Inhalt dieser Versionshinweise

Wichtige Information über NSX-T Data Center 3.2.0

Neuigkeiten

• Layer-2-Netzwerk
• Layer-3-Netzwerk
• Multicast
• Edge-Plattform
• Verteilte Firewall
• Distributed Intrusion Detection/Prevention-System (D-IDPS)
• Gateway-Firewall
• Neue NSX Application Platform
• Netzwerkerkennung und -antwort
• VPN
• Guest Introspection
• Verbund
• Containernetzwerk und Sicherheit
• Load Balancing
• NSX Cloud
• Betrieb und Überwachung
• Überwachung
• Benutzerfreundlichkeit und Benutzeroberfläche
• Richtlinie
• AAA und Plattformsicherheit
• Skalierung
• Lizenzierung
• Migration von NSX Data Center for vSphere zu NSX-T Data Center

Tech Preview-Funktionen

Inklusive Terminologie

Kompatibilität und Systemvoraussetzungen

Veraltete Funktionen/APIs und Änderungen des Verhaltens

• Ankündigung der Abkündigung für NSX Manager-APIs und erweiterte NSX-Benutzeroberflächen
• Ankündigung der Abkündigung des N-VDS NSX-T Host-Switches
• OpenStack und KVM
• Ankündigung der Abkündigung für NSX-T Load Balancing-APIs
• Alarme
• Abkündigung und Änderung der Live-Datenverkehrsanalyse-API
• Veraltete APIs und Änderungen des Verhaltens

Upgrade-Hinweise für diese Version

API und CLI-Ressourcen

Verfügbare Sprachen

Revisionsverlauf der Dokumente

Behobene Probleme

• Behobenes Problem 2692344: Wenn Sie den Avi Enforcement Point löschen, löscht er alle realisierten Elemente aus der Richtlinie, wodurch alle realisierten Entitäten des standardmäßigen Objekts aus der Richtlinie gelöscht werden. Durch das Hinzufügen eines neuen Enforcement Point kann das Standardobjekt nicht erneut vom Avi-Controller synchronisiert werden.

  Sie sind nicht in der Lage, die Systemstandardobjekte nach dem Löschen und der Neuerstellung des Enforcement Point von AVIConnectionInfo zu verwenden.

• Behobenes Problem 2858893: Bereinigung der Dienstbereitstellung schlägt für clusterbasierte Bereitstellung fehl.

  Keine funktionalen Auswirkungen. Fehler beim Bereinigen des Diensts, wenn versucht wird, die Registrierung von ServiceDefinion mit nicht zugeordneter ServiceDeployment oder -Instanzen aufzuheben. Bereinigung von db muss manuell/erzwungen erfolgen.

• Behobenes Problem 2557287: Die nach der Sicherung durchgeführten TNP-Updates werden nicht wiederhergestellt.

  Nach der Sicherung auf einer wiederhergestellten Appliance werden keine TNP-Updates angezeigt.

• Behobenes Problem 2679614: Wenn das API-Zertifikat auf dem lokalen Manager ausgetauscht wird, wird in der Benutzeroberfläche des globalen Managers die Meldung „Es ist ein allgemeiner Fehler aufgetreten.“ angezeigt.

  Wenn das API-Zertifikat auf dem lokalen Manager ausgetauscht wird, wird in der Benutzeroberfläche des globalen Managers die Meldung „Es ist ein allgemeiner Fehler aufgetreten.“ angezeigt.

• Behobenes Problem 2658687: Die Switchover-API des globalen Managers meldet einen Fehler, wenn die Transaktion fehlschlägt, der Failover findet aber statt.

  Die API schlägt fehl, der Switchover des globalen Managers wird jedoch abgeschlossen.

• Behobenes Problem 2652418: Langsamer Löschvorgang, wenn eine große Anzahl von Entitäten gelöscht wird.

  Das Löschen verläuft langsamer.

• Behobenes Problem 2649499: Das Erstellen einer Firewallregel dauert lange, wenn nacheinander einzelne Regeln erstellt werden.

  Die langsame API benötigt mehr Zeit, um Regeln zu erstellen.

• Behobenes Problem 2649240: Das Löschen verläuft langsam, wenn eine große Anzahl von Entitäten mithilfe einzelner DELETE-APIs gelöscht wird.

  Es dauert ausgesprochen lange, bis der Löschvorgang abgeschlossen ist.

• Behobenes Problem 2606452: Das Onboarding über die API wird blockiert.

  Die Onboarding-API schlägt mit der Fehlermeldung „Standardtransportzone auf Site nicht gefunden“ fehl.

• Behobenes Problem 2587513: Richtlinie zeigt einen Fehler an, wenn mehrere VLAN-Bereiche in einer Bridge-Profilbindung konfiguriert sind.

  Sie sehen die Fehlermeldung „UNGÜLTIGE VLAN-IDs“.

• Behobenes Problem 2662225: Wenn der aktive Edge-Knoten während der Ausführung eines S-N-Datenverkehrsstroms deaktiviert wird, kommt es zum Datenverkehrsverlust.

  Der aktuelle S-N-Datenverkehrsstrom wird auf dem aktiven Multicast-Knoten ausgeführt. Die bevorzugte Route von TOR zur Quelle sollte nur über den aktiven Multicast-Edge-Knoten verlaufen. Durch Einführung eines weiteren Edge kann der aktive Multicast-Knoten übernommen werden (Edge mit niedriger Rangfolge ist der aktive Multicast-Knoten). Beim aktuellen S-N-Datenverkehr kommt es zu einem Datenverkehrsverlust von bis zu vier Minuten. Dies wirkt sich nicht auf den neuen Datenverkehrsstrom aus oder auf den aktuellen Datenverkehrsstrom, wenn dieser angehalten und neu gestartet wird.

• Behobenes Problem 2625009: Inter-SR iBGP-Sitzungen flattern weiter, wenn zwischengeschaltete Router oder physische NICs eine niedrigere oder gleiche MTU als der Inter-SR-Port haben.

  Dies kann sich auf die standortübergreifende Konnektivität in Verbundstopologien auswirken.

• Behobenes Problem 2521230: Der für „get bgp neighbor summary“ angezeigte BFD-Status zeigt den aktuellen Status der BFD-Sitzung möglicherweise nicht richtig an.

  BGP und BFD können ihre Sitzung unabhängig einrichten. Im Rahmen von „get bgp neighbor summary“ zeigt BGP auch den BFD-Status an. Wenn das BGP ausgefallen ist, werden keine BFD-Benachrichtigungen verarbeitet und somit weiterhin der letzte bekannte Zustand angezeigt. Dies kann dazu führen, dass für BFD der veraltete Status angezeigt wird.

• Behobenes Problem 2550492: Während eines Upgrades wird vorübergehend die Meldung „Die Anmeldedaten waren falsch oder das angegebene Konto wurde gesperrt“ angezeigt und das System wird automatisch wiederhergestellt.

  Vorübergehende Fehlermeldung während des Upgrades.

• Behobenes Problem 2682480: Möglicher Fehlalarm für den Systemzustand von NCP.

  Der Alarm für den Systemzustand von NCP kann in dem Sinne unzuverlässig sein, dass er ausgelöst wird, wenn das NCP-System fehlerfrei ist.

• Behobenes Problem 2655539: Hostnamen werden auf der Seite „Standort-Manager“ der Benutzeroberfläche des globalen Managers nicht aktualisiert, wenn die Hostnamen mithilfe der Befehlszeilenschnittstelle aktualisiert werden.

  Der alte Hostname wird angezeigt.

• Behobenes Problem 2631703: Beim Sichern/Wiederherstellen einer Appliance mit vIDM-Integration wird die vIDM-Konfiguration beschädigt.

  Wenn eine Umgebung aktualisiert und/oder wiederhergestellt wurde, führt der Versuch, eine Appliance wiederherzustellen, in der die vIDM-Integration ausgeführt wird, zur Beschädigung der Integration, die Sie anschließend neu konfigurieren müssen.

• Behobenes Problem 2730109: Wenn Edge eingeschaltet wird, versucht Edge, eine OSPF-Nachbarschaft mit dem Peer unter Verwendung seiner Routerlink-IP-Adresse als OSPF-RouterID zu erstellen, obwohl ein Loopback vorhanden ist.

  Nach dem erneuten Laden von Edge wählt OSPF die Downlink-IP-Adresse (die höhere IP-Adresse) als Router-ID aus, bis die OSPF-Router-ID-Konfiguration aufgrund der Reihenfolge der Konfigurationssequenzierung empfangen wird. Der Nachbareintrag mit älterer Router-ID wird schließlich zu einem veralteten Eintrag, wenn OSPF HELLO mit der neuen Router-ID empfangen wird, und läuft nach Ablauf des Dead-Timers auf dem Peer ab.

• Behobenes Problem 2610851: Beim Filtern von Namespaces, der Computing-Sammlung oder des L2VPN-Service-Rasters werden möglicherweise keine Daten zurückgegeben, wenn bestimmte Ressourcentypfilter kombiniert werden.

  Beim gleichzeitigen Anwenden mehrerer Filter werden für einige Ressourcentypen keine Ergebnisse zurückgegeben, auch wenn Daten mit übereinstimmenden Kriterien verfügbar sind. Dieses Szenario tritt nicht häufig auf und nur in diesen Rastern mit den folgenden Filterattribut-Kombinationen: Für „Namespaces-Raster ==> Filtern von Clustername und Seite „Netzwerktopologie“ ==> L2VPN-Service, wenn ein Remote-IP-Filter Computing-Sammlung == > Filtern von ComputeManager angewendet wird

• Behobenes Problem 2482580: Die IDFW/IDS-Konfiguration wird nicht aktualisiert, wenn ein IDFW/IDS-Cluster aus vCenter gelöscht wird.

  Wenn ein Cluster, auf dem IDFW/IDS aktiviert ist, aus vCenter gelöscht wird, wird die NSX-Verwaltungsebene nicht über die erforderlichen Updates informiert. Dadurch wird die Anzahl der Cluster, auf denen IDFW/IDS aktiviert ist, verfälscht. Es gibt keine funktionalen Auswirkungen. Lediglich die Anzahl der aktivierten Cluster ist falsch.

• Behobenes Problem 2587257: In einigen Fällen wird das PMTU-Paket, das von NSX-T Edge gesendet wird, beim Erhalt am Ziel ignoriert.

  Die PMTU-Ermittlung schlägt fehl, was zur Fragmentierung und zur erneuten Zusammenstellung sowie zu Paketverlust führt. Dies kann zu Leistungseinbußen oder Ausfall des Datenverkehrs führen.

• Behobenes Problem 2622576: Fehler aufgrund einer doppelten Konfiguration werden nicht ordnungsgemäß an den Benutzer weitergegeben.

  Während das Onboarding ausgeführt wird, wird eine Meldung zu einem Fehler beim Onboarding angezeigt.

• Behobenes Problem 2638673: SRIOV vNICs für VMs werden von der Bestandsliste nicht erkannt.

  SRIOV vNICs werden im Dialogfeld „Neue SPAN-Sitzung hinzufügen“ nicht aufgeführt. Es werden keine SRIOV vNICs angezeigt, wenn Sie eine neue SPAN-Sitzung hinzufügen.

• Behobenes Problem 2643749: Die Gruppe aus der benutzerdefinierten Region, die auf einer bestimmten Site erstellt wurde, kann nicht in eine Gruppe verschachtelt werden, die zu einer vom System erstellten sitespezifischen Region gehört.

  Die Gruppe wird nicht in der sitespezifischen benutzerdefinierten Region erstellt, wenn die untergeordnete Gruppe als Mitglied für die Gruppe in der vom System erstellten Region mit dem gleichen Standort auswählt wird.

• Behobenes Problem 2805986: NSX-T verwaltete Edge-VM kann nicht bereitgestellt werden.

  NSX-T Edge-Bereitstellung schlägt fehl, wenn ESX-Benutzeroberfläche verwendet wird.

• Behobenes Problem 2685550: Der Realisierungsstatus der FW-Regel wird bei der Anwendung auf überbrückte Segmente immer als „Wird durchgeführt“ angezeigt.

  Beim Anwenden von FW-Regeln auf eine NSGroup, zu deren Mitgliedern überbrückte Segmente gehören, wird der Realisierungsstatus immer als „Wird durchgeführt“ angezeigt. Sie können den Realisierungsstatus von FW-Regeln, die auf überbrückte Segmente angewendet werden, nicht überprüfen.

Bekannte Probleme

• Problem 3025104: Host zeigt den Status „Fehlgeschlagen“ an, wenn die Wiederherstellung für eine andere IP und denselben FQDN ausgeführt wurde.

  Wenn die Wiederherstellung unter Verwendung verschiedener IP-Adressen von MP-Knoten und mithilfe desselben FQDN ausgeführt wird, können Hosts keine Verbindung mit den MP-Knoten herstellen.

  Problemumgehung: Aktualisieren Sie den DNS-Cache für den Host. Verwenden Sie den Befehl „/etc/init.d/nscd restart“.

• Problem 3012313: Das Upgrade von NSX Malware-Schutz oder NSX Network Detection and Response von Version 3.2.0 auf NSX ATP 3.2.1 oder 3.2.1.1 schlägt fehl.

  Nachdem die NSX Application Platform erfolgreich von NSX 3.2.0 auf NSX ATP 3.2.1 oder 3.2.1.1 aktualisiert wurde, schlägt das Upgrade von NSX Malware-Schutz (Malware Protection, MP) oder NSX Network Detection and Response (NDR) mit einem oder mehreren der folgenden Symptome fehl.

  1. Im Fenster der Upgrade-Benutzeroberfläche wird ein Status FAILED für NSX NDR und die Cloud-Connector-Pods angezeigt.

  2. Bei einem NSX NDR-Upgrade befinden sich einige Pods mit dem Präfix nsx-ndr im Status ImagePullBackOff.

  3. Bei einem NSX MP-Upgrade befinden sich einige Pods mit dem Präfix cloud-connector im Status ImagePullBackOff.

  4. Das Upgrade schlägt fehl, nachdem Sie auf UPGRADE geklickt haben, aber die vorherigen NSX MP- und NSX NDR-Funktionen funktionieren immer noch genauso wie vor dem Start des Upgrades. Die NSX Application Platform kann jedoch instabil werden.

  Problemumgehung: Informationen hinzu finden Sie im VMware-Knowledgebase-Artikel 89418.

• Problem 2989696: Geplante Sicherungen können nach dem Wiederherstellungsvorgang von NSX Manager nicht gestartet werden.

  Geplante Sicherung generiert keine Sicherungen. Manuelle Sicherungen funktionieren weiterhin.

  Problemumgehung: Weitere Informationen hierzu finden Sie im Knowledgebase-Artikel 89059.

• Problem 3015843: Der Bezeichner des DFW-Paketprotokolls wurde in NSX-T 3.2.0 geändert und in den Versionshinweisen nicht erwähnt.

  Es können keine DFW-Paketprotokolle mit einem Protokollbezeichner aus früheren Versionen angezeigt werden.

  Die folgenden NSX-T Syslog-Felder wurden geändert, um der RFC-Konformität zu entsprechen:

  • FIREWALL_PKTLOG geändert in FIREWALL-PKTLOG

  • DLB_PKTLOG geändert in DLB-PKTLOG

  • IDPS_EVT geändert in IDPS-EVT

  • nsx_logger geändert in nsx-logger

  Da diese Änderungen zur Entsprechung der RFC-Konformität vorgenommen wurden, gibt es kein vorhersehbares Szenario zukünftiger NSX-Versionen, bei denen die Protokollstruktur zu einer aus früheren Versionen zurückgesetzt wird.

• Problem 2355113: Arbeitslast-VMs, auf denen RedHat und CentOS mit beschleunigten Netzwerkinstanzen in Azure ausgeführt werden, werden nicht unterstützt.

  Wenn in Azure das beschleunigte Netzwerk auf RedHat- oder auf CentOS-basierten Betriebssystemen mit installiertem NSX Agent aktiviert ist, erhält die Ethernet-Schnittstelle keine IP-Adresse.

  Problemumgehung: Deaktivieren Sie beschleunigte Netzwerke für RedHat- und CentOS-basierte Betriebssysteme.

• Problem 2283559: Die MP-APIs „/routing-table“ und „/forwarding-table“ geben einen Fehler zurück, wenn der Edge mehr als 65.000 Routen für RIB und mehr als 100.000 Routen für FIB aufweist.

  Wenn der Edge mehr als 65.000 Routen für RIB und mehr als 100.000 Routen für FIB aufweist, nimmt die Anforderung von MP an den Edge mehr als 10 Sekunden in Anspruch, und dies führt zu einer Zeitüberschreitung. Dies ist eine schreibgeschützte API und wirkt sich nur dann aus, wenn die mehr als 65.000 Routen für RIB und mehr als 100.000 Routen für FIB mithilfe der API/UI heruntergeladen werden müssen.

  Problemumgehung: Es gibt zwei Optionen zum Abrufen von RIB/FIB. Diese APIs unterstützen Filteroptionen, die auf Netzwerkpräfixen oder Routentypen beruhen. Verwenden Sie diese Optionen zum Herunterladen der gewünschten Routen. Wenn die gesamte RIB-/FIB-Tabelle erforderlich ist, ist eine CLI-Unterstützung erforderlich, und in diesem Fall tritt keine Zeitüberschreitung auf.

• Problem 2693576: Transportknoten zeigt „NSX-Installation fehlgeschlagen“ nach dem Upgrade von KVM RHEL 7.9 auf RHEL 8.2 an.

  Nach dem Upgrade von RHEL 7.9 auf 8.2 fehlen die Abhängigkeiten „nsx-opsagent“ und „nsx-cli“, und der Host wird mit „Installation fehlgeschlagen“ markiert. Das Beheben des Fehlers über die Benutzeroberfläche funktioniert nicht: Softwareinstallation auf Host fehlgeschlagen. Nicht aufgelöste Abhängigkeiten: [PyYAML, python-mako, python-netaddr, python3]

  Problemumgehung: Installieren Sie NSX RHEL 8.2-VIBs nach dem Upgrade des Host-Betriebssystems manuell und lösen Sie sie über die Benutzeroberfläche auf.

• Problem 2628503: DFW-Regel wird selbst nach dem erzwungenen Löschen der Manager-NSGroup weiterhin angewendet.

  Problemumgehung: Erzwingen Sie keinen Löschvorgang für eine NSGroup, die noch durch eine DFW-Regel verwendet wird. Leeren Sie stattdessen die NSGroup oder löschen Sie die DFW-Regel.

• Problem 2684574: Wenn das Edge über mehr als 6.000 Routen für Datenbank und Routen verfügt, tritt eine Zeitüberschreitung bei der Richtlinien-API auf.

  Diese Richtlinien-APIs für die OSPF-Datenbank und OSPF-Routen geben einen Fehler zurück, wenn das Edge über mehr als 6.000 Routen verfügt: /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv Wenn der Edge über 6.000 Routen für Datenbank und Roten besitzt, tritt bei der Richtlinien-API eine Zeitüberschreitung auf. Dies ist eine schreibgeschützte API, und sie wirkt sich nur dann aus, wenn die API/UI zum Herunterladen von mehr als 6.000 Routen für OSPF-Routen und die Datenbank verwendet wird.

  Problemumgehung: Verwenden Sie die CLI-Befehle, um die Informationen vom Edge abzurufen.

• Problem 2663483: Der Einzelknoten-NSX-Manager wird von der restlichen NSX-Verbundumgebung getrennt, wenn Sie das APH-AR-Zertifikat auf diesem NSX Manager ersetzen.

  Dieses Problem tritt nur mit dem NSX-Verbund und einem NSX Manager-Cluster mit einem einzelnen Knoten auf. Der Einzelknoten-NSX-Manager wird von der restlichen NSX-Verbundumgebung getrennt, wenn Sie das APH-AR-Zertifikat auf diesem NSX Manager ersetzen.

  Problemumgehung: Eine NSX Manager-Clusterbereitstellung mit einem einzelnen Knoten wird als Bereitstellungsoption nicht unterstützt, weshalb Sie NSX Manager-Cluster mit drei Knoten benötigen.

• Problem 2636771: Die Suche kann eine Ressource zurückgeben, wenn diese mit mehreren Tag-Paaren gekennzeichnet ist und Tag und Geltungsbereich mit einem beliebigen Wert für Tag und Geltungsbereich übereinstimmen.

  Dies wirkt sich auf die Suchabfrage mit einer Bedingung für Tag und Geltungsbereich aus. Der Filter gibt möglicherweise zusätzliche Daten zurück, wenn das Tag und der Geltungsbereich mit einem beliebigen Paar übereinstimmen.

  Problemumgehung: Keine.

• Problem 2668717: Beim Ost-West-Routing zwischen vRA-erstellten Netzwerken, die mit Segmenten verbunden sind, die Tier-1 gemeinsam nutzen, kann es zu zeitweiligen Verkehrsverlusten kommen.

  Wenn vRA mehrere Segmente erstellt und sich mit einem gemeinsam genutzten ESG verbindet, konvertiert V2T eine solche Topologie in eine gemeinsam genutzte Tier-1, die mit allen Segmenten auf der NSX-T-Seite verbunden ist. Während des Zeitfensters für die Hostmigration kann es beim Ost-West-Verkehr zwischen Arbeitslasten, die mit den Segmenten verbunden sind, die das Tier-1 gemeinsam nutzen, zu einem zeitweiligen Verkehrsverlust kommen.

  Problemumgehung: Keine.

• Problem 2490064: Das Deaktivieren von VMware Identity Manager schlägt fehl, wenn die Option für den externen Load Balancer aktiviert ist.

  Wenn Sie nach der Aktivierung der VMware Identity Manager-Integration auf NSX mit „Externer Load Balancer“ versuchen, die Integration zu deaktivieren, indem Sie „Externer Load Balancer“ ausschalten, wird nach rund einer Minute erneut die ursprüngliche Konfiguration angezeigt, die die lokalen Änderungen überschreibt.

  Problemumgehung: Wenn Sie versuchen, vIDM zu deaktivieren, dann schalten Sie das Flag „Externer Load Balancer“ nicht aus. Deaktivieren Sie nur die Integration von vIDM. Dadurch wird diese Konfiguration in der Datenbank gespeichert und mit den anderen Knoten synchronisiert.

• Problem 2526769: Bei der Wiederherstellung auf einem Cluster mit mehreren Knoten tritt ein Fehler auf.

  Wenn Sie in einem Cluster mit mehreren Knoten eine Wiederherstellung starten, schlägt die Wiederherstellung fehl und Sie müssen die Appliance erneut bereitstellen.

  Problemumgehung: Stellen Sie ein neues Setup bereit (Cluster mit einem Knoten) und starten Sie die Wiederherstellung.

• Problem 2534933: Zertifikate mit LDAP-basierten CDPs (CRL Distribution Point) können nicht als Tomcat-/Cluster-Zertifikate angewendet werden.

  CA-signierte Zertifikate mit LDAP-CDPs können nicht als Cluster-/Tomcat-Zertifikat verwendet werden.

  Problemumgehung: Es gibt zwei Optionen.

  1. Verwenden Sie ein Zertifikat mit HTTP-basiertem CDP.

  2. Deaktivieren Sie die CRL-Prüfung mit PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig API (Stellen Sie sicher, dass in der Nutzlast für PUT für „crl_checking_enabled“ „false“ festgelegt ist.)

• Problem 2566121: Die falsche Fehlermeldung „Einige Appliance-Komponenten funktionieren nicht ordnungsgemäß“ wird angezeigt, wenn der Server überlastet ist.

  Wenn zu viele API-Aufrufe an NSX erfolgen, zeigt die Benutzeroberfläche/API den Fehler „Einige Appliance-Komponenten funktionieren nicht ordnungsgemäß“ an, statt „Server ist überlastet“.

  Problemumgehung: Keine.

• Problem 2613113: Wenn ein Onboarding ausgeführt wird und der lokale Manager wiederhergestellt wird, ändert sich der Status auf dem globalen Manager nicht von IN_PROGRESS.

  Die Benutzeroberfläche zeigt beim globalen Manager IN_PROGRESS für das Onboarding des lokalen Managers an. Die Konfiguration der wiederhergestellten Site kann nicht importiert werden.

  Problemumgehung: Starten Sie den Cluster des globalen Managers neu, einen Knoten nach dem anderen.

• Problem 2690457: Wenn Sie eine MP mit einem MP-Cluster verbinden, auf dem publish_fqdns festgelegt ist und der externe DNS-Server nicht ordnungsgemäß konfiguriert ist, wird der Proton-Dienst auf dem Knoten, der hinzugefügt wird, möglicherweise nicht ordnungsgemäß neu gestartet.

  Der Manager, der hinzugefügt wird, funktioniert nicht, und die Benutzeroberfläche wird nicht verfügbar sein.

  Problemumgehung: Konfigurieren Sie den externen DNS-Server mit Forward- und Reverse-DNS-Eingaben für alle Manager-Knoten.

• Problem 2574281: Die Richtlinie lässt nur maximal 500 VPN-Sitzungen zu.

  NSX beansprucht im Formfaktor „Groß“ 512 VPN-Sitzungen pro Edge. Da die Richtlinie eine automatische Auslagerung von Sicherheitsrichtlinien durchführt, lässt die Richtlinie jedoch nur maximal 500 VPN-Sitzungen zu. Bei der Konfiguration der 501. VPN-Sitzung auf Tier0 wird folgende Fehlermeldung angezeigt: {'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] besitzt mehr als 1.000 zulässige Regeln pro Gateway path=[/infra/tier-0s/inc_1_tier_0_1].'}

  Problemumgehung: Verwenden Sie die APIs der Management Plane, um zusätzliche VPN-Sitzungen zu erstellen.

• Problem 2658092: Das Onboarding schlägt fehl, wenn NSX Intelligence auf dem lokalen Manager konfiguriert ist.

  Onboarding schlägt mit einem Prinzipalidentitätsfehler fehl und Sie können kein Onboarding für ein System mit dem Prinzipalidentitätsbenutzer durchführen.

  Problemumgehung: Erstellen Sie einen temporären Prinzipalidentitätsbenutzer mit dem Benutzernamen, der auch von NSX Intelligence verwendet wird.

• Problem 2639424: Die Wartung eines Hosts in einem vLCM-Cluster mit hostbasierter Bereitstellung schlägt fehl, nachdem die Wartung zu 95 % abgeschlossen ist.

  Der Wartungsfortschritt für einen Host bleibt bei 95 % stehen und der Vorgang schlägt nach 70 Minuten aufgrund einer Zeitüberschreitung fehl.

  Problemumgehung: Informationen hinzu finden Sie im VMware-Knowledgebase-Artikel 81447.

• Problem 2636420: Der Host wechselt in den Status „NSX-Installation übersprungen“ und der Cluster in den Status „Fehlgeschlagen“ nach der Wiederherstellung, wenn „NSX entfernen“ nach der Sicherung auf dem Cluster ausgeführt wird.

  „NSX-Installation übersprungen“ wird für den Host angezeigt.

  Problemumgehung: Nach der Wiederherstellung müssen Sie „NSX entfernen“ erneut auf dem Cluster ausführen, um den Status zu erreichen, der nach der Sicherung (Status „Nicht konfiguriert“) vorhanden war.

• Problem 2558576: Die Versionen einer globalen Profildefinition für den globalen Manager und den lokalen Manager können sich unterscheiden und ein unbekanntes Verhalten auf dem lokalen Manager aufweisen.

  Globale DNS-, Sitzungs- oder Flood-Profile, die im globalen Manager erstellt wurden, können nicht über die Benutzeroberfläche auf eine lokale Gruppe angewendet werden, wohl aber über die API. Daher kann ein API-Benutzer versehentlich Profilbindungs-Maps erstellen und die globale Entität auf dem lokalen Manager ändern.

  Problemumgehung: Verwenden Sie die Benutzeroberfläche, um das System zu konfigurieren.

• Problem 2491800: SSL-Zertifikate für den AR-Kanal werden nicht regelmäßig auf ihre Gültigkeit überprüft, was zur Verwendung eines abgelaufenen/widerrufenen Zertifikats für eine bestehende Verbindung führen kann.

  Die Verbindung würde ein abgelaufenes/widerrufenes SSL verwenden.

  Problemumgehung: Starten Sie den APH auf dem Manager-Knoten erneut, um eine erneute Verbindung auszulösen.

• Problem 2561988: Alle IKE/IPSEC-Sitzungen werden vorübergehend unterbrochen.

  Der Datenverkehrsausfall wird für einige Zeit angezeigt.

  Problemumgehung: Ändern Sie die lokalen Endpoints in Phasen statt alle gleichzeitig.

• Problem 2584648: Der Wechsel von Primär für T0/T1-Gateway wirkt sich auf die Northbound-Konnektivität aus.

  Die Standort-Failover-Zeit verursacht eine Unterbrechung für einige Sekunden und kann sich auf Standort-Failover oder Failback-Test auswirken.

  Problemumgehung: Keine.

• Problem 2636420: Das Transportknotenprofil wird auf einen Cluster angewendet, auf dem nach der Sicherung „NSX entfernen“ aufgerufen wird.

  Hosts befinden sich nicht im vorbereiteten Zustand, das Transportknotenprofil wird aber weiterhin auf den Cluster angewendet.

  Problemumgehung: Nach der Wiederherstellung müssen Sie „NSX entfernen“ erneut auf dem Cluster ausführen, um den Status zu erreichen, der nach der Sicherung (Status „Nicht konfiguriert“) vorhanden war.

• Problem 2687084: Nach dem Upgrade oder Neustart gibt die Such-API möglicherweise den Fehler 400 mit dem Fehlercode 60508 zurück: „Wenn Sie Indizes neu erstellen, kann dies einige Zeit in Anspruch nehmen.“

  Je nach Größe des Systems können die Such-API und die Benutzeroberfläche erst verwendet werden, nachdem die erneute Indizierung abgeschlossen wurde.

  Problemumgehung: Keine.

• Problem 2782010: Die Richtlinien-API lässt die Änderung von „vdr_mac/vdr_mac_nested“ zu, auch wenn für „allow_changed_vdr_mac_in_use“ „false“ festgelegt ist.

  VDR-MAC wird auf TN aktualisiert, auch wenn für „allow_changing“ „false“ festgelegt ist. Es wird kein Fehler ausgelöst.

  Problemumgehung: Ändern Sie VDR-MAC wieder in den alten Wert, falls Sie das Feld nicht ändern möchten.

• Problem 2791490: Verbund: Die Objekte können nach dem Ändern des Standby-GM-Kennworts nicht mit dem globaler Manager (GM) im Standby synchronisiert werden.

  Aktiver GM kann nicht auf dem Standort-Manager des Standby-GM beobachtet werden, ebenso Updates vom aktiven GM.

  Problemumgehung: Fordern Sie auf der Benutzeroberfläche des Standby-GM eine erzwungene Synchronisierung an.

• Problem 2799371: IPSec-Alarme für L2-VPN werden nicht gelöscht, obwohl L2-VPN- und IPSec-Sitzungen aktiv sind.

  Keine funktionalen Auswirkungen, außer dass unnötige offene Alarme angezeigt werden.

  Problemumgehung: Lösen Sie die Alarme manuell auf.

• Problem 2838613: Für ESX-Versionen vor 7.0.3 wird auf dem VDS, der von Version 6.5 auf eine höhere Version aktualisiert wurde, nach der Sicherheitsinstallation die NSX-Sicherheitsfunktionalität auf dem Cluster nicht aktiviert.

  NSX-Sicherheitsfunktionen werden auf den VMs, die mit dem VDS verbunden sind, der von 6.5 auf eine höhere Version (6.6+) aktualisiert wurde, nicht aktiviert, wenn die Funktion „NSX-Sicherheit auf vSphere DVPortgroups“ unterstützt wird.

  Problemumgehung: Starten Sie nach der Aktualisierung des VDS den Host neu und schalten Sie die VMs ein, um die Sicherheit auf den VMs zu aktivieren.

• Problem 2839782: Ein Upgrade von NSX-T 2.4.1 auf 2.5.1 ist nicht möglich, da die Zertifikatsperrlisteneinheit groß ist und Corfu eine Größenbeschränkung in 2.4.1 festlegt, was verhindert, dass die Zertifikatsperrlisteneinheit während des Upgrades in Corfu erstellt wird.

  Kein Upgrade möglich.

  Problemumgehung: Ersetzen Sie das Zertifikat durch ein Zertifikat, das von einer anderen Zertifizierungsstelle signiert wurde.

• Problem 2851991: IDFW schlägt fehl, wenn die Richtliniengruppe mit der AD-Gruppe auch eine verschachtelte leere Quellgruppe aufweist.

  IDFW schlägt fehl, wenn die Richtliniengruppe mit der AD-Gruppe eine verschachtelte leere Quellgruppe besitzt.

  Problemumgehung: Entfernen Sie die leere untergeordnete Gruppe.

• Problem 2852419: Es wird eine Fehlermeldung angezeigt, wenn die statische Route mit einem nicht verbindungslokalen nächsten IPv4/v6-Hop mit mehreren Geltungsbereichswerten konfiguriert ist.

  Statische Routen-API mit nicht verbindungslokaler IP des nächsten Hops mit einer Konfiguration mehrerer Geltungsbereichswerte wird abgelehnt.

  Problemumgehung: Erstellen Sie mehrere nächste Hops, statt mehrerer Geltungsbereichswerte und stellen Sie sicher, dass jeder nächste Hop eine andere IP-Adresse besitzt.

• Problem 2853889: Beim Erstellen der EVPN-Mandantenkonfiguration (mit VLAN-VNI-Zuordnung) werden untergeordnete Segmente erstellt, der Realisierungsstatus des untergeordneten Segments wird aber etwa 5 Minuten als fehlerhaft angezeigt versetzt und dann automatisch wiederhergestellt.

  Es dauert 5 Minuten, bis die EVPN-Mandantenkonfiguration realisiert wurde.

  Problemumgehung: Keine. Warten Sie 5 Minuten.

• Problem 2854139: Kontinuierliches Hinzufügen/Entfernen von BGP-Routen in RIB für eine Topologie, in der Tier0-SR auf dem Edge über mehrere BGP-Nachbarn verfügt und diese BGP-Nachbarn ECMP-Präfixe an den Tier0-SR senden.

  Der Datenverkehr wird verworfen für die Präfixe, die kontinuierlich hinzugefügt/gelöscht werden.

  Problemumgehung: Fügen Sie eine eingehende RouteMap hinzu, die das BGP-Präfix filtert, das sich im Subnetz des nächsten Hops der statischen Route befindet.

• Problem 2864250: Bei der Transportknotenrealisierung tritt ein Fehler auf, wenn beim Erstellen eines Transportknotens ein benutzerdefiniertes NIOC-Profil verwendet wird.

  Der Transportknoten ist nicht einsatzbereit.

  Problemumgehung: Erstellen Sie den Transportknoten mit dem Standard-NIOC-Profil und aktualisieren Sie ihn dann, indem Sie das benutzerdefinierte NIOC-Profil anwenden.

• Problem 2866682: Wenn in Microsoft Azure das beschleunigte Netzwerk auf Arbeitslast-VMs mit SUSE oder Linux Enterprise Server (SLES) 12 SP4 und mit installiertem NSX Agent aktiviert ist, erhält die Ethernet-Schnittstelle keine IP-Adresse.

  Der VM-Agent wird nicht gestartet und die VM wird nicht verwaltet.

  Problemumgehung: Deaktivieren Sie das beschleunigte Netzwerk.

• Problem 2867243: Effektive Mitgliedschafts-APIs für eine Richtliniengruppe oder NSGroup ohne effektive Mitglieder geben in der API-Antwort die Felder „results“ und „result_count“ nicht zurück.

  Es gibt keine funktionalen Auswirkungen.

  Problemumgehung: Keine.

• Problem 2868235: Im Dialogfeld „Schnellstart – Netzwerk und Sicherheit“ zeigt die Visualisierung einen doppelten VDS an, wenn mehrere pNICs an denselben VDS angehängt sind.

  Visualisierung zeigt doppelten VDS an. Es kann schwierig sein, den Abschnitt zum Anpassen des Host-Switches zu finden oder dorthin zu scrollen, wenn der Fokus auf dem Visualisierungsdiagramm liegt.

  Problemumgehung: Für das Bildlaufproblem drücken Sie die Tabulatortaste oder bewegen Sie den Mauszeiger außerhalb des Visualisierungsbereichs und scrollen Sie zum Abschnitt „Switch-Konfiguration anpassen“.

• Problem 2870085: Die Protokollierung auf der Sicherheitsrichtlinienebene zum Aktivieren/Deaktivieren der Protokollierung für alle Regeln funktioniert nicht.

  Sie können die Protokollierung aller Regeln nicht ändern, indem Sie „logging_enabled“ der Sicherheitsrichtlinie ändern.

  Problemumgehung: Ändern Sie jede Regel, um die Protokollierung zu aktivieren/deaktivieren.

• Problem 2870529: Laufzeitinformationen für die identitätsbasierte Firewall (IDFW) sind nicht verfügbar, wenn beim Hinzufügen der AD-Domäne der NetBIOS-Name nicht in der exakten Schreibweise angegeben wird.

  Sie können die aktuellen Laufzeitinformationen/den Status der IDFW nicht einfach und problemlos abrufen. Aktuell aktive Anmeldungen können nicht ermittelt werden.

  Problemumgehung: Bearbeiten Sie die betreffende Domäne und korrigieren Sie den NetBIOS-Namen. Sobald die Änderungen angewendet wurden, werden alle zukünftigen IDFW-Ereignisse korrekt gemeldet.

• Problem 2870645: Als Reaktion auf die /policy/api/v1/infra/realized-state/realized-entities-API werden in „publish_status_error_details“ Fehlerdetails angezeigt, selbst wenn „publish_status“ „ERFOLGREICH“ ist, was bedeutet, dass die Realisierung erfolgreich war.

  Es gibt keine funktionalen Auswirkungen.

  Problemumgehung: Keine.

• Problem 2871585: Das Entfernen des Hosts aus DVS und das Löschen von DVS ist für DVS-Versionen vor 7.0.3 zulässig, nachdem die NSX-Sicherheit der vSphere DVPortgroups-Funktion auf den Clustern aktiviert wurde, die DVS verwenden.

  Möglicherweise müssen Sie alle Probleme in der Transportknoten- oder der Clusterkonfiguration beheben, die dadurch verursacht werden, dass ein Host aus dem DVS entfernt oder gelöscht wurde.

  Problemumgehung: Keine.

• Problem 2874236: Wenn Sie nach dem Upgrade nur ein Public Cloud-Gateway (PCG) in einem HA-Paar erneut bereitstellen, wird erneut der ältere HA-AMI-/VHD-Build verwendet.

  Dies geschieht nur nach einem Upgrade bei der ersten erneuten Bereitstellung von PCGs.

  Problemumgehung: Stellen Sie das richtige AMI oder VHD nach dem Upgrade über die API bereit.

• Problem 2875385: Wenn ein neuer Knoten dem Cluster beitritt und lokale Benutzer (admin, audit, guestuser1, guestuser2) umbenannt wurden, können sich diese lokalen Benutzer möglicherweise nicht anmelden.

  Der lokale Benutzer kann sich nicht anmelden.

  Problemumgehung: Es gibt zwei mögliche Problemumgehungen.

  • Problemumgehung 1: Benennen Sie den Benutzer in einen beliebigen anderen Namen und dann wieder in den gewünschten Namen um.

  • Problemumgehung 2: Wenn Sie die Benutzer nicht umbenennen können, starten Sie NSX Manager neu.

• Problem 2848614: Beim Hinzufügen einer MP zu einem MP-Cluster, während „publish_fqdns“ auf dem MP-Cluster festgelegt ist und der Forward- oder Reverse-Lookup-Eintrag im externen DNS-Server fehlt oder der DNS-Eintrag für den Beitrittsknoten fehlt, werden für den beitretenden Knoten keine Forward- oder Reverse-Alarme generiert.

  Forward/Reverse-Alarme werden für den beitretenden Knoten nicht generiert, obwohl der Forward/Reverse-Lookup-Eintrag im DNS-Server fehlt oder der DNS-Eintrag für den beitretenden Knoten fehlt.

  Problemumgehung: Konfigurieren Sie den externen DNS-Server für alle Manager-Knoten mit Forward- und Reverse-DNS-Einträgen.

• Problem 2719682: Berechnete Felder vom Avi-Controller werden nicht mit dem Intent der Richtlinie synchronisiert, was zu Diskrepanzen bei den auf der Avi-und der NSX-T-Benutzeroberfläche angezeigten Daten führt.

  Berechnete Felder vom Avi-Controller werden auf der NSX-T-Benutzeroberfläche leer angezeigt.

  Problemumgehung: Prüfen Sie mit dem App-Switcher die Daten der Avi-Benutzeroberfläche.

• Problem 2747735: Nach der Wiederherstellung ist die VIP-Konnektivität aufgrund von Netzwerkkompatibilitätsproblemen unterbrochen.

  Während der Wiederherstellung der Sicherung können Kunden VIP vor dem Schritt "AddNodeToCluster" aktualisieren.

  [Geben Sie ggf. die Problemumgehung ein, andernfalls geben Sie „Keine“ ein] Die Wiederherstellung wird in der Regel im Schritt "AddNodeToCluster" angehalten, in dem der Benutzer aufgefordert wird, zusätzliche Manager-Knoten hinzuzufügen. In diesem Schritt entfernen/aktualisieren Sie zuerst die VIP, um eine neue IP-Adresse auf der Seite „Benutzeroberfläche für Systeme/Appliances“ zu verwenden, und fügen dann zusätzliche Knoten zu einem wiederhergestellten Cluster mit einem Knoten hinzu, sobald die VIP korrigiert wurde.

• Problem 2816781: Physische Server können nicht mit einer auf Lastausgleich basierenden Gruppierungsrichtlinie konfiguriert werden, da sie einen einzelnen VTEP unterstützen.

  Sie können keine physischen Server mit einer auf Lastausgleich basierten Gruppierungsrichtlinie konfigurieren.

  Problemumgehung: Ändern Sie die Gruppierungsrichtlinie in eine auf Failover basierte Gruppierungsrichtlinie oder eine beliebige Richtlinie mit einem einzelnen VTEP.

• Problem 2856109: Das Hinzufügen des 2000. Poolmitglieds führt mit der Avi-Controller-Version 21.1.2 zu einem Grenzwertfehler.

  Avi Controller 21.1.2 lässt nur 1.999 Poolmitglieder und nicht 2.000 Poolmitglieder zu.

  Problemumgehung: Verwenden Sie den Avi-Controller in der Version 20.1.7 oder 21.1.3.

• Problem 2862418: Das erste Paket geht in der Live-Datenverkehrsanalyse (LTA) möglicherweise verloren, wenn LTA zum Verfolgen der genauen Anzahl der Pakete konfiguriert wird.

  Sie können die erste Paket-Nachverfolgung nicht sehen.

  Problemumgehung: Keine.

• Problem 2864929: Die Anzahl der Poolmitglieder ist höher, wenn eine Migration von NSX for vSphere zum Avi-Load Balancer auf NSX-T Data Center erfolgt.

  Eine höhere Anzahl Poolmitglieder wird angezeigt. Die Integritätsüberwachung markiert diese Poolmitglieder als inaktiv. An nicht erreichbare Poolmitglieder wird aber kein Datenverkehr gesendet.

  Problemumgehung: Keine.

• Problem 2865273: Die Suchmaschine für Advanced Load Balancer (Avi) stellt keine Verbindung zum Avi-Controller her, wenn vor der Migration von NSX for vSphere zu NSX-T Data Center eine DFW-Regel zum Blockieren der Ports 22, 443, 8443 und 123 vorhanden ist.

  Die Avi-Suchmaschine kann keine Verbindung zum Avi-Controller herstellen.

  Problemumgehung: Fügen Sie explizite DFW-Regeln hinzu, um die Ports 22, 443, 8443 und 123 für SE-VMs zuzulassen oder um SE-VMs aus DFW-Regeln auszuschließen.

• Problem 2866885: ELS erfordert, dass der in der AD-Domäne konfigurierte NetBIOS-Name mit dem im AD-Server übereinstimmt.

  Benutzeranmeldung wird von ELS nicht erkannt.

  Problemumgehung: Ändern Sie den NetBIOS-Namen, damit er mit dem im AD-Server übereinstimmt.

• Problem 2868944: Auf der Benutzeroberfläche wird kein Feedback angezeigt, wenn mehr als 1.000 DFW-Regeln von NSX for vSphere zu NSX-T Data Center migriert werden, die Abschnitte werden jedoch in Abschnitte mit maximal 1.000 Regeln unterteilt.

  Auf der Benutzeroberfläche wird kein Feedback angezeigt.

  Problemumgehung: Prüfen Sie die Protokolle.

• Problem 2878030: Der Upgrade-Orchestrator-Knoten für die Änderung der lokalen Manager-Site zeigt keine Benachrichtigung an.

  Wenn der Orchestrator-Knoten nach dem UC-Upgrade geändert wird und Sie mit dem Workflow auf der Benutzeroberfläche fortfahren, indem Sie auf eine beliebige Aktionsschaltfläche klicken (Vorabprüfung, Start usw.), wird auf der Upgrade-Benutzeroberfläche kein Fortschritt angezeigt. Dies gilt nur, wenn der Zugriff auf die Upgrade-Benutzeroberfläche des lokalen Managers über den Site-Switcher auf der Benutzeroberfläche des globalen Manager erfolgt.

  Problemumgehung: Wechseln Sie zum lokalen Manager für diese Site und setzen Sie das Upgrade fort, damit die erwartete Benachrichtigung angezeigt wird.

• Problem 2878325: In der Anzeige des Dashboards für die Bestandskapazität für Manager enthält die für das Attribut „Gruppen basierend auf IP Sets“ angezeigte Anzahl keine Gruppen, die IP-Adressen enthalten, die über die Richtlinien-Benutzeroberfläche erstellt wurden.

  In der Anzeige des Dashboards für die Bestandskapazität für Manager wird die für das Attribut „Gruppen basierend auf IP Sets“ angezeigte Anzahl nicht korrekt dargestellt, wenn Richtliniengruppen mit IP-Adressen vorhanden sind.

  Problemumgehung: Keine.

• Problem 2879133: Der Start der Malware-Schutzfunktion kann bis zu 15 Minuten in Anspruch nehmen.

  Wenn die Malware-Schutzfunktion zum ersten Mal konfiguriert wird, kann es bis zu 15 Minuten dauern, bis die Funktion initialisiert wurde. Während dieser Initialisierung erfolgt keine Malware-Analyse, es wird jedoch kein Hinweis angezeigt, dass die Initialisierung läuft.

  Problemumgehung: Warten Sie 15 Minuten.

• Problem 2879734: Die Konfiguration schlägt fehl, wenn dasselbe selbstsignierte Zertifikat in zwei verschiedenen lokalen IPsec-Endpoints verwendet wird.

  Die fehlgeschlagene IPsec-Sitzung wird erst eingerichtet, nachdem der Fehler behoben wurde.

  Problemumgehung: Verwenden Sie für jeden lokalen Endpoint ein eindeutiges selbstsigniertes Zertifikat.

• Problem 2879979: Der IKE-Dienst initiiert möglicherweise keine neue IPsec-routenbasierte Sitzung, nachdem eine Erkennung inaktiver Peers stattgefunden hat, weil der IPsec-Peer nicht erreichbar war.

  Es kann zu einem Ausfall einer bestimmten routenbasierten IPsec-Sitzung kommen.

  Problemumgehung: Ein Aktivieren/Deaktivieren der IPsec-Sitzung kann das Problem beheben.

• Problem 2881281: Die gleichzeitige Konfiguration mehrerer virtueller Server schlägt möglicherweise für einige fehl.

  Bei Clientverbindungen zu virtuellen Servern kann es zu einer Zeitüberschreitung kommen.

  Problemumgehung: Führen Sie die folgende API aus, um den Workflow des logischen Routers erneut auszulösen.

  https://{ip}/api/v1/logical-routers/<id>? action=reprocess

• Problem 2881471: Der Dienstbereitstellungsstatus wird nicht aktualisiert, wenn der Bereitstellungsstatus von „Fehlgeschlagen“ zu „Erfolgreich“ wechselt.

  Möglicherweise sehen Sie, dass der Dienstbereitstellungsstatus dauerhaft „Inaktiv“ bleibt und der ausgelöste Alarm weiterhin besteht.

  Problemumgehung: Verwenden Sie die Dienstbereitstellungsstatus-API, um den Status zu prüfen.

  API: https://{{nsx-mgr-ip}}/api/v1/serviceinsertion/services/{{service-id}}/service-deployments/{{service-deployment-id}}/status

• Problem 2882070: Für globale Gruppen werden NSGroup-Mitglieder und -Kriterien nicht in der Manager-API-Auflistung angezeigt.

  Keine funktionalen Auswirkungen.

  Problemumgehung: Zeigen Sie die globalen Gruppendefinitionen über die Richtlinien-API auf dem lokalen Manager an.

• Problem 2882769: Tags für NSService- und NSServiceGroup-Objekte werden beim Upgrade auf NSX-T 3.2 nicht übernommen.

  Dies hat keine funktionalen Auswirkungen auf NSX, da Tags für NSService und NSServiceGroup von keinem Workflow genutzt werden. Dies kann Auswirkungen auf externe Skripts haben, die Workflows enthalten, die auf Tags für diese Objekte angewiesen sind.

  Problemumgehung: Nach dem Upgrade auf NSX-T 3.2 können fehlende Tags zu NSService und NSServiceGroup hinzugefügt werden, indem die Entitäten aktualisiert werden.

• Problem 2884939: Die NSX-Ratenbegrenzung von 100 Anforderungen pro Sekunde wird erreicht, wenn eine große Anzahl virtueller Dienste von NSX for vSphere zu NSX-T ALB migriert wird und alle APIs für einige Zeit blockiert sind.

  NSX-T-Richtlinien-API zeigt folgenden Fehler: Client „admin“ hat die Anforderungsrate von 100 pro Sekunde überschritten (Fehlercode: 102) einige Zeit nach dem Erreichen der Migration der Konfiguration.

  Problemumgehung: Ändern Sie den Client-API-Ratengrenzwert auf 200 Anforderungen pro Sekunde.

• Problem 2792485: Für den in vCenter installierten Manager wird anstelle des FQDN die NSX Manager-IP angezeigt.

  Die in vCenter integrierte NSX-T-Benutzeroberfläche zeigt für den installierten Manager anstelle des FQDN die NSX Manager-IP an.

  Problemumgehung: Keine.

• Problem 2884518: Fehlerhafte Anzahl der mit dem Segment verbundenen VMs auf der Benutzeroberfläche der Netzwerktopologie nach dem Upgrade einer NSX-Appliance auf NSX-T 3.2.

  Sie sehen eine fehlerhafte Anzahl der VMs, die mit dem Segment in der Netzwerktopologie verbunden sind. Die tatsächliche Anzahl der mit dem Segment verknüpften VMs wird allerdings angezeigt, wenn Sie den Knoten der VM erweitern.

  Problemumgehung:

  1. Melden Sie sich im Engineering-Modus bei der NSX-Appliance an.

  2. Führen Sie folgenden Befehl aus: curl -XDELETE http://localhost:9200/topology_manager

• Problem 2874995: Die Priorität von LCores kann auch dann hoch bleiben, wenn sie nicht verwendet werden, weshalb sie von einigen VMs nicht verwendet werden können.

  Leistungsbeeinträchtigungen für VMs mit normaler Latenz.

  Problemumgehung: Es gibt zwei Optionen.

  • Starten Sie das System neu.

  • Entfernen Sie die LCores mit hoher Priorität und erstellen Sie sie neu. Sie werden dann standardmäßig wieder zu LCores mit normaler Priorität.

• Problem 2772500: Das Aktivieren von verschachteltem Overlay auf ENS kann zu PSOD führen.

  Kann zu PSOD führen.

  Problemumgehung: Deaktivieren Sie ENS.

• Problem 2832622: IPv6-ND-Profil wird nach der Bearbeitung oder Änderung nicht wirksam.

  Das Netzwerk verweist weiterhin auf das alte NDRA-Profil.

  Problemumgehung: Starten Sie CCP neu, um das IPv6-ND-Profil zu aktualisieren.

• Problem 2840599: Die MP-Normalisierungs-API gibt den Fehler INVALID_ARGUMENT aus.

  Schlechte Benutzerfreundlichkeit der Benutzeroberfläche.

  Problemumgehung: Keine.

• Problem 2844756: Löschen des Segments schlägt mit einem Fehler fehl.

  Sie können das Segment nicht löschen.

  Problemumgehung: Erzwingen Sie das Löschen der mit dem Segment verbundenen Ports.

  1. Rufen Sie mithilfe der folgenden API alle mit diesem Segment verbundenen logischen Ports ab. Z. B. für PolicySegment01.

     GET : https://<NSX MANAGER IP>/policy/api/v1/infra/segments/PolicySegment01/ports

  2. Führen Sie für jeden mit dem obigen Abruf aufgeführten logischen Port folgenden Aufruf durch.

     DELETE : https://<NSX MANAGER IP>/api/v1/logical-ports/<LOGICAL PORT UUID>?detach=true

  Sobald alle verbundenen Ports gelöscht wurden, kann das Segment gelöscht werden.

• Problem 2866751: Die konsolidierte effektive Mitgliedschafts-API listet keine statischen IPs in der Antwort für eine Shadow Group auf.

  Keine Auswirkungen auf die Funktion oder den Datenpfad. Statische IP-Adressen werden beim Abrufen der konsolidierten effektiven Mitgliedschaft über die API für eine Shadow Group nicht angezeigt. Dies gilt nur für eine Shadow Group (auch als Referenzgruppe bezeichnet).

  Problemumgehung: Überprüfen Sie die konsolidierte effektive Mitgliedschaft einer Shadow Group auf ihrer ursprünglichen Site.

• Problem 2869356: Auf der Management Plane wird ein Fehler angezeigt, wenn Sie für eine NSGroup mit IPSet-Mitgliedern auf die Registerkarte „Übersicht“ klicken.

  Schlechte Benutzerfreundlichkeit der Benutzeroberfläche.

  Problemumgehung: Keine.

• Problem 2872658: Nach der Site-Registrierung wird auf der Benutzeroberfläche die Fehlermeldung angezeigt, dass das Importieren aufgrund nicht unterstützter Funktionen unmöglich ist: IDS.

  Es gibt keine funktionalen Auswirkungen. Der Konfigurationsimport wird in NSX-T 3.2 nicht unterstützt.

  Problemumgehung: Entfernen Sie die IDS-Konfiguration aus dem lokalen Manager und wiederholen Sie die Registrierung.

• Problem 2877628: Beim Versuch, die Sicherheitsfunktion auf einem ESX-Host-Switch mit einer VDS-Version vor 6.6 zu installieren, wird eine unklare Fehlermeldung angezeigt.

  Die Fehlermeldung wird über die Benutzeroberfläche und die API angezeigt.

  Problemumgehung: Verwenden Sie eine VDS-Version ab 6.6 auf ESX, um die NSX-Sicherheit zu installieren.

• Problem 2877776: Die Ausgabe „get controller“ zeigt möglicherweise veraltete Informationen zu Controllern an, die beim Abgleich mit der Datei „controller-info.xml“ keine Master sind.

  Diese CLI-Ausgabe ist verwirrend.

  Problemumgehung: Starten Sie nsx-proxy auf dem TN neu.

• Problem 2879119: Wenn ein virtueller Router hinzugefügt wird, wird die entsprechende Kernel-Netzwerkschnittstelle nicht angezeigt.

  Das Routing auf dem VRF schlägt fehl. Für VMs, die über das VRF verbunden sind, wird keine Konnektivität hergestellt.

  Problemumgehung: Starten Sie den Dataplane-Dienst neu.

• Problem 2881168: Die Ausgabe von LogicalPort GET API erfolgt im erweiterten Format „fc00:0:0:0:0:0:0:1“, statt im vorherigen Format „fc00::1“.

  Die Ausgabe von LogicalPort GET API in NSX-T 3.2 erfolgt im erweiterten Format „fc00:0:0:0:0:0:0:1“, statt im NSX-T 3.0 Format „fc00::1“.

  Problemumgehung: Keine.

• Problem 2882822: Temporäre IPSets werden während der Migration der Konfiguration von NSX for vSphere zu NSX-T nicht zu SecurityGroups hinzugefügt, die in EDGE-Firewallregeln/LB-Poolmitgliedern verwendet werden.

  Während der Migration kann eine Lücke auftreten, bis die VMs/VIFs auf NSX-T erkannt und Teil der SGs werden, auf die sie über statische/dynamische Mitgliedschaften anwendbar sind. Dies kann dazu führen, dass in der Zeit zwischen der vertikalen Übernahme (vertikaler Datenverkehr, der über das NSX-T-Gateway läuft) bis zum Ende der Migration Datenverkehr entgegen den Edge-Firewall-Regeln verworfen oder zugelassen wird.

  Problemumgehung: Fügen Sie eine Fake-DFW-Regel hinzu, in der die Quelle/das Ziel alle Sicherheitsgruppen enthält, die in der Edge-FW verbraucht werden. Eine weitere Option besteht darin, die Quelle und das Ziel der Edge-Firewallregeln vor der Migration in IPSets zu verschieben.

• Problem 2884070: Wenn die MTU-Einstellung für den NSX-T Edge-Uplink und den Peering-Router nicht übereinstimmt, bleibt die OSPF-Nachbarschaft im Exstart-Status stecken. Während der Migration von NSX for vSphere zu NSX-T wird die MTU nicht automatisch migriert, weshalb sich eine Nichtübereinstimmung während der vertikalen Edge-Übernahme auf die Datenebene auswirken kann.

  Die OSPF-Nachbarschaft bleibt im Exstart-Status stecken.

  Problemumgehung: Konfigurieren Sie die MTU auf OSPF-Nachbarschnittstellen manuell übereinstimmend, bevor Sie die Edge-Übernahme durchführen.

• Problem 2884416: Der Load Balancer-Status kann nicht rechtzeitig aktualisiert werden.

  Falscher Load Balancer-Status.

  Problemumgehung: Beenden Sie die Statistikerfassung des Load Balancers.

• Problem 2885009: Der globale Manager besitzt nach dem Upgrade zusätzliche Standard-Switching-Profile.

  Keine funktionalen Auswirkungen.

  Problemumgehung: Es wird nicht erwartet, dass Sie die Standard-Switching-Profile verwenden, die mit dem Präfix „nsx-default“ beginnen.

• Problem 2885248: Wenn EdgeVnics in einem InterVtep-Szenario mit NSX-Portgruppen verbunden sind (unabhängig vom VLAN auf der Edge-VM und dem ESX-Host), funktioniert der vertikale Datenverkehr zwischen Arbeitslast-VMs auf dem ESX und dem Edge nicht mehr, da ESX Pakete verwirft, die für den Edge-VTEP bestimmt sind.

  Problemumgehung: Aktualisieren Sie den Edge-Transportknoten, indem Sie die Segmente von ihren Schnittstellen trennen und erneut verbinden.

• Problem 2885330: Effektives Mitglied wird für AD-Gruppe nicht angezeigt.

  Effektive Mitglieder der AD-Gruppe werden nicht angezeigt. Keine Auswirkung auf Datenpfad.

  Problemumgehung: Keine.

• Problem 2885552: Wenn Sie eine LDAP-Identitätsquelle erstellt haben, die OpenLDAP verwendet, und mehr als ein LDAP-Server definiert wird, wird nur der erste Server verwendet.

  Wenn der erste LDAP-Server nicht mehr verfügbar ist, schlägt die Authentifizierung fehl, statt die weiteren konfigurierten OpenLDAP-Server zu nutzen.

  Problemumgehung: Wenn es möglich ist, einen Load Balancer vor den OpenLDAP-Servern zu platzieren und NSX mit der virtuellen IP des Load Balancers zu konfigurieren, ist Hochverfügbarkeit möglich.

• Problem 2886210: Wenn der VC während der Wiederherstellung inaktiv ist, wird ein Sichern/Wiederherstellen-Dialogfeld angezeigt, das den Benutzer auffordert, sicherzustellen, dass VC aktiv ist und ausgeführt wird. Die IP-Adresse des VC wird jedoch nicht angezeigt.

  Für die VC-Konnektivität wird während der Wiederherstellung die IP-Adresse des VCs nicht angezeigt.

  Problemumgehung: Überprüfen Sie, ob alle registrierten VCs ausgeführt werden, bevor Sie mit dem nächsten Wiederherstellungsschritt fortfahren.

• Problem 2886971: Gruppen, die auf dem globalen Manager erstellt wurden, werden nach dem Löschen nicht bereinigt. Dies geschieht nur, wenn es sich bei der Gruppe um eine Referenzgruppe auf einer lokalen Manager-Site handelt.

  Keine funktionalen Auswirkungen. Sie können jedoch keine weitere Gruppe mit demselben Richtlinienpfad erstellen wie die gelöschte Gruppe.

  Problemumgehung: Keine.

• Problem 2887037: NAT-Regeln können nach der Heraufstufung vom Manager- zum Richtlinienobjekt nicht aktualisiert oder gelöscht werden.

  Dies geschieht, wenn NAT-Regeln von einem PI-Benutzer (Prinzipalidentität) im Manager erstellt wurden, bevor die Heraufstufung ausgelöst wird. Vom PI-Benutzer erstellte NAT-Regeln können nach der Heraufstufung vom Manager- zum Richtlinienobjekt nicht aktualisiert oder gelöscht werden.

  Problemumgehung: NAT-Regeln mit derselben Konfiguration können vor der Heraufstufung vom Manager- zum Richtlinienobjekt mit einem nicht geschützten Benutzer, z. B. „admin“, erstellt werden.

• Problem 2888207: Lokale Benutzeranmeldedaten können nicht zurückgesetzt werden, wenn vIDM aktiviert ist.

  Sie können keine lokalen Benutzerkennwörter ändern, solange vIDM aktiviert ist.

  Problemumgehung: Die vIDM-Konfiguration muss (vorübergehend) deaktiviert, das Zurücksetzen der lokalen Anmeldedaten während dieser Zeit durchgeführt und die Integration dann erneut aktiviert werden.

• Problem 2889748: Das Löschen des Edge-Knotens schlägt fehl, wenn die erneute Bereitstellung fehlgeschlagen ist. Beim Löschen verbleibt der veraltete Intent im System und wird auf der Benutzeroberfläche angezeigt.

  Obwohl die Edge-VM gelöscht wird, bleiben der veraltete Edge-Intent und interne Objekte im System erhalten und der Löschvorgang wird intern erneut versucht. Keine Auswirkungen auf die Funktionalität, da die Edge-VMs gelöscht werden und nur der Intent veraltete Einträge aufweist.

  Problemumgehung: Keine.

• Problem 2875962: Der Upgrade-Workflow für cloudnative Setups unterscheidet sich für NSX-T 3.1 und NSX-T 3.2.

  Beim Ausführen des üblichen Workflows werden alle CSM-Daten gelöscht.

  Problemumgehung: Für das Upgrade wird Unterstützung durch VMware benötigt. Wenden Sie sich an den VMware Support.

• Problem 2888658: Erhebliche Auswirkungen auf die Leistung in Bezug auf Verbindungen pro Sekunde und Durchsatz, der bei NSX-T Gateway Firewall beobachtet wird, wenn die Funktion „Malware-Erkennung und Sandboxing“ aktiviert ist.

  Bei jedem Datenverkehr mit der Malware-Erkennung kommt es zu erheblichen Latenzen und möglicherweise Verbindungsfehlern. Wenn die Malware-Erkennung auf dem Gateway aktiviert ist, wirkt sich dies auch auf den L7FW-Datenverkehr aus, was Latenzen und Verbindungsfehler verursacht.

  Problemumgehung: Begrenzen Sie die Menge des Datenverkehrs, der der Malware-Erkennung unterliegt, indem Sie IDS-Regeln schreiben, die nur einem kleinen Unterabschnitt des Datenverkehrs entsprechen.

• Problem 2882574: Blockierte „Brownfield Config Onboarding“-APIs in NSX-T Version 3.2.0, da die Funktion nicht vollständig unterstützt wird.

  Sie können die Funktion „Brownfield Config Onboarding“ nicht verwenden.

  Problemumgehung: Keine.

• Problem 2890348: Das Umbenennen des Standard-VNI-Pools führt beim Upgrade auf NSX-T 3.2 zu einem inkonsistenten VNI-Pool.

  VNI-Zuteilung und zugehörige Vorgänge schlagen möglicherweise fehl.

  Problemumgehung: Benennen Sie vor dem Upgrade auf NSX-T 3.2 den Standard-VNI-Pool auf DefaultVniPool mit API PUT https://{{url}}/api/v1/pools/vni-pools/<vni-pool-id> um.

• Problem 2885820: Fehlende Übersetzungen für einige IP-Adressen für den IP-Bereich ab 0.0.0.0.

  NSGroup mit IP-Bereich ab 0.0.0.0 (z. B. „0.0.0.0-255.255.255.0“) weist Übersetzungsprobleme auf (fehlendes Subnetz 0.0.0.0/1).

  NSGroup mit IP-Bereich „1.0.0.0-255.255.255.0“ sind davon nicht betroffen.

  Problemumgehung: Um Gruppen mit einem IP-Bereich zu konfigurieren, der mit 0.0.0.0 beginnt, fügen Sie manuell 0.0.0.0/1 in die Gruppenkonfiguration ein.

• Problem 2871440: Arbeitslasten, die mit NSX Security auf vSphere dvPortGroups gesichert wurden, verlieren ihre Sicherheitseinstellungen, wenn sie mit vMotion auf einen Host verschoben werden, der mit einem inaktiven NSX Manager verbunden ist.

  Für Cluster, die mit NSX Security auf vSphere dvPortGroups-Funktion installiert sind, werden die DFW- und Sicherheitsregeln für VMs, die mit vMotion auf Hosts verschoben werden, die mit einem ausgefallenen NSX Manager verbunden sind, nicht erzwungen. Diese Sicherheitseinstellungen werden erneut erzwungen, wenn die Verbindung zu NSX Manager wiederhergestellt wird.

  Problemumgehung: Vermeiden Sie vMotion auf betroffenen Hosts, wenn NSX Manager inaktiv ist. Wenn andere NSX Manager-Knoten funktionieren, verschieben Sie die VM mit vMotion auf einen anderen Host, der mit einem fehlerfreien NSX Manager verbunden ist.

• Problem 2945515: NSX Tools-Upgrade in Azure kann auf Redhat Linux-VMs fehlschlagen.

  Standardmäßig ist NSX Tools im Verzeichnis „/opt“ installiert. Während der NSX Tools-Installation kann der Standardpfad jedoch mit der Option „--chroot-path“ überschrieben werden, die an das Installationsskript übergeben wird.

  Unzureichender Festplattenspeicher auf der Partition, auf der NSX Tools installiert ist, kann dazu führen, dass das Upgrade der NSX Tools fehlschlägt.

  Problemumgehung: Keine.

• Problem 2875563: Das Löschen der IN_PROGRESS LTA-Sitzung kann zu einem PCAP-Dateiverlust führen.

  Die PCAP-Datei geht verloren, wenn ein LTA mit einer PCAP-Aktion gelöscht wird, während der LTA-Sitzungsstatus „IN_PROGRESS“ lautet. Dies kann dazu führen, dass die /tmp-Partition der ESXi voll ist.

  Problemumgehung: Das Löschen der /tmp-Partition kann helfen.

• Problem 2875667: Das Herunterladen der LTA-PCAP-Datei führt zu einem Fehler, wenn die NSX-/tmp-Partition voll ist.

  Die LTA-PCAP-Datei kann nicht heruntergeladen werden, da die /tmp-Partition voll ist.

  Problemumgehung: Das Löschen der /tmp-Partition kann helfen.

• Problem 2883505: PSOD auf ESXi-Hosts während der NSX V2T-Migration.

  PSOD (Purple Screen of Death) auf mehreren ESXi-Hosts während der V2T-Migration. Das kann zu einem Ausfall des Datenpfads führen.

  Problemumgehung: Keine.

• Problem 2914934: DFW-Regeln für dvPortGroups gehen nach der Migration von NSX-V zu NSX-T verloren.

  Nach einer Migration von NSX-V zu NSX-T wird für alle noch mit vSphere dvPortGroup verbundenen Arbeitslasten keine DFW-Konfiguration durchgeführt.

  Problemumgehung: Nach einer Migration von NSX-V zu NSX-T werden VLAN-Segmente mit einer identischen DFW-Konfiguration konfiguriert. Verwenden Sie die VLAN-Segmente anstelle der dvPortGroups.

  Eine weitere Problemumgehung besteht darin, NSX-V zu deinstallieren und dann NSX-T im reinen Sicherheitsmodus zu installieren. Anschließend können Sie Arbeitslasten auf vorhandenen dvPortGroups verwenden.

• Problem 2921704: Es kann aufgrund des Deadlocks im nginx-Prozess zu einer Spitzenauslastung der Edge-Service-CPU kommen, wenn der L7-Lastausgleichsdienst mit dem IP-Hash-Lastausgleichsalgorithmus verwendet wird.

  Die Backend-Server hinter dem Lastausgleichsdienst können nicht mit verbunden werden.

  Problemumgehung: Wechseln Sie zur L4-Engine, um das Problem zu beheben. Wenn Sie weiterhin den L7-Lastausgleichsdienst verwenden möchten, ändern Sie den Lastausgleichsalgorithmus zu Round-Robin anstelle von ip-hash.

• Problem 2933905: Das Ersetzen eines NSX-T Manager führt dazu, dass die Verbindung der Transportknoten zum Controller unterbrochen wird.

  Das Hinzufügen oder Entfernen eines Knotens im Manager-Cluster kann dazu führen, dass einige Transportknoten die Controller-Verbindung verlieren.

  Problemumgehung: Starten Sie den NSX-Proxy-Dienst auf betroffenen Transportknoten neu, wenn ein Manager zum Verwaltungscluster hinzugefügt oder daraus entfernt wird. Dadurch wird die controller-info.xml neu befüllt und die Controller-Verbindung kann hergestellt werden.

• Problem 2927442: Der Datenverkehr trifft seit dem Upgrade von NSX-T 3.2.0.1 manchmal auf die DFW-Standardablehnungsregel auf VMs auf verschiedenen Hosts und Clustern.

  Nach der Migration von NSX for vSphere zu NSX-T 3.1.3 sind einige PSOD-Probleme aufgetreten. Aus diesem Grund wurde ein Upgrade auf 3.2.0.1 empfohlen. Allerdings wenden die Hosts die Regeln für verteilte Firewalls seitdem nicht mehr konsistent an. Verschiedene Hosts entsprechen unterschiedlichen Regeln, die nicht konsistent sind und nicht erwartet werden.

  Problemumgehung:

  – Wenn die obige Ausnahme auf einem bestimmten Controller auftritt, kann er neu gestartet werden, um das Problem vorübergehend zu beheben.

  – Wenn sich das Problem auf die DFW auswirkt, können oben in der Regelliste Any/Any-Regeln erstellt werden, um unerwünschte greifende Blockregeln zu umgehen.

• Problem 2937810: Der Datenpfaddienst kann nicht gestartet werden und einige Edge-Bridge-Funktionen (z. B. Edge-Bridge-Port) funktionieren nicht.

  Wenn Edge-Bridging auf Edge-Knoten aktiviert ist, sendet die zentrale Steuerungsebene (Central Control Plane, CCP) die DFW-Regeln an die Edge-Knoten, die nur an Hostknoten gesendet werden sollten. Wenn die DFW-Regeln eine Funktion enthalten, die von der Edge-Firewall nicht unterstützt wird, können die Edge-Knoten die nicht unterstützte DFW-Konfiguration nicht verarbeiten, wodurch der Datenpfad nicht gestartet werden kann.

  Problemumgehung: Entfernen oder deaktivieren Sie die DFW-Regeln, die von der Edge-Firewall nicht unterstützt werden.