发布日期:2019 年 12 月 5 日
内部版本详细信息
| 下载文件名称: | ESXi670-201912001.zip |
| 内部版本: | 15160138 |
| 下载大小: | 473.7 MB |
| md5sum: | 153ea9de288d1cc2518e747f3806f929 |
| sha1checksum: | e9761a1a8148d13af8a920decd9d729658d59f1c |
| 需要重新引导主机: | 是 |
| 需要迁移或关闭虚拟机: | 是 |
实体包
| 实体包 ID | 类别 | 严重性 |
| ESXi670-201912401-BG | 缺陷修复 | 严重 |
| ESXi670-201912402-BG | 缺陷修复 | 重要 |
| ESXi670-201912403-BG | 缺陷修复 | 重要 |
| ESXi670-201912404-BG | 缺陷修复 | 重要 |
| ESXi670-201912405-BG | 缺陷修复 | 重要 |
| ESXi670-201912101-SG | 安全 | 严重 |
| ESXi670-201912102-SG | 安全 | 重要 |
汇总实体包
此汇总实体包中包含自 ESXi 6.7 始发行版以来的所有修复的最新 VIB。
| 实体包 ID | 类别 | 严重性 |
| ESXi670-201912001 | 缺陷修复 | 重要 |
映像配置文件
VMware 修补程序版本和更新版本包含常规映像配置文件和重要映像配置文件。常规版本映像配置文件仅适用于新的缺陷修复。
| 映像配置文件名称 |
| ESXi-6.7.0-20191204001-standard |
| ESXi-6.7.0-20191204001-no-tools |
| ESXi-6.7.0-20191201001s-standard |
| ESXi-6.7.0-20191201001s-no-tools |
有关各个实体包的详细信息,请参见下载修补程序页面和已解决的问题部分。
修补程序下载和安装
通常,通过使用 VMware vSphere Update Manager 将修补程序应用于 ESXi 主机。有关详细信息,请参见《关于安装和管理 VMware vSphere Update Manager》。
通过从 VMware 下载页面手动下载修补程序 ZIP 文件,然后使用 esxcli software vib 命令安装 VIB,即可更新 ESXi 主机。此外,还可以使用映像配置文件和 esxcli software profile 命令更新系统。
有关详细信息,请参见《vSphere 命令行界面概念和示例》以及《vSphere 升级指南》。
已解决的问题
已解决的问题分为以下几组。
- ESXi670-201912401-BG
- ESXi670-201912402-BG
- ESXi670-201912403-BG
- ESXi670-201912404-BG
- ESXi670-201912405-BG
- ESXi670-201912101-SG
- ESXi670-201912102-SG
- ESXi-6.7.0-20191204001-standard
- ESXi-6.7.0-20191204001-no-tools
- ESXi-6.7.0-20191201001s-standard
- ESXi-6.7.0-20191201001s-no-tools
| 修补程序类别 | 缺陷修复 |
| 修补程序严重性 | 严重 |
| 需要重新引导主机 | 是 |
| 需要迁移或关闭虚拟机 | 是 |
| 受影响的硬件 | 不适用 |
| 受影响的软件 | 不适用 |
| 包含的 VIB |
|
| 已修复的 PR | 2403863、2379544、2400052、2396958、2411015、2430010、2421035、2388157、2407141、2387638、2448171、2423301、2367001、2419339、2445066、2432096、2382664、2432530、2240272、2382662、2389011、2400262、2409342、2411738、2411907、2412159、2413837、2380198、2417593、2418327、2423588、2430947、2434152、2349230、2311565、2412845、2409136、2340752、2444667、2398163、2416514、2412475、2435882、2386978、2436227、2411494、2385716、2390792 |
| CVE 编号 | 不适用 |
此修补程序更新了 esx-base、esx-update、vsan 和 vsanhealth VIB 以解决下列问题:
- PR 2403863:在使用 AMD EPYC 7002 系列处理器的 vSphere 系统中,可能无法手动触发不可屏蔽的中断 (NMI)
从硬件管理控制台 (BMC) 或通过按物理 NMI 按钮请求 NMI 时,必定导致 ESXi 主机出现故障并显示紫色诊断屏幕,且转储核心。此时不会发生任何其他情况,ESXi 将继续运行。
本版本已解决该问题。
- PR 2379544:迁移到较新版本的 ESXi 时,Windows 虚拟机出现蓝屏并显示“不支持多处理器配置 (MULTIPROCESSOR CONFIGURATION NOT SUPPORTED)”错误消息
迁移到较新版本的 ESXi 时,客户机操作系统启动重新引导后,Windows 虚拟机可能会出现故障。将出现蓝屏并显示
不支持多处理器配置 (MULTIPROCESSOR CONFIGURATION NOT SUPPORTED)错误消息。此修复可防止在迁移过程中修改客户机 CPUID 的x2APIC id字段。本版本已解决该问题。
- 更新 SQLite 数据库
SQLite 数据库已更新到版本 3.29.0。
- PR 2396958:无法解析 ESXi 主机的 DNS 短名称
无法解析 ESXi 主机的 DNS 短名称。您会看到类似以下内容的错误:
nslookup <shortname>** server can't find <shortname>: SERVFAIL
完全限定域名 (FQDN) 按预期进行解析。本版本已解决该问题。
- PR 2411015:使用 CIM 客户端或 CLI 发出查询以返回 IPv4 VMkernel 网络端点失败
如果使用 CIM 客户端或 CLI 对类
VMware_KernelIPv4ProtocolEndpoint运行查询,查询将不会返回 VMkernel 网卡实例。当 IP 范围为 128.x.x.x 和更高时,会出现此问题。本版本已解决该问题。
- PR 2430010:永久设备丢失 (PDL) 事件通知可能会导致 ESXi 主机出现故障并显示紫色诊断屏幕
在 ESXi 6.7 中,将不再支持 PDL 退出通知,但可插入存储架构 (PSA) 可能仍会针对此类事件向 VMFS 层发送通知。这可能会导致 ESXi 主机出现故障并显示紫色诊断屏幕。。
本版本已解决该问题。
- PR 2421035:由于超时,虚拟机 I/O 请求可能会失败并导致虚拟机重新引导
如果为目标设备启用隐式非对称逻辑单元访问 (ALUA),则
action_OnRetryErrors方法会在尝试传递 I/O 请求 40 次后丢弃路径。如果目标正处于控制器重置过程中,并且切换路径所用的时间超过 40 次重试所用的时间,则该路径将标记为“不活动”。这可能会导致设备出现全部路径异常 (APD) 状况。本版本已解决该问题。此修复将对隐式 ALUA 目标设备禁用
action_OnRetryErrors方法。 - PR 2388157:vSAN 权限允许访问其他数据存储
要通过使用 vCenter Server 创建 vSAN 数据存储,需要
+Host.Config.Storage权限。此权限允许访问 vCenter Server 系统管理的其他数据存储,包括卸载这些数据存储。本版本已解决该问题。
- PR 2407141:无法通过 vSphere Client 将要在多写入器模式下共享的虚拟磁盘置备为厚置备快速置零
vSAN 数据存储上用于多写入器模式(例如 Oracle RAC)的共享虚拟磁盘必须置备为厚置备快速置零。但是,vSphere Client 不允许将虚拟磁盘置备为厚置备快速置零。
本版本已解决该问题。可以在多写入器模式下共享 vSAN 数据存储上任何类型的虚拟磁盘。
- PR 2387638:如果在客户机操作系统中同时启用 vSphere Fault Tolerance (FT) 和图形地址重新映射表 (GART),将出现意外故障切换或蓝色诊断屏幕
当在客户机操作系统中同时启用 vSphere FT 和 GART 时,可能会看到由于争用情况造成的意外故障切换或蓝色诊断屏幕。vSphere FT 会扫描客户机页表以查找脏页并生成位图。为避免发生冲突,每个 vCPU 扫描单独的页范围。但是,如果同时启用 GART,它可能会将客户机物理页码 (PPN) 映射到已映射的区域。此外,多个 PPN 也可能会映射到同一个总线内存页码 (BPN)。这会导致两个 vCPU 在处理不同区域中的两个 PPN 时对位图中的同一个 QWORD 进行写操作。
本版本已解决该问题。为避免出现争用情况,此修复会强制对位图写操作使用原子操作,并使
physmem支持 GART。 - PR 2448171:如果将最终实体证书添加到 vCenter Server 系统的根 CA,则无法添加 ESXi 主机
TLS 证书通常按由根 CA、中间 CA 然后叶证书组成的签名链进行组织,其中叶证书会指定特定服务器。vCenter Server 系统要求根 CA 仅包含标记为能够对其他证书进行签名的证书,但不会强制执行此要求。因此,可以将非 CA 叶证书添加到根 CA 列表。先前版本会忽略非 CA 叶证书,而 ESXi 6.7 Update 3 会对无效的 CA 链引发错误,并阻止 vCenter Server 完成添加主机工作流。
本版本已解决该问题。此修复会以静默方式放弃非 CA 证书,而不是引发错误。此更改不会对安全性造成任何影响。ESXi670-201912001 还添加了配置选项
Config.HostAgent.ssl.keyStore.allowSelfSigned、Config.HostAgent.ssl.keyStore.allowAny和Config.HostAgent.ssl.keyStore.discardLeaf以允许自定义根 CA。有关详细信息,请参见 VMware 知识库文章 1038578。 - PR 2423301:将虚拟机恢复到快照后,更改块跟踪 (CBT) 数据可能会损坏
将启用了 CBT 的虚拟机恢复到不是内存快照的快照时,如果使用
QueryChangedDiskAreas()API 调用,则可能会看到InvalidArgument错误。本版本已解决该问题。对于 ESXi670-201912001,
QuerychangedDiskAreas()调用的输出更改为了FileFault,并添加了消息更改跟踪在磁盘 <disk_path> 上处于非活动状态 (Change tracking is not active on the disk <disk_path>),以提供有关该问题的更多详细信息。
使用此修复,您必须打开虚拟机电源或重新配置虚拟机,以便在将其恢复到快照后启用 CBT,然后生成快照以执行完整备份。
要重新配置虚拟机,必须完成以下步骤:- 在 Managed Object Browser 图形界面中,使用 url(例如
https://<vc 或主机 ip>/mob/?moid=<虚拟机受管对象 ID>&method=reconfigure)运行ReconfigVM_Task。 - 在
<spec>标记中,添加<ChangeTrackingEnabled>true</ChangeTrackingEnabled>。 - 单击调用方法。
- 在 Managed Object Browser 图形界面中,使用 url(例如
- PR 2419339:将 vSphere Virtual Volumes 数据存储上的多个虚拟机关闭电源或删除时,ESXi 主机可能会出现故障并显示紫色诊断屏幕
将 vSphere Virtual Volumes 数据存储上的多个虚拟机关闭电源或删除时,ESXi 主机可能会出现故障并显示紫色诊断屏幕。您会看到屏幕上出现一条消息,指示出现 PF 异常 14。此问题可能会影响多个主机。
本版本已解决该问题。
- PR 2445066:由于物理 CPU 锁定,使用 AMD 处理器的 HPE 服务器可能会出现故障并显示紫色诊断屏幕
由于物理 CPU 锁定,某些使用 AMD 处理器的 HPE 服务器可能会出现故障并显示紫色诊断屏幕。当 HPE 服务器运行使用 HPE VIB 安装的 HPE 模块和管理代理时,会出现该问题。您可能会看到类似以下内容的消息:
2019-05-22T09:04:01.510Z cpu21:65700)WARNING: Heartbeat: 794: PCPU 0 didn't have a heartbeat for 7 seconds; *may* be locked up.
2019-05-22T09:04:01.510Z cpu0:65575)ALERT: NMI: 689: NMI IPI: RIPOFF(base):RBP:CS [0x8a46f2(0x418017e00000):0x43041572e040:0x4010] (Src 0x1, CPU0)本版本已解决该问题。
- PR 2432096:对于热添加的 PCIe 设备,PCI Express (PCIe) 高级错误报告 (AER) 寄存器设置可能缺失或不正确
在仅具有
PCIe _HPX记录设置的 PCI 热插拔插槽上热添加设备时,可能无法正确设置热添加设备中的某些 PCIe 寄存器。这会导致 PCIe AER 寄存器设置缺失或不正确。例如,AER 驱动程序控件或 AER 掩码寄存器可能未初始化。本版本已解决该问题。
- PR 2382664:无法通过 Internet 访问 vCenter Server 系统时,vSAN Health Service 超时
如果在
/etc/sysconfig/proxy中配置了 HTTPS 代理,但 vCenter Server 系统没有 Internet 访问权限,则 vSAN Health Service 将超时,并且无法访问。本版本已解决该问题。
- PR 2432530:无法使用批处理模式解除 VMware vSphere Virtual Volumes 的绑定
ESXi670-201912001 在批处理模式下实施
UnbindVirtualVolumes()方法以解除 VMware vSphere Virtual Volumes 的绑定。以前,解除绑定时,每个 vSphere Virtual Volumes 占用一个连接。有时,这会导致占用 vStorage APIs for Storage Awareness (VASA) 提供程序的所有可用连接,并延迟其他 API 调用的响应或者使其他 API 调用彻底失败。本版本已解决该问题。
- PR 2240272:如果双主机 vSAN 集群具有网络分区,一个或多个 vSAN 对象可能会变得不可访问
在双主机 vSAN 集群上的网络分区期间,一个或多个 vSAN 对象可能会暂时不可访问,持续时间大约为 30 秒。首选主机发生故障时可能会出现罕见的争用情况,从而导致出现该问题。
本版本已解决该问题。
- PR 2382662:vSAN 性能服务运行状况检查在延伸集群上显示警告:主机未提供统计信息 (Hosts Not Contributing Stats)
如果延伸集群没有用于见证流量的路由,或者防火墙设置阻止了用于见证流量的端口 80,则 vSAN 性能服务无法从 ESXi 主机收集性能统计信息。发生这种情况时,性能服务运行状况检查会显示以下警告:
主机未提供统计信息 (Hosts Not Contributing Stats)。本版本已解决该问题。
- PR 2389011:通过使用 vSphere Authentication Proxy 将 ESXi 主机添加到 Active Directory 域可能会间歇性失败
使用 vSphere Authentication Proxy 将 ESXi 主机添加到 AD 域可能会间歇性失败,并显示错误代码
41737,此代码与错误消息LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN相对应。本版本已解决该问题。如果主机暂时在 AD 环境中找不到其创建的计算机帐户,此修复添加了通过使用 Authentication Proxy 将 ESXi 主机添加到 AD 域的重试逻辑。
- PR 2400262:在使用 AMD EPYC 7002 系列处理器的 vCenter Server 系统中,具有 PCI 直通设备的虚拟机可能无法打开电源
在使用 AMD EPYC 7002 系列处理器的 vCenter Server 系统中,具有 PCI 直通设备的虚拟机可能无法打开电源。在
vmkernel.log中,您会看到类似以下内容的消息:4512 2019-08-06T06:09:55.058Z cpu24:1001397137)AMDIOMMU: 611: IOMMU 0000:20:00.2: Failed to allocate IRTE for IOAPIC ID 243 vector 0x3f
4513 2019-08-06T06:09:55.058Z cpu24:1001397137)WARNING: IOAPIC: 1238: IOAPIC Id 243: Failed to allocate IRTE for vector 0x3f在 AMD IOMMU 中断重新映射程序中,IOAPIC 中断会使用与矢量编号相等的 IRTE 索引。在某些情况下,非 IOAPIC 中断可能会使用 IOAPIC 中断所需的索引。
本版本已解决该问题。
- PR 2409342:无法选择在 vmxnet3 后端禁用最大传输单元 (MTU) 检查,以使数据包长度不超过 vNIC MTU
通过 ESXi670-201912001,可以选择在 vmxnet3 后端禁用最大传输单元 (MTU) 检查,以使数据包长度不超过 vNIC MTU。默认行为是执行 MTU 检查。但是,如果使用 vmxnet3,执行此检查后,可能会看到丢弃的数据包增加。有关详细信息,请参见 VMware 知识库文章 75213。
本版本已解决该问题。
- PR 2411738:对于 Horizon 链接克隆桌面,基于内容的读缓存 (CBRC) 摘要重新计算操作可能需要很长时间
刷新或重构 Horizon 链接克隆桌面时,将随之执行重新计算操作并且可能需要很长时间。重新计算操作延迟可能会导致桌面摘要文件配置错误。这将导致所有重新计算 I/O 最终都在副本磁盘中执行。副本中的 I/O 拥堵导致摘要重新计算时间延长。
本版本已解决该问题。
- PR 2411907:虚拟机可能会从较旧的芯片组(而不是较新的芯片组)打开电源
在主机配置文件修复过程中,
/etc/vmware/config中阻止的参数(如增强型 vMotion 兼容性 (EVC) 参数)可能会丢失。这会导致虚拟机从较旧的芯片组(如 Haswell)打开电源,而不是从较新的芯片组(如 Broadwell)打开电源。本版本已解决该问题。
- PR 2412159:在配置了多 vMotion vmknic 的情况下,正常 ping 会导致 vSAN 运行状况 vMotion 中出现错误:基本 (单播) 连接检查 (Basic (unicast) connectivity check)
配置了多 vMotion VMNIC 的 vSAN 集群可能会报告由 vSAN 运行状况
vMotion 引发的无效警报:基本 (单播) 连接检查 (Basic (unicast) connectivity check)。本版本已解决该问题。
- PR 2413837:vSAN 集群中所有 ESXi 主机上的 cmmdsTimeMachine 服务均失败
在某些 vSAN 环境中,ESXi 主机上运行的 cmmdsTimeMachine 服务会在启动不久后失败。当监视程序进程消耗过多内存时,会出现此问题。
本版本已解决该问题。
- 更新 libPNG 库
libPNG 库已更新到 libpng-1.6.37。
- PR 2417593:对于使用自定义证书链的环境中包含的 vSAN 集群,您可能会看到性能服务警告,如“主机未提供统计信息 (Hosts Not Contributing Stats)”
在某些使用自定义 SSL 证书链的环境中会出现该问题。vSAN 性能服务无法从一个或多个 ESXi 主机收集 vSAN 性能衡量指标。Health Service 会发出警告,如
主机未提供统计信息 (Hosts Not Contributing Stats)。本版本已解决该问题。
- PR 2418327:即使 VMNIC 仍处于断开状态,主机名或 IP 网络上行链路冗余丢失警报也会重置为绿色
主机名或 IP 网络上行链路冗余警报报告 ESXi 主机的 vSphere 标准交换机或分布式交换机上的上行链路冗余丢失。冗余物理网卡断开,或未分配给交换机。在某些情况下,当多个 VMNIC 断开时,即使其中一个 VMNIC 已连接,而其余 VMNIC 可能仍处于断开状态,警报也会重置为绿色。
本版本已解决该问题。此修复将所有已还原的 dvPort 和冗余事件聚合在网络交换层,并仅在所有上行链路均已还原时才将其报告给 vCenter Server 系统。
- PR 2423588:如果为大量虚拟分布式交换机端口分配的内存超出堆限制,则 hostd 服务可能会失败
在某些情况下,为大量虚拟分布式交换机端口分配的内存会超出
dvsLargeHeap参数。这可能会导致 hostd 服务或运行命令失败。本版本已修复该问题。可以使用以下配置设置:
esxcfg-advcfg -s X /Net/DVSLargeHeapMBPERGB,使dvsLargeHeap参数与系统物理内存相一致。此处,X是一个介于 1 到 20 之间的整数值,用于定义相对于 ESXi 主机物理内存的堆限制。例如,如果X为 5,物理内存为 40 GB,则堆限制设置为 200 MB。
要使用此设置,必须重新引导 ESXi 主机。 - PR 2430947:在 iLOK USB 密钥设备直通过程中,虚拟机可能会出现故障
在 iLOK USB 密钥设备直通过程中,虚拟机可能会出现故障并显示 VMX 应急错误消息。您会在虚拟机日志文件 vmware.log 中看到
PANIC: Unexpected signal: 11。本版本已解决该问题。
- PR 2434152:在创建或挂载磁盘组期间,ESXi 主机可能会出现故障并显示紫色诊断屏幕
在创建或挂载 vSAN 磁盘组期间,ESXi 主机可能会出现故障并显示紫色诊断屏幕。此问题由
NULL指针取消引用所致。您可以在回溯追踪中看到类似的信息:[email protected]#0.0.0.1+0x203
[email protected]#0.0.0.1+0x358
[email protected]#0.0.0.1+0x1a4
[email protected]#0.0.0.1+0x590
vmkWorldFunc@vmkernel#nover+0x4f
CpuSched_StartWorld@vmkernel#nover+0x77本版本已解决该问题。
- PR 2349230:丢失 CIM 指示的订阅,而不显示警告
如果 CIM 提供程序由于某种原因而失败,则轻量级 CIM 代理程序 (SFCB) 服务会将其重新启动,但该提供程序可能不会保留所有现有的指示订阅。因此,您可能不会收到硬件相关错误事件的 CIM 指示。
本版本已解决该问题。此修复将调用
enableindications方法,以便在 CIM 提供程序重新启动后重新配置指示订阅。 - PR 2311565:ESXi 主机在引导后仅检测到几个 LUN
如果您尝试重新扫描 HBA 和 VMFS 卷或获取支持包,则 ESXi 主机可能会在引导后仅检测到随机的几个 LUN 且可能会断开连接。该问题是由用于查找 SCSI 路径和读取容量的助手线程之间的死锁所致。因此,设备发现会失败。
本版本已解决该问题。
- PR 2412845:全新安装或升级到 ESXi 6.7 Update 3 后,ESXi 主机可能无法在 UEFI 模式下引导
全新安装或升级到 ESXi 6.7 Update 3 后,由于某些计算机上 ESXi 引导加载程序与 UEFI 固件之间不兼容,ESXi 主机可能无法在 UEFI 模式下引导。您会看到类似以下内容的消息,这些消息显示为白色和红色并具有黑色背景:
正在关闭固件服务 (Shutting down firmware services)...
页面分配错误: (Page allocation error:)资源不足 (Out of resources)
无法关闭引导服务 (Failed to shutdown the boot services)。
不可恢复的错误 (Unrecoverable error)
如果从先前版本升级到 ESXi 6.7 Update 3,并且 6.7 Update 3 从未成功引导,该故障会使 ESXi Hypervisor 恢复自动回滚到执行升级前的安装。但是,计算机仍无法引导,因为 Hypervisor 恢复无法回滚引导加载程序。本版本已解决该问题。
- PR 2409136: 在重置或重新引导后,具有 PCI 直通设备的虚拟机无法打开电源
在重置或重新引导期间,失效参数可能会导致错误地处理来自直通设备的中断信息。因此,在重置或重新引导后,具有 PCI 直通设备的虚拟机可能无法打开电源。
本版本已解决该问题。
- PR 2340752:固件版本为 1.30 的 HPE 服务器可能会针对 I/O 模块传感器触发硬件状态警告
固件版本为 1.30 的 HPE 服务器可能会将 I/O 模块传感器的状态报告为警告。您可能会看到类似以下内容的消息:
[设备] I/O 模块 n ALOM_Link_Pn ([Device] I/O Module n ALOM_Link_Pn)或[设备] I/O 模块 n NIC_Link_Pn ([Device] I/O module n NIC_Link_Pn)。本版本已解决该问题。有关详细信息,请参见 VMware 知识库文章 53134。
- PR 2444667:如果为 vmx.log.rotateSize 参数配置的限制较小,VMX 进程可能会在打开电源或 vSphere vMotion 期间失败
如果为
vmx Vmx.log.rotatesize参数配置的限制较小,VMX 进程可能会在打开电源或 vSphere vMotion 期间失败。如果为vmx.log.rotateSize参数设置的值小于 100 KB,则出现这些问题的概率会增加。本版本已解决该问题。
- PR 2398163:如果网络中同时存在 MLDv1 和 MLDv2 设备,则在关机期间 ESXi 主机可能会出现故障并显示紫色诊断屏幕
如果网络中同时存在 MLDv1 和 MLDv2 设备且禁用了全局 IPv6 地址,当 ESXi 主机恰好在释放内存区域与将其分配给另一个任务之间的时间内尝试访问该内存区域时,由于出现非常罕见的争用情况,该主机可能会在关闭期间出现故障并显示紫色诊断屏幕。ESXi 6.7 Update 2 中已修复此问题。但是,此修复在 ESXi 主机关闭期间发现了另一个问题,即禁用 IPv6 时出现
NULL指针取消引用。本版本已解决该问题。
- PR 2416514:在 vmkernel 日志中看到来自 AMD 服务器的 IOMMU 警告
您可能会在 vmkernel 日志中看到来自 AMD 服务器的多个如下类似 IOMMU 警告:
WARNING: AMDIOMMU: 222: completion wait bit is not set after a while!
AMD IOMMU 硬件在处理COMPLETION_WAIT命令时可能会很慢。因此,系统可能会传播未完成的无效请求,从而导致在 DMA 事务期间 IOMMU TLB 中出现失效映射。本版本已解决该问题。
- PR 2412475:在 ESXi 主机上看到 Sensor -1 类型的硬件运行状况警报,并收到过多的邮件警示
升级到 ESXi 6.7 Update 3 后,可能会在 ESXi 主机上看到触发了
Sensor -1类型的硬件运行状况警报,但实际上未发生问题。如果您在 vCenter Server 系统中针对硬件传感器状态警报配置了电子邮件通知,这可能会导致您收到过多的电子邮件警示。如果统计信息、事件、警报和任务 (SEAT) 目录超过 95% 阈值,这些邮件可能会导致 vCenter Server 数据库中出现存储问题。本版本已解决该问题。
- PR 2435882:ESXi 6.7 Update 3 主机需要很长时间才能完成任务,如退出维护模式
在某些情况下,运行 ESXi 6.7 Update 3 的 ESXi 主机可能需要很长时间才能完成任务,如进入或退出维护模式或者连接到 vCenter Server 系统。响应延迟可能长达 30 分钟。CIM 服务尝试在通用锁定下定期刷新存储和数字传感器数据时会出现这种情况,从而导致 hostd 线程等待响应。
本版本已解决该问题。此修复使用不同的锁定刷新 CIM 服务的传感器数据,以避免其他线程等待释放通用锁定。
- PR 2386978:在 SEsparse 操作期间,ESXi 主机可能会出现故障并显示紫色诊断屏幕
在某些情况下,SEsparse I/O 线程可能会在非阻止线程上下文中暂停或被阻止。因此,ESXi 主机会进入紧急状态,出现故障并显示紫色诊断屏幕。
本版本已解决该问题。
- PR 2436227:如果 ESXi 主机无法将内存分配给 Netqueue 中的筛选器,则该主机可能会出现故障并显示紫色诊断屏幕
如果 ESXi 主机由于某种原因无法将内存分配给 Netqueue 中的筛选器,则该主机可能会出现故障并显示紫色诊断屏幕。
本版本已解决该问题。
- PR 2411494:VMFS6 自动异步回收可用空间运行时所用的空间回收优先级可能高于配置的优先级
在某些情况下,自动异步回收 VMFS6 数据存储中的可用空间(也称为取消映射)运行时所用的空间回收优先级可能高于配置的优先级。从数据存储中移除厚置备快速置零 (EZT) 和厚置备延迟置零 (LZT) VMDK 可能会触发空间回收优先级高于配置的优先级。如果空间回收优先级小于 1 GBps,您可能还会看到取消映射率增加,具体取决于卷中的碎片。
本版本已解决该问题。
- PR 2390792:启用 VMware vSphere Storage I/O Control 日志可能导致淹没 syslog 和 rsyslog 服务器
某些 Storage I/O Control 日志可能会导致
storagerm.log和sdrsinjector.log文件中出现日志涌出。这种情况可能会导致快速日志轮换。本版本已修复该问题。修复程序会将一些日志从常规日志移至 Log_Trivia,以防止进行额外的日志记录。
| 修补程序类别 | 缺陷修复 |
| 修补程序严重性 | 重要 |
| 需要重新引导主机 | 是 |
| 需要迁移或关闭虚拟机 | 是 |
| 受影响的硬件 | 不适用 |
| 受影响的软件 | 不适用 |
| 包含的 VIB |
|
| 已修复的 PR | 2424231 |
| 相关的 CVE 编号 | 不适用 |
此修补程序更新了 vmkusbv VIB 以解决下列问题:
- PR 2424231:由于 USB 存储设备中存在重复的 ID,无法更新 ESXi 主机
某些 USB 存储设备不支持设备标识查询请求以及使用与序列号查询相同的值,或甚至使用相同的序列号描述符。使用此类设备的多个 LUN 可能无法访问 ESXi 主机的引导槽分区,而默认设置为
/tmp目录。因此,ESXi 主机更新失败。本版本已解决该问题。
| 修补程序类别 | 缺陷修复 |
| 修补程序严重性 | 重要 |
| 需要重新引导主机 | 是 |
| 需要迁移或关闭虚拟机 | 是 |
| 受影响的硬件 | 不适用 |
| 受影响的软件 | 不适用 |
| 包含的 VIB |
|
| 已修复的 PR | 不适用 |
| 相关的 CVE 编号 | 不适用 |
此修补程序更新了 net-vmxnet3 VIB。
| 修补程序类别 | 缺陷修复 |
| 修补程序严重性 | 重要 |
| 需要重新引导主机 | 是 |
| 需要迁移或关闭虚拟机 | 是 |
| 受影响的硬件 | 不适用 |
| 受影响的软件 | 不适用 |
| 包含的 VIB |
|
| 已修复的 PR | 2438108 |
| 相关的 CVE 编号 | 不适用 |
此修补程序更新了 elx-esx-libelxima.so VIB 以解决下列问题:
- PR 2438108:如果 /scratch/log/ 暂时不可用,Emulex 驱动程序日志可能会填满 /var 文件系统日志
Emulex 驱动程序可能会在
/var/logs/EMU/mili/mili2d.log中写入日志,并填满 RAM 驱动器的 40 MB/var文件系统日志。以前的修复将 Emulex 驱动程序的写入更改为/scratch/log/文件夹,而不是/var/log/文件夹,以防止出现此问题。但是,当/scratch/log/文件夹暂时不可用时,/var/log/EMU/mili/mili2d.log仍会定期用于日志记录。本版本已解决该问题。
| 修补程序类别 | 缺陷修复 |
| 修补程序严重性 | 重要 |
| 需要重新引导主机 | 是 |
| 需要迁移或关闭虚拟机 | 是 |
| 受影响的硬件 | 不适用 |
| 受影响的软件 | 不适用 |
| 包含的 VIB |
|
| 已修复的 PR | 不适用 |
| 相关的 CVE 编号 | 不适用 |
此修补程序更新了 native-misc-drivers VIB。
| 修补程序类别 | 安全 |
| 修补程序严重性 | 严重 |
| 需要重新引导主机 | 是 |
| 需要迁移或关闭虚拟机 | 是 |
| 受影响的硬件 | 不适用 |
| 受影响的软件 | 不适用 |
| 包含的 VIB |
|
| 已修复的 PR | 不适用 |
| CVE 编号 | CVE-2019-5544 |
此修补程序更新了 esx-base、esx-update、vsan 和 vsanhealth VIB。
ESXi 中使用的 OpenSLP 存在堆覆盖问题。此问题可能允许能够对 ESXi 主机上的端口 427 进行网络访问的恶意使用者覆盖 OpenSLP 服务的堆,从而导致远程代码执行。常见漏洞与暴露方案 (cve.mitre.org) 分配给此问题的标识符为 CVE-2019-5544。有关详细信息,请参见 VMware 安全公告 VMSA-2019-0022。
| 修补程序类别 | 安全 |
| 修补程序严重性 | 重要 |
| 需要重新引导主机 | 否 |
| 需要迁移或关闭虚拟机 | 否 |
| 受影响的硬件 | 不适用 |
| 受影响的软件 | 不适用 |
| 包含的 VIB |
|
| 已修复的 PR | 2377204 |
| CVE 编号 | 不适用 |
此修补程序更新了 tools-light VIB。
以下 VMware Tools ISO 映像与 ESXi670-201912001 捆绑在一起:
windows.iso:适用于 Windows Vista (SP2) 或更高版本的 VMware Tools 11.0.1 ISO 映像linux.iso:适用于安装了 glibc 2.5 或更高版本的 Linux 操作系统的 VMware Tools 10.3.21 ISO 映像
以下 VMware Tools 10.3.10 ISO 映像可供下载:
solaris.iso:适用于 Solaris 的 VMware Tools 映像darwin.iso:适用于 OSX 的 VMware Tools 映像
下载未与 ESXi 捆绑的平台对应的 VMware Tools 时,请遵循以下文档中列出的步骤:
| 配置文件名称 | ESXi-6.7.0-20191204001-standard |
| 内部版本 | 有关内部版本信息,请参见页面顶部。 |
| 供应商 | VMware, Inc. |
| 发布日期 | 2019 年 12 月 5 日 |
| 接受级别 | 合作伙伴支持 |
| 受影响的硬件 | 不适用 |
| 受影响的软件 | 不适用 |
| 受影响的 VIB |
|
| 已修复的 PR | 2403863、2379544、2400052、2396958、2411015、2430010、2421035、2388157、2407141、2387638、2448171、2423301、2367001、2419339、2445066、2432096、2382664、2432530、2240272、2382662、2389011、2400262、2409342、2411738、2411907、2412159、2413837、2380198、2417593、2418327、2423588、2430947、2434152、2349230、2311565、2412845、2409136、2340752、2444667、2398163、2416514、2412475、2435882、2386978、2436227、2411494、2424231、2438108、2390792 |
| 相关的 CVE 编号 | 不适用 |
- 此修补程序更新了以下问题:
-
从硬件管理控制台 (BMC) 或通过按物理 NMI 按钮请求 NMI 时,必定导致 ESXi 主机出现故障并显示紫色诊断屏幕,且转储核心。此时不会发生任何其他情况,ESXi 将继续运行。
-
迁移到较新版本的 ESXi 时,客户机操作系统启动重新引导后,Windows 虚拟机可能会出现故障。将出现蓝屏并显示
不支持多处理器配置 (MULTIPROCESSOR CONFIGURATION NOT SUPPORTED)错误消息。此修复可防止在迁移过程中修改客户机 CPUID 的x2APIC id字段。 -
SQLite 数据库已更新到版本 3.29.0。
-
无法解析 ESXi 主机的 DNS 短名称。您会看到类似以下内容的错误:
nslookup <shortname>** server can't find <shortname>: SERVFAIL
完全限定域名 (FQDN) 按预期进行解析。 -
如果使用 CIM 客户端或 CLI 对类
VMware_KernelIPv4ProtocolEndpoint运行查询,查询将不会返回 VMkernel 网卡实例。当 IP 范围为 128.x.x.x 和更高时,会出现此问题。 -
在 ESXi 6.7 中,将不再支持 PDL 退出通知,但可插入存储架构 (PSA) 可能仍会针对此类事件向 VMFS 层发送通知。这可能会导致 ESXi 主机出现故障并显示紫色诊断屏幕。
-
如果为目标设备启用隐式非对称逻辑单元访问 (ALUA),则
action_OnRetryErrors方法会在尝试传递 I/O 请求 40 次后丢弃路径。如果目标正处于控制器重置过程中,并且切换路径所用的时间超过 40 次重试所用的时间,则该路径将标记为“不活动”。这可能会导致设备出现全部路径异常 (APD) 状况。 -
要通过使用 vCenter Server 创建 vSAN 数据存储,需要
+Host.Config.Storage权限。此权限允许访问 vCenter Server 系统管理的其他数据存储,包括卸载这些数据存储。 -
vSAN 数据存储上用于多写入器模式(例如 Oracle RAC)的共享虚拟磁盘必须置备为厚置备快速置零。但是,vSphere Client 不允许将虚拟磁盘置备为厚置备快速置零。
-
当在客户机操作系统中同时启用 vSphere FT 和 GART 时,可能会看到由于争用情况造成的意外故障切换或蓝色诊断屏幕。vSphere FT 会扫描客户机页表以查找脏页并生成位图。为避免发生冲突,每个 vCPU 扫描单独的页范围。但是,如果同时启用 GART,它可能会将客户机物理页码 (PPN) 映射到已映射的区域。此外,多个 PPN 也可能会映射到同一个总线内存页码 (BPN)。这会导致两个 vCPU 在处理不同区域中的两个 PPN 时对位图中的同一个 QWORD 进行写操作。
-
TLS 证书通常按由根 CA、中间 CA 然后叶证书组成的签名链进行组织,其中叶证书会指定特定服务器。vCenter Server 系统要求根 CA 仅包含标记为能够对其他证书进行签名的证书,但不会强制执行此要求。因此,可以将非 CA 叶证书添加到根 CA 列表。先前版本会忽略非 CA 叶证书,而 ESXi 6.7 Update 3 会对无效的 CA 链引发错误,并阻止 vCenter Server 完成添加主机工作流。
-
将启用了 CBT 的虚拟机恢复到不是内存快照的快照时,如果使用
QueryChangedDiskAreas()API 调用,则可能会看到InvalidArgument错误。 -
将 vSphere Virtual Volumes 数据存储上的多个虚拟机关闭电源或删除时,ESXi 主机可能会出现故障并显示紫色诊断屏幕。您会看到屏幕上出现一条消息,指示出现 PF 异常 14。此问题可能会影响多个主机。
-
由于物理 CPU 锁定,某些使用 AMD 处理器的 HPE 服务器可能会出现故障并显示紫色诊断屏幕。当 HPE 服务器运行使用 HPE VIB 安装的 HPE 模块和管理代理时,会出现该问题。您可能会看到类似以下内容的消息:
2019-05-22T09:04:01.510Z cpu21:65700)WARNING: Heartbeat: 794: PCPU 0 didn't have a heartbeat for 7 seconds; *may* be locked up.
2019-05-22T09:04:01.510Z cpu0:65575)ALERT: NMI: 689: NMI IPI: RIPOFF(base):RBP:CS [0x8a46f2(0x418017e00000):0x43041572e040:0x4010] (Src 0x1, CPU0) -
在仅具有
PCIe _HPX记录设置的 PCI 热插拔插槽上热添加设备时,可能无法正确设置热添加设备中的某些 PCIe 寄存器。这会导致 PCIe AER 寄存器设置缺失或不正确。例如,AER 驱动程序控件或 AER 掩码寄存器可能未初始化。 -
如果在
/etc/sysconfig/proxy中配置了 HTTPS 代理,但 vCenter Server 系统没有 Internet 访问权限,则 vSAN Health Service 将超时,并且无法访问。 -
ESXi670-201912001 在批处理模式下实施
UnbindVirtualVolumes()方法以解除 VMware vSphere Virtual Volumes 的绑定。以前,解除绑定时,每个 vSphere Virtual Volumes 占用一个连接。有时,这会导致占用 vStorage APIs for Storage Awareness (VASA) 提供程序的所有可用连接,并延迟其他 API 调用的响应或者使其他 API 调用彻底失败。 -
在双主机 vSAN 集群上的网络分区期间,一个或多个 vSAN 对象可能会暂时不可访问,持续时间大约为 30 秒。首选主机发生故障时可能会出现罕见的争用情况,从而导致出现该问题。
-
如果延伸集群没有用于见证流量的路由,或者防火墙设置阻止了用于见证流量的端口 80,则 vSAN 性能服务无法从 ESXi 主机收集性能统计信息。发生这种情况时,性能服务运行状况检查会显示以下警告:
主机未提供统计信息 (Hosts Not Contributing Stats)。 -
使用 vSphere Authentication Proxy 将 ESXi 主机添加到 AD 域可能会间歇性失败,并显示错误代码
41737,此代码与错误消息LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN相对应。 -
在使用 AMD EPYC 7002 系列处理器的 vCenter Server 系统中,具有 PCI 直通设备的虚拟机可能无法打开电源。在
vmkernel.log中,您会看到类似以下内容的消息:4512 2019-08-06T06:09:55.058Z cpu24:1001397137)AMDIOMMU: 611: IOMMU 0000:20:00.2: Failed to allocate IRTE for IOAPIC ID 243 vector 0x3f
4513 2019-08-06T06:09:55.058Z cpu24:1001397137)WARNING: IOAPIC: 1238: IOAPIC Id 243: Failed to allocate IRTE for vector 0x3f在 AMD IOMMU 中断重新映射程序中,IOAPIC 中断会使用与矢量编号相等的 IRTE 索引。在某些情况下,非 IOAPIC 中断可能会使用 IOAPIC 中断所需的索引。
-
通过 ESXi670-201912001,可以选择在 vmxnet3 后端禁用最大传输单元 (MTU) 检查,以使数据包长度不超过 vNIC MTU。默认行为是执行 MTU 检查。但是,如果使用 vmxnet3,执行此检查后,可能会看到丢弃的数据包增加。有关详细信息,请参见 VMware 知识库文章 75213。
-
刷新或重构 Horizon 链接克隆桌面时,将随之执行重新计算操作并且可能需要很长时间。重新计算操作延迟可能会导致桌面摘要文件配置错误。这将导致所有重新计算 I/O 最终都在副本磁盘中执行。副本中的 I/O 拥堵导致摘要重新计算时间延长。
-
在主机配置文件修复过程中,
/etc/vmware/config中阻止的参数(如增强型 vMotion 兼容性 (EVC) 参数)可能会丢失。这会导致虚拟机从较旧的芯片组(如 Haswell)打开电源,而不是从较新的芯片组(如 Broadwell)打开电源。 -
配置了多 vMotion VMNIC 的 vSAN 集群可能会报告由 vSAN 运行状况
vMotion 引发的无效警报:基本 (单播) 连接检查 (Basic (unicast) connectivity check)。 -
在某些 vSAN 环境中,ESXi 主机上运行的 cmmdsTimeMachine 服务会在启动不久后失败。当监视程序进程消耗过多内存时,会出现此问题。
-
libPNG 库已更新到 libpng-1.6.37。
-
在某些使用自定义 SSL 证书链的环境中会出现该问题。vSAN 性能服务无法从一个或多个 ESXi 主机收集 vSAN 性能衡量指标。Health Service 会发出警告,如
主机未提供统计信息 (Hosts Not Contributing Stats)。 -
主机名或 IP 网络上行链路冗余警报报告 ESXi 主机的 vSphere 标准交换机或分布式交换机上的上行链路冗余丢失。冗余物理网卡断开,或未分配给交换机。在某些情况下,当多个 VMNIC 断开时,即使其中一个 VMNIC 已连接,而其余 VMNIC 可能仍处于断开状态,警报也会重置为绿色。
-
在某些情况下,为大量虚拟分布式交换机端口分配的内存会超出
dvsLargeHeap参数。这可能会导致 hostd 服务或运行命令失败。 -
在 iLOK USB 密钥设备直通过程中,虚拟机可能会出现故障并显示 VMX 应急错误消息。您会在虚拟机日志文件 vmware.log 中看到如下类似错误:
PANIC: Unexpected signal: 11。 -
在创建或挂载 vSAN 磁盘组期间,ESXi 主机可能会出现故障并显示紫色诊断屏幕。此问题由
NULL指针取消引用所致。您可以在回溯追踪中看到类似的信息:[email protected]#0.0.0.1+0x203
[email protected]#0.0.0.1+0x358
[email protected]#0.0.0.1+0x1a4
[email protected]#0.0.0.1+0x590
vmkWorldFunc@vmkernel#nover+0x4f
CpuSched_StartWorld@vmkernel#nover+0x77 -
如果 CIM 提供程序由于某种原因而失败,则轻量级 CIM 代理程序 (SFCB) 服务会将其重新启动,但该提供程序可能不会保留所有现有的指示订阅。因此,您可能不会收到硬件相关错误事件的 CIM 指示。
-
如果您尝试重新扫描 HBA 和 VMFS 卷或获取支持包,则 ESXi 主机可能会在引导后仅检测到随机的几个 LUN 且可能会断开连接。该问题是由用于查找 SCSI 路径和读取容量的助手线程之间的死锁所致。因此,设备发现会失败。
-
全新安装或升级到 ESXi 6.7 Update 3 后,由于某些计算机上 ESXi 引导加载程序与 UEFI 固件之间不兼容,ESXi 主机可能无法在 UEFI 模式下引导。您会看到类似以下内容的消息,这些消息显示为白色和红色并具有黑色背景:
正在关闭固件服务 (Shutting down firmware services)...
页面分配错误: (Page allocation error:)资源不足 (Out of resources)
无法关闭引导服务 (Failed to shutdown the boot services)。
不可恢复的错误 (Unrecoverable error)
如果从先前版本升级到 ESXi 6.7 Update 3,并且 6.7 Update 3 从未成功引导,该故障会使 ESXi Hypervisor 恢复自动回滚到执行升级前的安装。但是,计算机仍无法引导,因为 Hypervisor 恢复无法回滚引导加载程序。 -
在重置或重新引导期间,失效参数可能会导致错误地处理来自直通设备的中断信息。因此,在重置或重新引导后,具有 PCI 直通设备的虚拟机可能无法打开电源。
-
固件版本为 1.30 的 HPE 服务器可能会将 I/O 模块传感器的状态报告为警告。您可能会看到类似以下内容的消息:
[设备] I/O 模块 n ALOM_Link_Pn ([Device] I/O Module n ALOM_Link_Pn)或[设备] I/O 模块 n NIC_Link_Pn ([Device] I/O module n NIC_Link_Pn)。 -
如果为
vmx.log.rotateSize参数配置的限制较小,VMX 进程可能会在打开电源或 vSphere vMotion 期间失败。如果为vmx.log.rotateSize参数设置的值小于 100 KB,则出现这些问题的概率会增加。 -
如果网络中同时存在 MLDv1 和 MLDv2 设备且禁用了全局 IPv6 地址,当 ESXi 主机恰好在释放内存区域与将其分配给另一个任务之间的时间内尝试访问该内存区域时,由于出现非常罕见的争用情况,该主机可能会在关闭期间出现故障并显示紫色诊断屏幕。ESXi 6.7 Update 2 中已修复此问题。但是,此修复在 ESXi 主机关闭期间发现了另一个问题,即禁用 IPv6 时出现
NULL指针取消引用。 -
您可能会在 vmkernel 日志中看到来自 AMD 服务器的多个如下类似 IOMMU 警告:
WARNING: AMDIOMMU: 222: completion wait bit is not set after a while!
AMD IOMMU 硬件在处理COMPLETION_WAIT命令时可能会很慢。因此,系统可能会传播未完成的无效请求,从而导致在 DMA 事务期间 IOMMU TLB 中出现失效映射。 -
升级到 ESXi 6.7 Update 3 后,可能会在 ESXi 主机上看到触发了
Sensor -1类型的硬件运行状况警报,但实际上未发生问题。如果您在 vCenter Server 系统中针对硬件传感器状态警报配置了电子邮件通知,这可能会导致您收到过多的电子邮件警示。如果统计信息、事件、警报和任务 (SEAT) 目录超过 95% 阈值,这些邮件可能会导致 vCenter Server 数据库中出现存储问题。 -
在某些情况下,运行 ESXi 6.7 Update 3 的 ESXi 主机可能需要很长时间才能完成任务,如进入或退出维护模式或者连接到 vCenter Server 系统。响应延迟可能长达 30 分钟。CIM 服务尝试在通用锁定下定期刷新存储和数字传感器数据时会出现这种情况,从而导致 hostd 线程等待响应。
-
在某些情况下,SEsparse I/O 线程可能会在非阻止线程上下文中暂停或被阻止。因此,ESXi 主机会进入紧急状态,出现故障并显示紫色诊断屏幕。
-
如果 ESXi 主机由于某种原因无法将内存分配给 Netqueue 中的筛选器,则该主机可能会出现故障并显示紫色诊断屏幕。
-
在某些情况下,自动异步回收 VMFS6 数据存储中的可用空间(也称为取消映射)运行时所用的空间回收优先级可能高于配置的优先级。因此,您可能会断开与数据存储的连接,或者看到从新卷中移除了厚置备快速置零 (EZT) 和厚置备延迟置零 (LZT) VMDK。如果空间回收优先级小于 1 GBps,您可能还会看到取消映射率增加,具体取决于卷中的碎片。
-
某些 USB 存储设备不支持设备标识查询请求以及使用与序列号查询相同的值,或甚至使用相同的序列号描述符。使用此类设备的多个 LUN 可能无法访问 ESXi 主机的引导槽分区,而默认设置为
/tmp目录。因此,ESXi 主机更新失败。 -
Emulex 驱动程序可能会在
/var/logs/EMU/mili/mili2d.log中写入日志,并填满 RAM 驱动器的 40 MB/var文件系统日志。以前的修复将 Emulex 驱动程序的写入更改为/scratch/log/文件夹而不是/var/log/文件夹,以防止出现此问题。但是,当/scratch/log/文件夹暂时不可用时,/var/log/EMU/mili/mili2d.log仍会定期用于日志记录。 -
某些 Storage I/O Control 日志可能会导致
storagerm.log和sdrsinjector.log文件中出现日志涌出。这种情况可能会导致快速日志轮换。
-
| 配置文件名称 | ESXi-6.7.0-20191204001-no-tools |
| 内部版本 | 有关内部版本信息,请参见页面顶部。 |
| 供应商 | VMware, Inc. |
| 发布日期 | 2019 年 12 月 5 日 |
| 接受级别 | 合作伙伴支持 |
| 受影响的硬件 | 不适用 |
| 受影响的软件 | 不适用 |
| 受影响的 VIB |
|
| 已修复的 PR | 2403863、2379544、2400052、2396958、2411015、2430010、2421035、2388157、2407141、2387638、2448171、2423301、2367001、2419339、2445066、2432096、2382664、2432530、2240272、2382662、2389011、2400262、2409342、2411738、2411907、2412159、2413837、2380198、2417593、2418327、2423588、2430947、2434152、2349230、2311565、2412845、2409136、2340752、2444667、2398163、2416514、2412475、2435882、2386978、2436227、2411494、2424231、2438108、2390792 |
| 相关的 CVE 编号 | 不适用 |
- 此修补程序更新了以下问题:
-
从硬件管理控制台 (BMC) 或通过按物理 NMI 按钮请求 NMI 时,必定导致 ESXi 主机出现故障并显示紫色诊断屏幕,且转储核心。此时不会发生任何其他情况,ESXi 将继续运行。
-
迁移到较新版本的 ESXi 时,客户机操作系统启动重新引导后,Windows 虚拟机可能会出现故障。将出现蓝屏并显示
不支持多处理器配置 (MULTIPROCESSOR CONFIGURATION NOT SUPPORTED)错误消息。此修复可防止在迁移过程中修改客户机 CPUID 的x2APIC id字段。 -
SQLite 数据库已更新到版本 3.29.0。
-
无法解析 ESXi 主机的 DNS 短名称。您会看到类似以下内容的错误:
nslookup <shortname>** server can't find <shortname>: SERVFAIL
完全限定域名 (FQDN) 按预期进行解析。 -
如果使用 CIM 客户端或 CLI 对类
VMware_KernelIPv4ProtocolEndpoint运行查询,查询将不会返回 VMkernel 网卡实例。当 IP 范围为 128.x.x.x 和更高时,会出现此问题。 -
在 ESXi 6.7 中,将不再支持 PDL 退出通知,但可插入存储架构 (PSA) 可能仍会针对此类事件向 VMFS 层发送通知。这可能会导致 ESXi 主机出现故障并显示紫色诊断屏幕。
-
如果为目标设备启用隐式非对称逻辑单元访问 (ALUA),则
action_OnRetryErrors方法会在尝试传递 I/O 请求 40 次后丢弃路径。如果目标正处于控制器重置过程中,并且切换路径所用的时间超过 40 次重试所用的时间,则该路径将标记为“不活动”。这可能会导致设备出现全部路径异常 (APD) 状况。 -
要通过使用 vCenter Server 创建 vSAN 数据存储,需要
+Host.Config.Storage权限。此权限允许访问 vCenter Server 系统管理的其他数据存储,包括卸载这些数据存储。 -
vSAN 数据存储上用于多写入器模式(例如 Oracle RAC)的共享虚拟磁盘必须置备为厚置备快速置零。但是,vSphere Client 不允许将虚拟磁盘置备为厚置备快速置零。
-
当在客户机操作系统中同时启用 vSphere FT 和 GART 时,可能会看到由于争用情况造成的意外故障切换或蓝色诊断屏幕。vSphere FT 会扫描客户机页表以查找脏页并生成位图。为避免发生冲突,每个 vCPU 扫描单独的页范围。但是,如果同时启用 GART,它可能会将客户机物理页码 (PPN) 映射到已映射的区域。此外,多个 PPN 也可能会映射到同一个总线内存页码 (BPN)。这会导致两个 vCPU 在处理不同区域中的两个 PPN 时对位图中的同一个 QWORD 进行写操作。
-
TLS 证书通常按由根 CA、中间 CA 然后叶证书组成的签名链进行组织,其中叶证书会指定特定服务器。vCenter Server 系统要求根 CA 仅包含标记为能够对其他证书进行签名的证书,但不会强制执行此要求。因此,可以将非 CA 叶证书添加到根 CA 列表。先前版本会忽略非 CA 叶证书,而 ESXi 6.7 Update 3 会对无效的 CA 链引发错误,并阻止 vCenter Server 完成添加主机工作流。
-
将启用了 CBT 的虚拟机恢复到不是内存快照的快照时,如果使用
QueryChangedDiskAreas()API 调用,则可能会看到InvalidArgument错误。 -
将 vSphere Virtual Volumes 数据存储上的多个虚拟机关闭电源或删除时,ESXi 主机可能会出现故障并显示紫色诊断屏幕。您会看到屏幕上出现一条消息,指示出现 PF 异常 14。此问题可能会影响多个主机。
-
由于物理 CPU 锁定,某些使用 AMD 处理器的 HPE 服务器可能会出现故障并显示紫色诊断屏幕。当 HPE 服务器运行使用 HPE VIB 安装的 HPE 模块和管理代理时,会出现该问题。您可能会看到类似以下内容的消息:
2019-05-22T09:04:01.510Z cpu21:65700)WARNING: Heartbeat: 794: PCPU 0 didn't have a heartbeat for 7 seconds; *may* be locked up.
2019-05-22T09:04:01.510Z cpu0:65575)ALERT: NMI: 689: NMI IPI: RIPOFF(base):RBP:CS [0x8a46f2(0x418017e00000):0x43041572e040:0x4010] (Src 0x1, CPU0) -
在仅具有
PCIe _HPX记录设置的 PCI 热插拔插槽上热添加设备时,可能无法正确设置热添加设备中的某些 PCIe 寄存器。这会导致 PCIe AER 寄存器设置缺失或不正确。例如,AER 驱动程序控件或 AER 掩码寄存器可能未初始化。 -
如果在
/etc/sysconfig/proxy中配置了 HTTPS 代理,但 vCenter Server 系统没有 Internet 访问权限,则 vSAN Health Service 将超时,并且无法访问。 -
ESXi670-201912001 在批处理模式下实施
UnbindVirtualVolumes()方法以解除 VMware vSphere Virtual Volumes 的绑定。以前,解除绑定时,每个 vSphere Virtual Volumes 占用一个连接。有时,这会导致占用 vStorage APIs for Storage Awareness (VASA) 提供程序的所有可用连接,并延迟其他 API 调用的响应或者使其他 API 调用彻底失败。 -
在双主机 vSAN 集群上的网络分区期间,一个或多个 vSAN 对象可能会暂时不可访问,持续时间大约为 30 秒。首选主机发生故障时可能会出现罕见的争用情况,从而导致出现该问题。
-
如果延伸集群没有用于见证流量的路由,或者防火墙设置阻止了用于见证流量的端口 80,则 vSAN 性能服务无法从 ESXi 主机收集性能统计信息。发生这种情况时,性能服务运行状况检查会显示以下警告:
主机未提供统计信息 (Hosts Not Contributing Stats)。 -
使用 vSphere Authentication Proxy 将 ESXi 主机添加到 AD 域可能会间歇性失败,并显示错误代码
41737,此代码与错误消息LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN相对应。 -
在使用 AMD EPYC 7002 系列处理器的 vCenter Server 系统中,具有 PCI 直通设备的虚拟机可能无法打开电源。在
vmkernel.log中,您会看到类似以下内容的消息:4512 2019-08-06T06:09:55.058Z cpu24:1001397137)AMDIOMMU: 611: IOMMU 0000:20:00.2: Failed to allocate IRTE for IOAPIC ID 243 vector 0x3f
4513 2019-08-06T06:09:55.058Z cpu24:1001397137)WARNING: IOAPIC: 1238: IOAPIC Id 243: Failed to allocate IRTE for vector 0x3f在 AMD IOMMU 中断重新映射程序中,IOAPIC 中断会使用与矢量编号相等的 IRTE 索引。在某些情况下,非 IOAPIC 中断可能会使用 IOAPIC 中断所需的索引。
-
通过 ESXi670-201912001,可以选择在 vmxnet3 后端禁用最大传输单元 (MTU) 检查,以使数据包长度不超过 vNIC MTU。默认行为是执行 MTU 检查。但是,如果使用 vmxnet3,执行此检查后,可能会看到丢弃的数据包增加。有关详细信息,请参见 VMware 知识库文章 75213。
-
刷新或重构 Horizon 链接克隆桌面时,将随之执行重新计算操作并且可能需要很长时间。重新计算操作延迟可能会导致桌面摘要文件配置错误。这将导致所有重新计算 I/O 最终都在副本磁盘中执行。副本中的 I/O 拥堵导致摘要重新计算时间延长。
-
在主机配置文件修复过程中,
/etc/vmware/config中阻止的参数(如增强型 vMotion 兼容性 (EVC) 参数)可能会丢失。这会导致虚拟机从较旧的芯片组(如 Haswell)打开电源,而不是从较新的芯片组(如 Broadwell)打开电源。 -
配置了多 vMotion VMNIC 的 vSAN 集群可能会报告由 vSAN 运行状况
vMotion 引发的无效警报:基本 (单播) 连接检查 (Basic (unicast) connectivity check)。 -
在某些 vSAN 环境中,ESXi 主机上运行的 cmmdsTimeMachine 服务会在启动不久后失败。当监视程序进程消耗过多内存时,会出现此问题。
-
libPNG 库已更新到 libpng-1.6.37。
-
在某些使用自定义 SSL 证书链的环境中会出现该问题。vSAN 性能服务无法从一个或多个 ESXi 主机收集 vSAN 性能衡量指标。Health Service 会发出警告,如
主机未提供统计信息 (Hosts Not Contributing Stats)。 -
主机名或 IP 网络上行链路冗余警报报告 ESXi 主机的 vSphere 标准交换机或分布式交换机上的上行链路冗余丢失。冗余物理网卡断开,或未分配给交换机。在某些情况下,当多个 VMNIC 断开时,即使其中一个 VMNIC 已连接,而其余 VMNIC 可能仍处于断开状态,警报也会重置为绿色。
-
在某些情况下,为大量虚拟分布式交换机端口分配的内存会超出
dvsLargeHeap参数。这可能会导致 hostd 服务或运行命令失败。 -
在 iLOK USB 密钥设备直通过程中,虚拟机可能会出现故障并显示 VMX 应急错误消息。您会在虚拟机日志文件 vmware.log 中看到如下类似错误:
PANIC: Unexpected signal: 11。 -
在创建或挂载 vSAN 磁盘组期间,ESXi 主机可能会出现故障并显示紫色诊断屏幕。此问题由
NULL指针取消引用所致。您可以在回溯追踪中看到类似的信息:[email protected]#0.0.0.1+0x203
[email protected]#0.0.0.1+0x358
[email protected]#0.0.0.1+0x1a4
[email protected]#0.0.0.1+0x590
vmkWorldFunc@vmkernel#nover+0x4f
CpuSched_StartWorld@vmkernel#nover+0x77 -
如果 CIM 提供程序由于某种原因而失败,则轻量级 CIM 代理程序 (SFCB) 服务会将其重新启动,但该提供程序可能不会保留所有现有的指示订阅。因此,您可能不会收到硬件相关错误事件的 CIM 指示。
-
如果您尝试重新扫描 HBA 和 VMFS 卷或获取支持包,则 ESXi 主机可能会在引导后仅检测到随机的几个 LUN 且可能会断开连接。该问题是由用于查找 SCSI 路径和读取容量的助手线程之间的死锁所致。因此,设备发现会失败。
-
全新安装或升级到 ESXi 6.7 Update 3 后,由于某些计算机上 ESXi 引导加载程序与 UEFI 固件之间不兼容,ESXi 主机可能无法在 UEFI 模式下引导。您会看到类似以下内容的消息,这些消息显示为白色和红色并具有黑色背景:
正在关闭固件服务 (Shutting down firmware services)...
页面分配错误: (Page allocation error:)资源不足 (Out of resources)
无法关闭引导服务 (Failed to shutdown the boot services)。
不可恢复的错误 (Unrecoverable error)
如果从先前版本升级到 ESXi 6.7 Update 3,并且 6.7 Update 3 从未成功引导,该故障会使 ESXi Hypervisor 恢复自动回滚到执行升级前的安装。但是,计算机仍无法引导,因为 Hypervisor 恢复无法回滚引导加载程序。 -
在重置或重新引导期间,失效参数可能会导致错误地处理来自直通设备的中断信息。因此,在重置或重新引导后,具有 PCI 直通设备的虚拟机可能无法打开电源。
-
固件版本为 1.30 的 HPE 服务器可能会将 I/O 模块传感器的状态报告为警告。您可能会看到类似以下内容的消息:
[设备] I/O 模块 n ALOM_Link_Pn ([Device] I/O Module n ALOM_Link_Pn)或[设备] I/O 模块 n NIC_Link_Pn ([Device] I/O module n NIC_Link_Pn)。 -
如果为
vmx.log.rotateSize参数配置的限制较小,VMX 进程可能会在打开电源或 vSphere vMotion 期间失败。如果为vmx.log.rotateSize参数设置的值小于 100 KB,则出现这些问题的概率会增加。 -
如果网络中同时存在 MLDv1 和 MLDv2 设备且禁用了全局 IPv6 地址,当 ESXi 主机恰好在释放内存区域与将其分配给另一个任务之间的时间内尝试访问该内存区域时,由于出现非常罕见的争用情况,该主机可能会在关闭期间出现故障并显示紫色诊断屏幕。ESXi 6.7 Update 2 中已修复此问题。但是,此修复在 ESXi 主机关闭期间发现了另一个问题,即禁用 IPv6 时出现
NULL指针取消引用。 -
您可能会在 vmkernel 日志中看到来自 AMD 服务器的多个如下类似 IOMMU 警告:
WARNING: AMDIOMMU: 222: completion wait bit is not set after a while!
AMD IOMMU 硬件在处理COMPLETION_WAIT命令时可能会很慢。因此,系统可能会传播未完成的无效请求,从而导致在 DMA 事务期间 IOMMU TLB 中出现失效映射。 -
升级到 ESXi 6.7 Update 3 后,可能会在 ESXi 主机上看到触发了
Sensor -1类型的硬件运行状况警报,但实际上未发生问题。如果您在 vCenter Server 系统中针对硬件传感器状态警报配置了电子邮件通知,这可能会导致您收到过多的电子邮件警示。如果统计信息、事件、警报和任务 (SEAT) 目录超过 95% 阈值,这些邮件可能会导致 vCenter Server 数据库中出现存储问题。 -
在某些情况下,运行 ESXi 6.7 Update 3 的 ESXi 主机可能需要很长时间才能完成任务,如进入或退出维护模式或者连接到 vCenter Server 系统。响应延迟可能长达 30 分钟。CIM 服务尝试在通用锁定下定期刷新存储和数字传感器数据时会出现这种情况,从而导致 hostd 线程等待响应。
-
在某些情况下,SEsparse I/O 线程可能会在非阻止线程上下文中暂停或被阻止。因此,ESXi 主机会进入紧急状态,出现故障并显示紫色诊断屏幕。
-
如果 ESXi 主机由于某种原因无法将内存分配给 Netqueue 中的筛选器,则该主机可能会出现故障并显示紫色诊断屏幕。
-
在某些情况下,自动异步回收 VMFS6 数据存储中的可用空间(也称为取消映射)运行时所用的空间回收优先级可能高于配置的优先级。因此,您可能会断开与数据存储的连接,或者看到从新卷中移除了厚置备快速置零 (EZT) 和厚置备延迟置零 (LZT) VMDK。如果空间回收优先级小于 1 GBps,您可能还会看到取消映射率增加,具体取决于卷中的碎片。
-
某些 USB 存储设备不支持设备标识查询请求以及使用与序列号查询相同的值,或甚至使用相同的序列号描述符。使用此类设备的多个 LUN 可能无法访问 ESXi 主机的引导槽分区,而默认设置为
/tmp目录。因此,ESXi 主机更新失败。 -
Emulex 驱动程序可能会在
/var/logs/EMU/mili/mili2d.log中写入日志,并填满 RAM 驱动器的 40 MB/var文件系统日志。以前的修复将 Emulex 驱动程序的写入更改为/scratch/log/文件夹而不是/var/log/文件夹,以防止出现此问题。但是,当/scratch/log/文件夹暂时不可用时,/var/log/EMU/mili/mili2d.log仍会定期用于日志记录。 -
某些 Storage I/O Control 日志可能会导致
storagerm.log和sdrsinjector.log文件中出现日志涌出。这种情况可能会导致快速日志轮换。
-
| 配置文件名称 | ESXi-6.7.0-20191201001s-standard |
| 内部版本 | 有关内部版本信息,请参见页面顶部。 |
| 供应商 | VMware, Inc. |
| 发布日期 | 2019 年 12 月 5 日 |
| 接受级别 | 合作伙伴支持 |
| 受影响的硬件 | 不适用 |
| 受影响的软件 | 不适用 |
| 受影响的 VIB |
|
| 已修复的 PR | 2377204 |
| 相关的 CVE 编号 | CVE-2019-5544 |
- 此修补程序更新了以下问题:
- ESXi 中使用的 OpenSLP 存在堆覆盖问题。此问题可能允许能够对 ESXi 主机上的端口 427 进行网络访问的恶意使用者覆盖 OpenSLP 服务的堆,从而导致远程代码执行。常见漏洞与暴露方案 (cve.mitre.org) 分配给此问题的标识符为 CVE-2019-5544。有关详细信息,请参见 VMware 安全公告 VMSA-2019-0022。
-
以下 VMware Tools ISO 映像与 ESXi670-201912001 捆绑在一起:
windows.iso:适用于 Windows Vista (SP2) 或更高版本的 VMware Tools 11.0.1 ISO 映像linux.iso:适用于安装了 glibc 2.5 或更高版本的 Linux 操作系统的 VMware Tools 10.3.21 ISO 映像
以下 VMware Tools 10.3.10 ISO 映像可供下载:
solaris.iso:适用于 Solaris 的 VMware Tools 映像darwin.iso:适用于 OSX 的 VMware Tools 映像
下载未与 ESXi 捆绑的平台对应的 VMware Tools 时,请遵循以下文档中列出的步骤:
| 配置文件名称 | ESXi-6.7.0-20191201001s-no-tools |
| 内部版本 | 有关内部版本信息,请参见页面顶部。 |
| 供应商 | VMware, Inc. |
| 发布日期 | 2019 年 12 月 5 日 |
| 接受级别 | 合作伙伴支持 |
| 受影响的硬件 | 不适用 |
| 受影响的软件 | 不适用 |
| 受影响的 VIB |
|
| 已修复的 PR | 2377204 |
| 相关的 CVE 编号 | CVE-2019-5544 |
- 此修补程序更新了以下问题:
- ESXi 中使用的 OpenSLP 存在堆覆盖问题。此问题可能允许能够对 ESXi 主机上的端口 427 进行网络访问的恶意使用者覆盖 OpenSLP 服务的堆,从而导致远程代码执行。常见漏洞与暴露方案 (cve.mitre.org) 分配给此问题的标识符为 CVE-2019-5544。有关详细信息,请参见 VMware 安全公告 VMSA-2019-0022。
-
以下 VMware Tools ISO 映像与 ESXi670-201912001 捆绑在一起:
windows.iso:适用于 Windows Vista (SP2) 或更高版本的 VMware Tools 11.0.1 ISO 映像linux.iso:适用于安装了 glibc 2.5 或更高版本的 Linux 操作系统的 VMware Tools 10.3.21 ISO 映像
以下 VMware Tools 10.3.10 ISO 映像可供下载:
solaris.iso:适用于 Solaris 的 VMware Tools 映像darwin.iso:适用于 OSX 的 VMware Tools 映像
下载未与 ESXi 捆绑的平台对应的 VMware Tools 时,请遵循以下文档中列出的步骤:
