die unten beschriebenen Schritte:

  1. Klicken Sie im vSphere Web Client auf „Home“.
  2. Klicken Sie auf „Verwaltung“.
  3. Wählen Sie in „Lösung“ die Option „vCenter Server-Erweiterungen“ aus.
  4. Klicken Sie auf „vSphere ESX Agent Manager“ und klicken Sie dann auf die Registerkarte „Verwalten“.
  5. Klicken Sie auf „Beheben“.

 

Problem 1341573: Für Benutzer-IDs mit mehr als 7 ostasiatischen Zeichen oder mehr als 10 europäischen Zeichen ist keine Anmeldung beim SSL VPN-Portal möglich
Wenn eine Benutzer-ID mehr als 63 Zeichen enthält (für ASCII- oder Nicht-ASCII-Zeichen), wird beim Erstellen des SSL VPN Plus-Benutzers die Fehlermeldung „Die Länge der Benutzer-ID hat die maximale Anzahl von Zeichen überschritten“ angezeigt. Benutzer-IDs mit weniger als 63 Zeichen werden akzeptiert und der Benutzer wird erstellt.
Problemumgehung: VMware empfiehlt die Erstellung von SSL VPN Plus-Benutzer-IDs, die ausschließlich aus ASCII-Zeichen bestehen. Falls Ihre Benutzer-IDs Nicht-ASCII-Zeichen enthalten müssen, stellen Sie sicher, dass jeder Benutzername maximal 7 ostasiatische Zeichen oder maximal 10 lateinische Zeichen mit diakritischen Zeichen enthält.

Problem 1311302: Wenn sich eine vNIC in einer mit einem Netzwerk verbundenen Sicherheitsgruppe befindet und die zugehörige virtuelle Maschine in ein anderes Netzwerk verschoben wird, kann die Sicherheitsgruppe nicht über die Benutzeroberfläche bearbeitet werden und die vNIC bleibt weiterhin ein Mitglied der Sicherheitsgruppe
Problemumgehung: Entfernen Sie die vNIC mit dem folgenden REST-Aufruf aus der Sicherheitsgruppe
DELETE https://<vsm-ip>/api/2.0/services/securitygroup/<Sicherheitsgruppen-ID>/members/<vNicId>
Anschließend können Sie die Sicherheitsgruppe in der Benutzeroberfläche bearbeiten.

Problem 1303665: Das Vorbereiten eines Clusters für VXLAN führt dazu, dass ESXi den Verlust der Netzwerkverbindung auf dem vSwitch meldet
Das Vorbereiten eines Clusters für VXLAN führt zu einem vorübergehenden Verlust der Netzwerkverbindung, wenn der Netzwerkkartentreiber deinstalliert und neu installiert wird, um RSS in dem VXLAN-fähigen Cluster zu aktivieren. Dieses Problem tritt nur bei Verwendung von Intel ixgbe-Treibern auf.
Problemumgehung: Keine.

Problem 1056970: Anmelden bei vShield Manager nicht möglich, wenn der Benutzername CJK- oder erweiterte ASCII-Zeichen enthält
Problemumgehung: Legen Sie die Browser-Codierung auf UTF-8 fest.

Probleme bei vShield Manager

Problem 1405582/1310034: SSL VPN-Remotebenutzer kann seine AD-Anmeldedaten nicht ändern
Wenn das SSL VPN über Active Directory authentifiziert wird, können Sie sich mithilfe dieser Domänenanmeldedaten beim SSL VPN anmelden, um auf ein Unternehmensnetzwerk (privates Netzwerk) zuzugreifen. Wenn sich der Benutzer nicht im Büro befindet, kann er sein AD-Kennwort nicht ändern.
Problemumgehung: Für die SSL VPN-Konfiguration gibt es keine spezielle Problemumgehung. Der Administrator sollte ein externes Dienstprogramm zum Ändern des AD-Kennworts bereitstellen.

Problem 1303278: Das Laden der Gruppierungsseite dauert lange, wenn mehr als 1100 MAC-Sätze vorhanden sind, und möglicherweise werden überlappende Zeileneinträge angezeigt
Wenn zu viele MAC-Sätze (z. B. mehr als 1100) in vShield Manager vorhanden sind, dauert das Laden der Gruppierungsseite lange und die Zeileneinträge für die MAC-Sätze überlappen sich mit anderen Einträgen, weshalb sie nicht gelesen werden können. Das Hinzufügen eines neuen MAC-Satzes dauert sehr lange.
Problemumgehung: Achten Sie darauf, dass maximal 1100 Einträge für MAC-Sätze in einer Sicherheitsgruppe vorhanden sind.

Problem 1301688: Beim Konfigurieren von Lookup Service auf NSX Manager kann zwischen dem Domänen- und dem Benutzernamen kein umgekehrter Schrägstrich (Backslash) verwendet werden
Problemumgehung: Verwenden Sie zwischen dem Benutzer- und dem Domänennamen @ anstelle des umgekehrten Schrägstrichs (\). Geben Sie also Benutzer@Domäne anstelle von Domäne\Benutzer ein.

Problem 1161237: Die Fehlermeldung „Ungültiges Datenformat“ wird beim Erstellen eines Diensts angezeigt
Beim Hinzufügen/Erstellen eines Diensts wird möglicherweise die Fehlermeldung „Ungültiges Datenformat“ angezeigt, falls Sie mehr als 15 Ports für den Dienst eingeben.
Problemumgehung: Wenn der Dienst mehr als 15 Ports verwendet, erstellen Sie mehrere Dienste.

Problem 1161214: Benutzer muss sich abmelden, um die geänderte oder hinzugefügte Rolle zu sehen
Wenn ein Benutzer seine Rolle hinzufügt oder ändert, während er sich in einer Sitzung befindet, zeigt die Sitzung nicht die Rollenänderungen an.
Problemumgehung: Melden Sie sich ab und wieder an, um die aktualisierten Rollenzuweisungen anzuzeigen.

Probleme bei vShield App

Problem 1197810: Eine Firewallregel aus der Flow Monitoring-Tabelle kann nach Zurücksetzen auf eine ältere Firewallkonfiguration nicht hinzugefügt werden
Nachdem Sie eine ältere Firewallkonfiguration geladen haben, ist es nicht möglich, eine Regel aus der Flow Monitoring-Tabelle hinzuzufügen. Grund dafür ist, dass die Regel, für die der Flow erkannt wurde, nicht mehr zur aktuellen Firewallkonfiguration gehört.
Problemumgehung: Keine.

Problem 967277: Wenn der vCenter Server während des vShield App-Upgrade-Vorgangs nicht mehr verfügbar ist, schlägt das Upgrade fehl und der Link „Aktualisieren“ ist nicht verfügbar
Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel Link „Aktualisieren“ in vShield Manager ist nicht verfügbar, wenn das vShield App-Upgrade fehlschlägt.

Problem 1089671: Firewallregeln mit virtueller Leitung als Quelle/Ziel werden nicht angewendet, wenn eine neue VM zur bestehenden virtuellen Leitung hinzugefügt wird
Wenn vorkonfigurierte Firewallregeln virtuelle Leitungen als Quelle/Ziel enthalten, werden diese Regeln nicht auf die neue VM angewendet, die zur virtuellen Leitung hinzugefügt wird.
Problemumgehung: Veröffentlichen Sie die Firewallkonfiguration nach dem Hinzufügen der neuen VM zur virtuellen Leitung auf der virtuellen Leitung neu.

Probleme bei vShield Edge

Problem 1405586/1311273: Der Anmeldebildschirm des SSL VPN-Portals ist leer.
Eine der vom SSL VPN-Portal verwendeten JavaScript-Dateien wird in vShield Edge beschädigt. Dadurch schlägt das Rendern der Portalseite fehl.
Problemumgehung: Stellen Sie den vShield Edge erneut bereit, wenn dieses Problem auftritt.

Problem 1165472: Signaturanforderung/Zertifikat kann nicht erstellt werden, wenn ein Upgrade von vShield Manager auf Version 5.1.3 durchgeführt wird und Edge noch immer in der Version 5.0.2 vorhanden ist
Wenn ein Upgrade von vShield Manager auf Version 5.1.3 durchgeführt wird und Edge in einer älteren Version vorhanden ist, können Sie keine Signaturanforderung der Größe 512/1024 Bit erstellen.
Problemumgehung: Keine.

Service Insertion-Probleme

Problem 1062057: Dienstprofil kann nicht an Netzwerk gebunden werden
Es ist nicht möglich, ein Dienstprofil an ein verfügbares Netzwerk zu binden.
Problemumgehung: Starten Sie vShield Manager neu.

Probleme bei Data Security

Problem 1291748: Beim Festlegen der Dateifilter für die Data Security-Prüfung kann „Datum der letzten Änderung“ nicht aus dem Kalender ausgewählt werden
Während des Versuchs, das Vor-Datum für die Ausführung einer Data Security-Prüfung auszuwählen, ist der Kalender grau dargestellt.
Problemumgehung: Ändern Sie in Ihrem Browser die Spracheinstellung auf „en-US“ und wählen Sie dann das Datum im Feld Vor aus.

Behobene Probleme

Die folgenden Probleme wurden in Version 5.5.4 behoben:

Problem 1405907: Neu bereitgestellte VMs werden von der vShield App am Herstellen einer Verbindung mit dem Internet oder miteinander gehindert
Neu bereitgestellte VMs werden getrennt, obwohl die standardmäßige Zulassungsregel „any/any/any“ der App Firewall die Weiterleitung des Datenverkehrs zulassen sollte.

Problem 1406457: Netzwerk-Backing wird für vCloud vShield Edge-Geräte deaktiviert und sie können nicht mehr verwaltet werden
vShield Manager führt in bestimmten Abständen eine Systemstatusprüfung durch, indem parallele VIX-Anforderungen gesendet werden. Falls die Systemstatusprüfung innerhalb des Zeitüberschreitungsfensters (standardmäßig zwei Minuten) nicht genügend Antworten erhält, wird der VIX-Agent neu gestartet. Beim Neustart des VIX-Agenten stellt der VIX-Agent erneut eine Verbindung mit jeder Edge-VM her und wiederholt die Systemstatusprüfung. Bei dieser Fehlerbedingung wurde beobachtet, dass das Systemstatusprüfungsmodul wiederholt eine Zeitüberschreitung meldet, da die neuen Systemstatusprüfungsantworten nicht rechtzeitig empfangen wurden.

Problem 1406456: Kalender kann im DLP-Feld nicht ausgewählt werden
Im Feld „Vor“ kann der Kalender nicht ausgewählt werden, nachdem im Feld „Nach“ ein Datum ausgewählt wurde.

Problem 1406453/1070011: Das Hinzufügen von vNICs schlug im NSX Manager fehl, wenn für vCenter Server ein Upgrade von Version 5.1 auf Version 5.5 durchgeführt wurde
Das Hinzufügen von vNICs schlug fehl, da NSX Manager fälschlicherweise die VMODL-API-Version 8 anstelle der Version 9 für die Kommunikation mit vCenter Server verwendete. Dies ist darauf zurückzuführen, dass in NSX Manager die Versionsänderung nicht dynamisch verarbeitet werden konnte, wenn für vCenter Server ein Upgrade von Version 5.1 auf Version 5.5 durchgeführt wurde. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel 2085044.

Problem 1405910/1334068: Manche vApp-Netzwerke mit Leerzeichen können nicht ordnungsgemäß erstellt werden
Wenn der Name der virtuellen Leitung nachstehende Leerzeichen aufweist, enthält der generierte Portgruppenname möglicherweise auch nachstehende Leerzeichen, die dann von vCenter Server entfernt werden. In Abhängigkeit von der vCloud Networking and Security-Version ergibt sich in vShield Manager möglicherweise eine virtuelle Leitung ohne festgelegtes system_resource-Flag oder mit Fehlern beim Erstellen der virtuellen Leitung selbst.

Problem 1405909: Änderungen des Logos und der Farbe für „Portalanpassung“ von SSL VPN werden im Portal nicht angezeigt
Bei der Portalanpassung von SSL VPN wird die Änderung des Logohintergrunds nicht im Portal angezeigt. In der HTML-Tabelle für den Logohintergrund wird anstelle der Farbe das Hintergrundbild verwendet. Für die Standardhintergrundfarbe muss dieselbe Farbe wie für das Hintergrundbild festgelegt werden.

Problem 1285954: vShield Edge löscht RST-Paket
vShield Edge wurde eine zusätzliche Funktion hinzugefügt, die RST ermöglicht, wenn Client und Server nicht mehr synchronisiert sind. RST auf dem Client ist nun zulässig, wenn die zugehörige Sequenznummer mit vorheriger ACK auf dem Server übereinstimmt, selbst wenn diese ACK zu einer älteren Verbindung gehört.

Problem 1308591: SSL VPN-Plus-Installationspaket kann nicht geändert werden
Beim Bearbeiten eines SSL VPN-Plus-Installationspakets werden die Änderungen nicht auf das Paket angewendet.

Problem 1268933: Hostname für DHCP-Bindung kann keine CJK-Zeichenfolgen oder Zeichenfolgen mit erweiterten ASCII-Zeichen enthalten
Wenn das Feld „Hostname“ im Fenster „DHCP-Bindungen“ CJK-Zeichenfolgen oder Zeichenfolgen mit erweiterten ASCII-Zeichen enthält, tritt beim Veröffentlichen der Bindung ein Fehler auf.