支持在蓝图中添加 SCAP 安全配置文件的自定义文件

有了此增强，您可以使用以下选项将配置文件的自定义定制选项添加到 osbuild-composer 蓝图自定义中：

最小 RHEL 安装现在只安装 s390utils-core 软件包

在 RHEL 8.4 及之后的版本中，s390utils-base 软件包被分成 s390utils-core 软件包，以及一个辅助 s390utils-base 软件包。因此，将 RHEL 安装设置为 minimal-environment 只安装必要的 s390utils-core 软件包，而不是辅助 s390utils-base 软件包。如果要在最小 RHEL 安装中使用 s390utils-base 软件包，您必须在完成 RHEL 安装后手动安装软件包，或使用 Kickstart 文件显式安装 s390utils-base。

提供了 Keylime 验证器和注册器容器

现在，您可以将 Keylime 服务器组件，验证器和注册器配置为容器。当配置为在容器内运行时，Keylime 注册器监控容器中的租户系统，而主机上无需有任何二进制文件。容器部署提供更好的隔离、模块化和 Keylime 组件的可重复性。

libkcapi 现在提供了一个选项，用来在哈希和计算中指定目标文件名

这个 libkcapi (Linux 内核加密 API)软件包的更新引进了新选项 -T，用来在哈希和计算中指定目标文件名。这个选项的值覆盖了处理的 HMAC 文件中指定的文件名。您只能通过 -c 选项来使用这个选项，例如：

使用 crypto-policies 对 SSH 中的 MAC 进行精细控制

现在，您可以在系统范围的加密策略(crypto-policies)中为 SSH 协议的消息验证代码(MAC)设置其它选项。有了此更新，crypto-policies 选项 ssh_etm 已转换为三状态 etm@SSH 选项。之前的 ssh_etm 选项已弃用。

semanage fcontext 命令不再对本地修改进行重新排序

semanage fcontext -l -C 命令列出存储在 file_contexts.local 文件中的本地文件上下文修改。restorecon 工具处理 file_contexts.local 中从最新到最旧的条目。以前，semanage fcontext -l -C 以不正确的顺序列出条目。处理顺序和列表顺序之间的不匹配导致管理 SELinux 规则时出现问题。有了此更新，semanage fcontext -l -C 以正确和预期的顺序，显示从最旧到最新的规则。

SELinux 策略中限制的其他服务

此更新将额外的规则添加到限制以下 systemd 服务的 SELinux 策略中：

OpenSSL 的 fips.so 库作为单独的软件包提供

OpenSSL 使用 fips.so 共享库作为 FIPS 提供者。有了此更新，提交给美国国家标准与技术研究所(NIST)进行认证的 fips.so 的最新版本在单独的软件包中，以确保 OpenSSL 的未来版本使用经过认证的代码或正在进行认证的代码。

OpenSSL 为提供者配置添加了一个补充目录

OpenSSL TLS 工具包为提供加密算法的模块的安装和配置支持提供者 API 。有了此更新，您可以将特定于提供者的配置放在 /etc/pki/tls/openssl.d 目录下的单独 .conf 中，而无需不修改主 OpenSSL 配置文件。

p11-kit 软件包 rebase 到 0.25.3

p11-kit 软件包已更新至上游版本 0.25.3。软件包包含用来管理 PKCS#11 模块的 p11-kit 工具、用来对信任策略存储进行操作的 trust 工具，以及 p11-kit 库。主要改进包括：

libkcapi rebase 到 1.4.0

libkcapi 库，其提供对 Linux 内核加密 API 的访问，已 rebase 到上游版本 1.4.0。这个更新包括各种改进和 bug 修复，最重要的是：

OpenSSH 中的用户和组创建使用 sysusers.d 格式

之前，OpenSSH 使用静态 useradd 脚本。有了此更新，OpenSSH 使用 sysusers.d 格式来声明系统用户，这使得反省系统用户成为可能。

OpenSSH 在身份验证中限制人工延迟

OpenSSH 在登录失败后的响应是人工延迟，以防止用户枚举攻击。在这个版本中，在远程身份验证用时（例如在特权访问管理(PAM)处理中）时，对此类延迟引入了一个上限。

Stunnel rebase 到 5.71

stunnel TLS/SSL 隧道服务已 rebase 到上游版本 5.71。

Rsyslog 中丢弃功能的新选项

现在，您可以使用以下全局选项在丢弃功能时配置 Rsyslog 的行为：

audit rebase 到 3.1.2

Linux Audit 系统已更新至版本 3.1.2，与之前发布的版本 3.0.7 相比，它提供了 bug 修复、功能增强和性能改进。主要改进包括：

rsyslog rebase 到 8.2310

Rsyslog 日志处理系统已 rebase 到上游版本 8.2310。这个版本引入了重要的改进和程序错误修复。最显著的改进包括：

SCAP 安全指南 rebase 到 0.1.72

SCAP 安全指南(SSG)软件包已更新到上游版本 0.1.72。此版本提供程序错误修正和各种改进，最重要的是：

支持构建启用了 FIPS 的 RHEL for Edge 镜像

此功能增强添加了对为以下镜像类型构建启用了 FIPS 的 RHEL for Edge 镜像的支持：

opencryptoki rebase 到版本 3.22.0

opencryptoki 软件包已更新至版本 3.22.0。主要变更包括：

sysnce4l rebase 到版本 1.0.0

synce4l 协议已更新至版本 1.0.0。这个版本添加了对内核数字阶段锁定(DPLL)接口的支持。

chrony rebase 到版本 4.5

chrony 套件已更新至版本 4.5。主要变更包括：

linuxptp rebase 到版本 4.2

linuxptp 协议已更新至版本 4.2。主要变更包括：

nmstate 现在支持 优先级 绑定属性

在这个版本中，nmstate 框架的用户可以通过其配置文件的 port -config 部分中的 priority 属性设置绑定端口的优先级。YAML 文件示例类似如下：

NetworkManager wifi 连接支持基于 MAC 地址的新隐私选项

在这个版本中，您可以将 NetworkManager 配置为将随机生成的 MAC 地址与 wifi 网络的 Service Set Identifier (SSID)关联。这可让您为 wifi 网络永久使用随机但一致的 MAC 地址，即使您删除连接配置集并重新创建。要使用这个新功能，请将 wifi 连接配置集的 802-11-wireless.cloned-mac-address 属性设置为 stable-ssid。

为 VLAN 接口引进新的 nmstate 属性

在这个版本中 ， 引进了以下 VLAN 属性：

nmstate 现在支持创建 MACsec 接口

在这个版本中，nmstate 框架的用户可以配置 MACsec 接口来保护其在 Open Systems Interconnection (OSI)模型的第 2 层上的通信。因此，在第 7 层之后不需要加密单独的服务。另外，该功能消除了相关的挑战，如为每个端点管理大量证书。

Netfilter 更新

在 RHEL 9 中，内核软件包 已升级至版本 5.14.0-405。因此，在 RHEL 内核的 netfilter 组件中还提供了多个改进和程序错误修复。最显著的变化包括：

firewalld 现在避免不必要的防火墙规则刷新

如果满足这两个条件，firewalld 服务不会从 iptables 配置中删除所有现有的规则：

RHEL 9.4 中的内核版本

Red Hat Enterprise Linux 9.4 带有内核版本 5.14.0-427.11.1。

rteval 现在支持从默认测量 CPU 列表中添加和删除任意 CPU

使用 rteval 工具，您可以在使用 --measurement-cpulist 参数时将（使用 + 符号）或减去（使用 - 符号）到默认测量 CPU 列表中，而不必指定整个新列表。过去，引入了 --measurement-run-on-isolcpus，仅用于将隔离 CPU 添加到默认测量 CPU 列表中。但是，有些用例需要更通用的功能。例如，一些实时应用程序使用一个隔离 CPU 进行内务处理，需要它从默认的测量 CPU 列表中排除。现在，您可以不仅能够添加，还可以以灵活的方式从默认测量 CPU 列表中删除任意 CPU。删除的优先级高于添加的优先级。此规则适用于使用 +/- 符号指定的 CPU，以及通过 --measurement-run-on-isolcpus 定义的 CPU。

rtla rebase 到 上游内核 源代码的 6.6 版本

rtla 工具已升级到最新的上游版本，提供多个程序错误修复和增强。主要变更包括：

cyclicdeadline 现在支持生成延迟直方图

在这个版本中，cyclicdeadline 工具支持生成延迟直方图。您可以使用此功能深入了解不同大小的延迟高峰频率，而不是只获得一个最糟糕的问题单号。

SGX 现在被完全支持

软件扩展（SGX）是一个 Intel® 技术，用于保护软件代码和数据不受公开和修改的影响。

现在完全支持 Intel 数据流加速器驱动程序

Intel 数据流加速器驱动程序(IDXD)是一个提供 Intel CPU 集成加速器的内核驱动程序。它包括一个带有进程地址空间 ID (pasid)提交和共享虚拟内存(SVM)的共享工作队列。

在预引导阶段支持 DEP/NX

内存保护功能称为 Data Execution Prevention (DEP)、No Execute (NX)或 Execute Disable (XD)，阻止执行标记为不可执行的代码。DEP/NX 在操作系统级别的 RHEL 中提供。

现在，可以使用 lvconvert 将标准 LV 转换为精简 LV

通过将标准逻辑卷(LV)指定为精简池数据，您现在可以使用 lvconvert 命令将标准 LV 转换为精简 LV。在这个版本中，您可以将现有 LV 转换为使用精简配置工具。

multipathd 现在支持为 NVMe 设备检测 FPIN-Li 事件

在以前的版本中，multipathd 命令只会监控 SCSI 设备中的完整性 Fabric 性能影响通知(PFIN-Li)事件。multipathd 可以侦听由光纤通道光纤发送的 Link Integrity 事件，并使用它来将路径标记为边缘。这个功能只支持 SCSI 设备上的多路径设备，multipathd 无法将 Non-volatile Memory Express (NVMe)设备路径标记为 marginal。

max_retries 选项现在添加到 multipath.conf的 defaults 部分

此增强将 max_retries 选项添加到 multipath.conf 文件的 defaults 部分。默认情况下，这个选项未设置，并使用 SCSI 层的默认值 5 次。此选项的有效值从 0 到 5。当设定这个选项时，它会覆盖 SCSI 设备的 max_retries sysfs 属性的默认值。此属性控制 SCSI 层在返回失败时重试 I/O 命令的次数。

auto_resize 选项现在添加到 multipath.conf的 defaults 部分

在以前的版本中，要重新定义您需要手动执行 multipathd resize map <name> 命令的多路径设备大小。在这个版本中，auto_resize 选项被添加到 multipath.conf 文件的 defaults 部分。这个选项控制 multipathd 命令何时可以自动调整多路径设备的大小。以下是 auto_resize 的不同值：

现在在内核中包含对 绕过 NVMeoFC multipath.conf 设置的更改

device-mapper-multipath 现在为 HPE Alletra 9000 NVMeFC 阵列有一个内置配置。Arcus 添加了对 NVMeoFC 的 ANA (Asymmetric Namespace Access)的支持。这和 SCSI 的 ALUA 类似。RHEL 主机需要更改 multipath.conf 来使用此功能，并在可用时仅将 I/O 发送到 ANA 优化的路径。如果没有此更改，设备映射器会将 I/O 发送到 ANA 优化，以及 ANA 非优化路径。

Stratis-cli rebase 到版本 3.6.0

stratis-cli 软件包已升级到 3.6.0 版本。重要的程序错误修复和增强包括：

boom rebase 到版本 1.6.0

boom 软件包已升级到版本 3.6.0。主要改进包括：

现在完全支持 SAN 中的 NVMe-FC 引导

现在完全支持在 Red Hat Enterprise Linux 9.2 中引进的通过光纤通道(NVMe/FC)引导的 Non-volatile Memory Express (NVMe/FC)。有些 NVMe/FC 主机总线适配器支持 NVMe/FC 引导功能。有关编程主机总线适配器(HBA)来启用 NVMe/FC 引导功能的更多信息，请参阅 NVMe/FC 主机总线适配器制造商文档。

用于时间属性的 pcs 支持 ISO 8601 持续时间规格

pcs 命令行界面现在允许您根据 ISO 8601 持续时间规格标准为 Pacemaker 时间属性指定值。

支持新的 pscd Web UI 功能

pscd Web UI 现在支持以下功能：

TLS 密码列表现在默认为系统范围的加密策略

在以前的版本中，pcsd TLS 密码列表默认设置为 DEFAULT:!RC4:!3DES:@STRENGTH。在这个版本中，密码列表默认由系统范围的加密策略定义。pcsd 守护进程接受的 TLS 密码可能会使用这个升级更改，具体取决于当前设置的加密策略。有关加密策略框架的更多信息，请参阅 crypto-policies(7)手册页。

RHEL 9 中的 Python 3.12 可用

RHEL 9.4 引入了 Python 3.12，由新软件包 python3.12 提供，以及为它构建的软件包套件，以及 ubi9/python-312 容器镜像。

Python 中的一个控制电子邮件地址解析的新环境变量

为缓解 CVE-2023-27043，一个向后兼容的更改，以确保在 Python 3 中引入了更严格的电子邮件地址的解析。

新模块流： ruby:3.3

RHEL 9.4 在新的 ruby:3.3 模块流中引入了 Ruby 3.3.0。与 RHEL 9.1 一起提供的 Ruby 3.1 相比，这个版本提供了很多性能改进、程序错误和安全修复以及新功能。

新模块流： php:8.2

RHEL 9.4 将 PHP 8.2 添加为新的 php:8.2 模块流。

新模块流： nginx:1.24

nginx 1.24 web 和代理服务器现在作为 nginx:1.24 模块流提供。与之前发布的 1.22 版本相比，这个版本提供了很多 bug 修复、安全修复、新功能和增强。

新模块流： mariadb:10.11

MariaDB 10.11 现在作为新的模块流 mariadb:10.11 提供。与之前可用的版本 10.5 相比，显著改进包括：

新模块流： postgresql:16

RHEL 9.4 引入了 PostgreSQL 16，作为 postgresql:16 模块流。与版本 15 相比，PostgreSQL 16 提供了很多新功能和增强。

git rebase 到版本 2.43.0

Git 版本控制系统已更新至版本 2.43.0，与之前发布的版本 2.39 相比，它提供了 bug 修复、功能增强和性能改进。

Git LFS rebase 到版本 3.4.1

Git 大文件存储(LFS)扩展已更新至版本 3.4.1，与之前发布的版本 3.2.0 相比，它提供了 bug 修复、增强和性能改进。

clang 资源目录已移动

Clang 资源目录，其中 Clang 存储其内部标头和库，已从 /usr/lib64/clang/17 移到 /usr/lib/clang/17。

elfutils rebase 到版本 0.190

elfutils 软件包已更新至版本 0.190。主要改进包括：

SystemTap rebase 到版本 5.0

systemtap 软件包已更新至版本 5.0。主要改进包括：

新的 grafana-selinux 软件包

在以前的版本中，grafana-server 的默认安装作为 unconfined_service_t SELinux 类型运行。这个更新添加了新的 grafana-selinux 软件包，其中包含 grafana-server 的 SELinux 策略，默认使用 grafana-server 安装。因此，grafana-server 现在作为 grafana_t SELinux 类型运行。

新软件包： maven-openjdk21

maven:3.8 模块流现在包含 maven-openjdk21 子软件包，它为 OpenJDK 21 提供 Maven JDK 绑定，并将 Maven 配置为使用系统 OpenJDK 21。

新软件包： libzip-tools

RHEL 9.4 引入了 libzip-tools 软件包，它提供了 zipcmp、zipmerge 和 ziptool 等工具。

cmake rebase 到版本 3.26

cmake 软件包已更新至版本 3.26。主要改进包括：

ipa rebase 到版本 4.11

ipa 软件包已从版本 4.10 更新至 4.11。主要变更包括：

删除过期的 KCM Kerberos 票据

在以前的版本中，如果您试图向 Kerberos 凭证管理器(KCM)添加新凭证，且您已达到存储空间限制，新凭证将被拒绝。用户存储空间受 max_uid_ccaches 配置选项的限制，该选项的默认值为 64。在这个版本中，如果您已达到存储空间限制，您的最旧的过期凭证会被删除，并将新凭证添加到 KCM 中。如果没有过期的凭证，操作会失败并返回错误。要防止这个问题，您可以使用 kdestroy 命令删除凭证来释放一些空间。

IdM 现在支持 idoverrideuser、idoverridegroup 和 idview Ansible 模块

在这个版本中，ansible-freeipa 软件包包含以下模块：

idp Ansible 模块允许将 IdM 用户与外部 IdP 关联

在这个版本中，您可以使用 idp ansible-freeipa 模块将身份管理(IdM)用户与支持 OAuth 2 设备授权流的外部身份提供程序(IdP)关联。如果 IdM 中存在 IdP 引用和关联的 IdP 用户 ID，您可以使用它们为 IdM 用户启用 IdP 身份验证。 

getcert add-ca 如果证书已存在或跟踪，则返回新的返回代码

在这个版本中，如果尝试添加或跟踪已存在的证书，getcert 命令会返回特定的返回代码 2。在以前的版本中，命令会在任何错误条件中返回返回码 1。

现在 ansible-freeipa中启用了 DNS 区域管理的委派

现在，您可以使用 dnszone ansible-freeipa 模块委派 DNS 区域管理。使用 dnszone 模块的 permission 或 managedby 变量来配置每个区访问委托权限。

现在，对于 ns-slapd 进程，默认禁用透明巨页

当使用大型数据库缓存时，透明巨页(THP)可能会对目录服务器性能造成负面影响，例如高内存占用量、高 CPU 使用量和延迟激增。在这个版本中，在 /usr/lib/ systemd /system/ dirsrv @.service.d/custom.conf drop-in 配置文件中添加了一个新的 THP_DISABLE=1 配置选项，以便为 ns-slapd 进程禁用 THP。

samba rebase 到版本 4.19.4

samba 软件包已升级到上游版本 4.19.4，它提供程序错误修复和增强。最显著的更改有：

SSSD 中提供了一个新的免密码验证方法

在这个版本中，您可以在 SSSD 中启用和配置免密码身份验证，以使用与 FIDO2 规范兼容的 biometric 设备，如 YubiKey。您必须提前注册 FIDO2 令牌，并将此注册信息存储在 RHEL IdM、Active Directory 或 LDAP 存储的用户帐户中。RHEL 实现 FIDO2 与 libfido2 库的兼容性，该库目前仅支持基于 USB 的令牌。

IdM 支持选项来控制用于为 PAC 签名的加密类型

默认情况下，Kerberos 密钥分发中心(KDC)为 Privilege Attribute 证书(PAC)生成 AES HMAC-SHA2 签名。但是，活动目录(AD)不支持此加密类型。因此，AD 跨领域约束的委托请求无法被正确处理。

RHEL web 控制台现在可以生成 Ansible 和 shell 脚本

在 web 控制台中，您可以在 kdump 配置页面中轻松访问和复制自动化脚本。然后，您可以使用生成的脚本在多个系统中实现特定的 kdump 配置。

简化了在存储上管理存储和重新定义分区大小

Web 控制台的 Storage 部分现已重新设计。新的设计提高了所有视图的可见性。概述页面现在显示全面的表中的所有存储对象，这有助于直接执行操作。您可以点击任何行来查看详细信息以及任何补充组。另外，您现在可以从 Storage 部分中重新定义分区大小。

ad_integration RHEL 系统角色现在支持配置动态 DNS 更新选项

在这个版本中，ad_integration RHEL 系统角色支持在与 Active Directory (AD)集成时使用 SSSD 配置动态 DNS 更新选项。默认情况下，SSSD 会尝试自动刷新 DNS 记录：

Storage RHEL 系统角色现在支持共享 LVM 设备管理

RHEL 系统角色现在支持创建和管理共享逻辑卷和卷组。

rhc 系统角色现在支持 RHEL 7 系统

现在，您可以使用 rhc 系统角色管理 RHEL 7 系统。将 RHEL 7 系统注册到 Red Hat Subscription Management (RHSM)和 Insights，并开始使用 rhc 系统角色管理系统。

Storage RHEL 系统角色现在支持 LVM 快照管理

RHEL 系统角色现在支持 LVM 快照的创建、配置和管理。

network RHEL 系统角色现在支持新的路由类型

在这个版本中，您可以在 network RHEL 系统角色中使用以下路由类型：

rhc 角色中的新的 rhc_insights.display_name 选项来设置显示名称

现在，您可以使用新的 rhc_insights.display_name 参数配置或更新注册到 Red Hat Insights 的显示名称。参数允许您根据您偏好在 Insights 清单中轻松管理系统来命名系统。如果您的系统已经连接到 Red Hat Insights，请使用 参数更新现有的显示名称。如果在注册中没有明确设置显示名称，则默认将其设置为主机名。无法自动将显示名称恢复到主机名，但可以手动设置。

postgresql RHEL 系统角色现在支持 PostgreSQL 16

postgresql RHEL 系统角色，它安装、配置、管理和启动 PostgreSQL 服务器，现在支持 PostgreSQL 16。

支持在不创建文件系统的情况下创建卷

在这个版本中，您可以通过指定 fs_type=un format 选项来创建新卷，而无需创建文件系统。

支持新的 ha_cluster 系统角色功能

ha_cluster 系统角色现在支持以下功能：

rhc 角色中的新的 rhc_insights.ansible_host 选项来设置 Ansible 主机名

现在，您可以使用新的 rhc_insights.ansible_host 参数为注册到 Red Hat Insights 的系统配置或更新 Ansible 主机名。设置后，参数会将 /etc/insights-client/insights-client.conf 文件中的 ansible_host 配置改为您的所选 Ansible 主机名。如果您的系统已经与 Red Hat Insights 连接，此参数将更新现有的 Ansible 主机名。

现在 ARM 64 支持虚拟化

这个版本引进了在使用 ARM 64 CPU 的系统中创建 KVM 虚拟机的支持。但请注意，某些在 AMD64 和 Intel 64 系统中可用的虚拟化功能可能会不同，或者在 ARM 64 中不被支持。

Podman 现在支持 containers.conf 模块

您可以使用 Podman 模块来加载预定的一组配置。Podman 模块是 Tom 的 Obvious Minimal Language (TOML)格式的 containers.conf 文件。

Container Tools 软件包已更新

更新的 Container Tools RPM 元软件包现已正式发布，其包括 Podman、Buildah、Skopeo、crun 和 runc 工具，现在可用。与之前版本相比，重要的程序错误修复和增强包括：

Podman v4.9 RESTful API 现在显示进度数据

在这个版本中，Podman v4.9 RESTful API 现在会在拉取镜像或将镜像推送到 registry 时显示进度数据。

SQLite 现在作为 Podman 的默认数据库后端被完全支持

在 Podman v4.9 中，Podman 的 SQLite 数据库后端（以前作为技术预览提供）现已获得全面支持。SQLite 数据库在使用容器元数据时提供更高的稳定性、性能和一致性。SQLite 数据库后端是 RHEL 9.4 的新安装的默认后端。如果您从以前的 RHEL 版本升级，则默认后端为 BoltDB。

Containerfile 现在支持多行说明

您可以使用 Containerfile 文件中的多行 HereDoc 指令(Here Document 表示法)来简化此文件，并减少执行多个 RUN 指令导致的镜像层数。

Podman 现在支持从主机分配 USB 设备到 QEMU 虚拟机

使用 podman machine 命令，您现在可以通过 USB 透传将主机中的 USB 设备分配给 QEMU 虚拟机(VM)。

gvisor-tap-vsock 软件包现在可用

gvisor-tap-vsock 软件包是 libslirp 用户模式网络库和 VPNKit 工具和服务的替代选择。它使用 Go 编写，基于 gVisor 的网络堆栈。与 libslirp 相比，gvisor-tap-vsock 库支持可配置的 DNS 服务器和动态端口转发。您可以将 gvisor-tap-vsock 网络库用于 podman-machine 虚拟机。目前，Red Hat Enterprise Linux 不支持用于管理虚拟机的 podman machine 命令。

Anaconda 在 Installation Destination 屏幕中显示多路径存储设备的 WWID 标识符

在以前的版本中，Anaconda 没有显示任何详情，如多路径存储设备的设备号、WWPN 或 LUN。因此，很难从 Installation Destination > Add a disk 屏幕中选择正确的安装目的地。在这个版本中，Anaconda 会显示多路径存储设备的 WWID 标识符。现在，您可以在高级存储设备屏幕中轻松识别并选择所需的安装目的地。

安装程序现在在 Kickstart 文件中接受额外的时区定义

Anaconda 切换到了不同的、更严格的验证时区选择的方法。这会导致一些时区定义（如日本）不再有效，尽管之前版本中被接受。需要更新具有这些定义的传统 Kickstart 文件。否则，它们将默认为 Americas/New_York 时区。

安装程序现在可以正确地使用多个端口和 BOOTIF 选项创建绑定设备

在以前的版本中，当安装使用带有多个端口的绑定网络设备以及 BOOTIF 引导选项时，安装程序会创建不正确的连接配置集。因此，如果将 BOOTIF 选项配置为其端口之一，则不会将 BOOTIF 选项使用的设备添加到绑定设备中。

在引导安装镜像时，Anaconda 会替换误导的错误消息

在以前的版本中，当安装程序无法引导安装镜像时，例如因为 inst. stage2 或 inst.repo 中指定的 stage2 源丢失，Anaconda 会显示以下误导错误消息：

Anaconda 现在验证 FIPS 要求的 LUKS 密码短语

在以前的版本中，Anaconda 不检查 LUKS 密码短语的长度是否满足 FIPS 要求，即使底层工具执行了这个检查。因此，使用小于 8 个字符的密码短语在 FIPS 模式下安装会导致安装程序过早停止。

xfsprogs 的新版本不再缩小 /boot的大小

在以前的版本中，RHEL 9.3 中 5.19 版本的 xfsprogs 软件包会导致 /boot 的大小缩小。因此，与 RHEL 9.2 版本相比，它会导致 /boot 分区上可用空间的不同。此修复为所有镜像将 /boot 分区增加到 600 MiB，而不是 500 MiB，/boot 分区不再受到空间问题的影响。

使用 ip vrf 管理虚拟路由的规则被添加到 SELinux 策略中

您可以使用 ip vrf 命令管理其他网络服务的虚拟路由。在以前的版本中，selinux-policy 不包含支持这个使用的规则。有了这个更新，SELinux 策略规则允许从 ip 域明确过渡到 httpd、sshd 和 named 域。当 ip 命令使用 setexeccon 库调用时，这些转换会应用。

rsyslog 可以通过 omprog执行特权命令

在以前的版本中，Rsyslog 的 omprog 模块无法执行某些外部程序，特别是包含特权命令的程序。因此，通过 omprog 使用涉及特权命令的脚本受到限制。在这个版本中，SELinux 策略已被调整。将您的脚本放在 /usr/libexec/rsyslog 目录中，以确保与调整的 SELinux 策略兼容。现在，Rsyslog 可以通过 omprog 模块来执行包括带有特权命令的脚本。

带有偏移的 CardOS 5.3 卡不再会在 OpenSC 中造成问题

在以前的版本中，对于将证书存储在单个 PKCS 380 文件的不同偏移上的一些 CardOS 5.3 卡中，文件缓存无法正常工作。这是因为文件缓存会忽略文件的偏移部分，这会导致缓存重复覆盖，并从文件缓存中读取无效数据。这个问题已被识别并修复上游，在更新后，CardOS 5.3 卡可以与文件缓存正常工作。

subscription-manager 不再在终端中保留非必要的文本

从 RHEL 9.1 开始，subscription-manager 在处理任何操作时会显示进度信息。在以前的版本中，对于某些语言（通常为非拉丁语言），在操作完成后不会清除进度消息。有了这个更新，在操作完成后，所有信息都会被正确清除。

现在，如果 librhsm 在容器中运行，librhsm 库会返回正确的 /etc/rhsm-host 前缀

如果 librhsm 在容器中运行 librhsm，则 librhsm 库将路径前缀从 /etc/rhsm 重写到 /etc/rhsm-host 路径。在以前的版本中，因为字符串操作错误，librhsm 会返回错误的 /etc/rhsm-host-host 前缀。在这个版本中，这个问题已被解决，librhsm 库现在返回正确的 /etc/rhsm-host 前缀。

systemd 现在可以正确地管理 librepo创建的 /run/user/0 目录

在以前的版本中，如果在 root 用户登录前从 Insights 客户端调用 librepo 功能，/run/user/0 目录可能会创建并带有错误的 SELinux 上下文类型。这导致 systemd 在从 root 注销后清理目录。

systemd 现在可以正确地管理 libdnf创建的 /run/user/0 目录

在以前的版本中，如果在 root 用户登录前从 Insights 客户端调用 libdnf 功能，/run/user/0 目录可能会创建并带有错误的 SELinux 上下文类型。这导致 systemd 在从 root 注销后清理目录。

dnf need-restarting --reboothint 命令现在建议重启来更新 CPU microcode

要完全更新 CPU microcode，您必须重启系统。在以前的版本中，当安装了包含更新的 CPU microcode 的 microcode_ctl 软件包时，dnf needs-restarting --reboothint 命令不推荐重启。在这个版本中，这个问题已被解决，dnf needs-restarting --reboothint 现在建议重启来更新 CPU microcode。

现在，当按内存对进程排序时，top -u 命令至少会显示一个进程

在以前的版本中，当使用 -u &lt ; user > 参数执行 top 命令时，用户与运行命令的不同时，所有进程都会按内存排序时消失。在这个版本中，当按内存对进程排序时，top 命令至少会显示一个进程。

ReaR 现在会在安装 BIOS 和 UEFI 引导装载程序时决定存在 BIOS 引导装载程序

在以前的版本中，在混合引导装载程序设置(UEFI 和 BIOS)中，当 UEFI 被用来引导时，Relax-and-Recover (ReaR)只恢复 UEFI 引导装载程序而不是 BIOS 引导装载程序。这会导致系统具有 GUID 分区表 (GPT)、BIOS 引导分区，而不是 BIOS 引导装载程序。在这种情况下，ReaR 无法创建救援镜像，尝试使用 rear mkbackup 或 rear mkrescue 命令生成备份或救援镜像会失败，并显示以下错误消息：

ReaR 在恢复过程中不再使用 logbsize,sunit 和 swidth 挂载选项

在以前的版本中，当使用 MKFS_ XFS _OPTIONS 配置设置恢复带有与原始参数的 XFS 文件系统时，Relax-and-Recover (ReaR)使用适用于原始文件系统的挂载选项挂载这个文件系统，但不适用于恢复的文件系统。因此，当 ReaR 运行 mount 命令时，磁盘布局重新创建会失败，并显示以下错误消息：

在有小的精简池元数据大小的系统上，ReaR 恢复不再会失败

在以前的版本中，当使用精简池保存 LVM 卷组布局时，ReaR 不会保存池元数据卷的大小。在恢复过程中，ReaR 会使用默认大小重新创建池，即使系统使用了非默认池元数据大小。

ReaR 现在在救援系统中保留 NetBackup 的 bprestore 命令的日志以及恢复的系统

在以前的版本中，当使用 NetBackup 集成(BACKUP=NBU)时，ReaR 会在恢复过程中将日志从 bprestore 命令添加到退出时删除的目录。另外，ReaR 没有将命令生成的更多日志保存到恢复的系统上的 /usr/openv/netbackup/logs/bprestore/ 目录下。

如果在配置文件中设置了 TMPDIR 变量，ReaR 在恢复过程中不再失败

在以前的版本中，ReaR 默认配置文件 /usr/share/rear/conf/default.conf 包含以下说明：

wwan_hwsim 现在在 kernel-modules-internal 软件包中

wwan_hwsim 内核模块提供了一个框架，用于模拟和测试使用无线广域网络(WWAN)设备的各种网络场景。在以前的版本中，wwan_hwsim 是 kernel-modules-extra 软件包的一部分。但是，在这个发行版本中，它被移到 kernel-modules-internal 软件包中，该软件包包含其他面向类似的工具。请注意，PCI 模式的 WWAN 功能仍是一个技术预览。

xdp-loader features 命令现在可以正常工作

xdp-loader 工具根据之前的 libbpf 版本编译。因此，xdp-loader 功能 会失败，并显示错误：

crash 被 rebase 到版本 8.0.4

crash 工具已升级至 8.0.4 版本，提供多个 bugfixes。主要修复包括：

tuna 根据需要启动 GUI

在以前的版本中，如果您在没有任何子命令的情况下运行 tuna 工具，它将启动 GUI。如果您有显示，则需要此行为。相反，在没有显示的情况下，机器中的 tuna 不会正常退出。在这个版本中，tuna 会检测您是否已显示，GUI 会被启动，并相应地启动 GUI。

在启用了 VMD 时，RHEL 之前无法识别 NVMe 磁盘

当您重置或重新附加驱动程序时，卷管理设备(VMD)域之前没有软重置。因此，硬件无法正确检测并枚举其设备。有了此更新，启用了 VMD 的操作系统可以正确地识别 NVMe 磁盘，特别是在重置服务器或使用虚拟机时。

multipathd 现在成功删除带有未排队的 I/O 的设备

在以前的版本中，multipathd 命令在删除设备前不会禁用 queue_if_no_path 参数。这只有在多路径设备本身有未完成的 I/O 且不是分区设备时，才能实现。因此，multipathd 会挂起，且无法维护多路径设备。在这个版本中，multipathd 在执行 remove 命令前禁用排队，如 multipath -F,multipath -f <device> , multipathd remove map , 或 multipathd remove map <device>。现在，multipathd 可以成功删除带有未排队的 I/O 的设备。

dm-crypt 和 dm-verity 设备的 no_read_workqueue、no_write_workqueue 和 try_verify_in_taskle 选项会被临时禁用

在以前的版本中，使用 no_read_workqueue 或 no_write_workqueue 选项和 dm-verity 设备创建的 dm-crypt 设备以及使用 try_verify_in_tasklet 选项创建的 dm-verity 设备会导致内存崩溃。因此，随机内核内存被破坏，这会导致各种系统问题。在这个版本中，这些选项会被临时禁用。请注意，这个修复可能会导致 dm-verity 和 dm-crypt 在某些工作负载中执行较慢。

multipathd 现在检查设备是否错误地排队 I/O

在以前的版本中，多路径设备会在以下条件下重启排队 I/O，即使它被配置为失败：

从 nvmf_log_connect_error中删除重复条目

在以前的版本中，由于重复的提交合并错误，在 nvmf_log_connect_error 内核功能中重复日志消息。因此，当内核无法连接到光纤附加的 Non-volatile Memory Express (NVMe)设备时，Connect 命令会失败 消息两次。在这个版本中，重复日志消息已从内核中删除，从而导致每个错误都只有一个日志消息可用。

在添加和删除命名空间时，内核不再崩溃

在以前的版本中，当快速添加和删除 NVMe 命名空间时，命名空间会在用于探测命名空间的连续命令间消失。在特定情况下，存储阵列不会返回 无效的命名空间 错误，而是返回一个带有零的缓冲区。因此，内核会因为 divide-by-zero 错误而崩溃。在这个版本中，内核会从向存储发布的 Identify 命名空间数据结构的响应验证数据。因此，内核不再崩溃。

现在，数据设备的新分配的部分已被正确对齐

在以前的版本中，当扩展 Stratis 池时，可以分配池的新区域。但是新分配的区域没有与之前分配的区域正确一致。因此，可能会导致性能下降，以及 sysfs 中 Stratis 精简池的 alignment_offset 文件中的非零条目。在这个版本中，当池扩展时，数据设备的新分配的区域与之前分配的区域正确一致。因此，在 sysfs 中，性能没有降级，在 Stratis 精简池的 alignment_offset 文件中没有非零条目。

当在 /etc/fstab中将 NVMe-FC 设备添加为挂载点时，系统可以正确启动

在以前的版本中，由于 nvme-cli nvmf-autoconnect systemd 服务中的一个已知问题，在将光纤通道上的 Non-volatile Memory Express (NVMe-FC)设备添加为 /etc/fstab 文件中的挂载点时，系统无法引导。因此，系统进入紧急模式。有了此更新，当挂载 NVMe-FC 设备时，系统可以引导，而没有任何问题。

LUN 现在在操作系统安装过程中可见

在以前的版本中，系统没有使用固件源的身份验证信息，特别是在涉及带有存储在 iSCSI iBFT (Boot Firmware Table)中 CHAP (Challenge-Handshake Authentication Protocol) 的 iSCSI 硬件卸载的情况。因此，在安装过程中 iSCSI 登录失败。

配置 tls 和 keep_active_partition_tie_breaker 仲裁设备选项，而不指定 --force

在以前的版本中，当配置仲裁设备时，用户无法在不指定 --force 选项的情况下为仲裁设备模型 net 配置 tls 和 keep_active_partition_tie_breaker 选项。在这个版本中，配置这些选项不再需要指定 --force。

现在修正了移动和禁止克隆和捆绑包资源的问题

此程序错误修复解决了移动捆绑和克隆资源的两个限制：

pcs status 命令的输出不再显示已过期限制的警告

在以前的版本中，当移动集群资源创建临时位置约束时，pcs status 命令会在约束过期后显示警告。在这个版本中，pcs status 命令会过滤掉过期的限制，它们不再在命令输出中生成警告信息。

当 SBD 隔离需要它时，禁用 auto_tie_breaker 仲裁选项不再被允许

在以前的版本中，pcs 允许用户禁用 auto_tie_breaker 仲裁选项，即使集群配置需要这个选项才能正常工作。在这个版本中，当用户试图在 SBD 隔离需要启用 auto_tie_breaker 的系统上禁用 auto_tie_breaker 时，pcs 会生成错误消息。

如果使用正则表达式匹配配置了 DAV 存储库位置，则 httpd 可以正常工作

在以前的版本中，如果使用正则表达式匹配项（如 LocationMatch）在 Apache HTTP 服务器中配置了分布式 Authoring 和 Versioning (DAV)存储库，则 mod_dav httpd 模块无法从路径名称确定存储库的根目录。因此，httpd 无法处理来自第三方供应商的请求（例如，Subversion 的 mod_dav_svn 模块）。

ldconfig 在系统升级后不再崩溃

在以前的版本中，当中断系统升级后，ldconfig 工具会在 /usr/lib64 目录中处理不完整的共享对象时意外终止，并显示分段错误。在这个版本中，ldconfig 会忽略在系统升级过程中编写的临时文件。因此，ldconfig 在系统升级后不再崩溃。

改进了 glibc 与应用程序的兼容性，使用 dlclose 在依赖项周期中涉及的共享对象

在以前的版本中，当使用 glibc 中的 dlclose 函数卸载共享对象时，在卸载所有其他对象前，对象的 ELF destructor 可能没有被调用。由于此后期的 ELF 破坏性执行，应用程序会因为初始共享对象的依赖项已重新初始化而造成崩溃和其他错误。

现在，当一个操作完成时释放的内存

在以前的版本中，在连接关闭前，每个操作分配的 KCM 内存不会被释放。因此，对于打开连接并在同一个连接上运行许多操作的客户端应用程序，可能会导致内存增加，因为分配的内存在连接关闭前没有被释放。在这个版本中，在操作完成后，为操作分配的内存会马上发布。

当可信 AD 用户的名称包含混合问题单字符时，IdM 客户端可以正确地检索它们的信息

在以前的版本中，如果您尝试用户查找或用户的身份验证，并且可信活动目录(AD)用户在其名称中包含混合大小写字符，且在 IdM 中使用覆盖进行了配置，则会返回一个错误，阻止用户访问 IdM 资源。

如果在更改密码时没有保留宽限期，SSSD 会正确返回错误

在以前的版本中，如果用户的 LDAP 密码已过期，SSSD 会在用户的初始绑定失败后尝试更改密码，因为没有更多宽限期。但是，返回到用户的错误没有指示失败的原因。在这个版本中，如果绑定失败，对更改密码的请求会被中止，SSSD 会返回一条错误消息，指示没有更多安全登录，且密码必须被另一个方式更改。

使用 realm leave 命令从域中删除系统

在以前的版本中，如果为 sssd.conf 文件中的 ad_server 选项设置了多个名称，运行 realm leave 命令会导致解析错误，系统也不会从域中删除。在这个版本中，会正确评估 ad_server 选项，并使用正确的域控制器名称，并且系统从域中正确删除。

现在，当处理常规受限委托请求时，KDC 会运行额外的检查

在以前的版本中，在 Red Hat Enterprise Linux 8 上运行的 KDC 发布的 Kerberos 票据中的 正向 标记存在安全漏洞，允许在不检测的情况下进行未经授权的修改。此漏洞可能会导致模拟攻击，即使没有特定权限的用户也是如此。在这个版本中，KDC 会在处理常规受限委托请求时运行额外的检查，确保检测并拒绝未授权标记修改，从而删除漏洞。

在为域生成 SID 时，对 forwardable 标记进行检查已被禁用

在以前的版本中，为 CVE-2020-17049 提供修复的更新依赖于 Kerberos PAC，以便在 KDC 处理常规受限委托请求时对 ticket forwardable 标记运行某些检查。但是，PAC 仅在过去执行 SID 生成任务的域中生成。虽然此任务会自动对在 Red Hat Enterprise Linux (RHEL) 8.5 及更新版本上创建的所有 IdM 域自动执行，但在旧版本上初始化的域需要手动执行此任务。

IdM Vault 加密和解密不再在 FIPS 模式下失败

在以前的版本中，IdM Vault 使用 OpenSSL RSA-PKCS1v15 作为默认的 padding wrapping 算法。但是，RHEL 中没有支持 PKCS#1 v1.5 作为 FIPS 批准算法中的 FIPS 认证模块，从而导致 IdM Vault 在 FIPS 模式下失败。在这个版本中，IdM Vault 支持 RSA-OAEP padding wrapping 算法作为回退。因此，IdM Vault 加密和解密现在可以在 FIPS 模式下正常工作。

IdM 客户端安装程序不再在 ldap.conf 文件中指定 TLS CA 配置

在以前的版本中，IdM 客户端安装程序在 ldap.conf 文件中指定 TLS CA 配置。有了此更新，OpenSSH 使用默认的信任存储，IdM 客户端安装程序不会在 ldap.conf 文件中设置 TLS CA 配置。

VNC 控制台现在可以在大多数分辨率下正常工作

在以前的版本中，当在某些显示分辨率下使用虚拟网络计算(VNC)控制台时，会出现鼠标偏移问题，或者只有接口的一部分可见。因此，无法使用 VNC 控制台。

当 SBD delay-start 值高时，集群启动不再超时

在以前的版本中，当用户使用 ha_cluster 系统角色在集群中配置 SBD 隔离，并将 delay-start 选项设置为接近 90 秒或大于 90 秒的值时，集群会启动超时。这是因为默认的 systemd 启动超时为 90 秒，系统在 SBD 启动延迟值前达到。在这个版本中，ha_cluster 系统角色会覆盖 systemd 中的 sbd.service start 超时，使其高于 delay-start 的值。这允许系统使用 delay-start 选项的高值成功启动。

当 rhc_auth 包含激活码时，rhc 系统角色不会在注册的系统上失败

在以前的版本中，当使用 rhc_auth 参数中指定的激活码在注册的系统上执行 playbook 文件时，会出现失败。这个问题已解决。现在，可以在已经注册的系统上执行 playbook 文件，即使在 rhc_auth 参数中提供了激活码。

现在，故障转移 virtio NIC 在 Windows 虚拟机上被正确分配了 IP 地址

在以前的版本中，当启动带有故障转移 virtio NIC Windows 虚拟机(VM)时，虚拟机无法为 NIC 分配 IP 地址。因此，NIC 无法建立网络连接。这个问题已被解决，VM NIC 现在可以在上述场景中按预期建立网络连接。

安装程序显示要在虚拟机上安装 RHEL 的预期的系统磁盘

在以前的版本中，当使用 virtio-scsi 设备在虚拟机上安装 RHEL 时，这些设备可能会因为 device-mapper-multipath bug 而不在安装程序中出现。因此，在安装过程中，如果某些设备设置了串口，而有些设备没有，则 multipath 命令会声明所有具有串口的设备。因此，安装程序无法在虚拟机中找到要安装 RHEL 的预期的系统磁盘。

实时迁移后，Broadcom 网络适配器现在可以在 Windows 虚拟机上正常工作

在以前的版本中，Broadcom 系列设备的网络适配器（如 Broadcom、Qlogic 或 Marvell）无法在 Windows 虚拟机实时迁移过程中进行热拔。因此，迁移完成后，适配器不能正常工作。此问题只会影响使用单根 I/O 虚拟化(SR-IOV)附加到 Windows 虚拟机的适配器。有了此更新，底层代码已被修复，这个问题不再发生。

nodedev-dumpxml 可以正确列出某些介质设备的属性

在此更新前，nodedev-dumpxml 工具无法正确列出使用 nodedev-create 命令创建的介质设备的属性。这个问题已被解决，nodedev-dumpxml 现在可以正确地显示受影响的介质设备的属性。

重启 virtqemud 或 libvirtd后，无法附加 virtiofs 设备

在以前的版本中，重启 virtqemud 或 libvirtd 服务会阻止 virtiofs 存储设备附加到主机上的虚拟机(VM)。这个 bug 已被解决，您现在可以在上述场景中附加 virtiofs 设备。

向虚拟机热插一块 Watchdog 卡不再失败

在以前的版本中，如果没有 PCI 插槽可用，向正在运行的虚拟机(VM)添加一块 Watchdog 卡会失败，并显示以下错误：

对于 IBM Z 上的 virtio-gpu，blob 资源无法正常工作

virtio-gpu 设备目前与 IBM Z 系统上的 blob 内存资源不兼容。因此，如果您在 IBM Z 主机上配置带有 virtio-gpu 的虚拟机(VM)，以使用 blob 资源，则虚拟机没有任何图形输出。

重新安装 virtio-win 驱动程序不再会导致 DNS 配置在客户机上重置

在使用 Windows 客户机操作系统的虚拟机(VM)中，为网络接口卡(NIC)重新安装或升级 virtio-win 驱动程序之前会导致客户机中的 DNS 设置重置。因此，在某些情况下您的 Windows 客户机丢失网络连接。

光纤通道设备上的 NVMe 现在在 RHEL 安装程序中作为一个技术预览提供

现在，您可以将光纤通道设备上的 NVMe 作为技术预览添加到 RHEL 安装中。在 RHEL 安装程序中，您可以在 Installation Destination 屏幕中添加磁盘时，在 NVMe Fabrics Devices 部分中选择这些设备。

RHEL 安装的 NVMe over TCP 现在作为技术预览提供

在这个技术预览中，您现在可以在配置固件后使用 NVMe over TCP 卷来安装 RHEL。从 Installation Destination 屏幕添加磁盘时，您可以在 NVMe Fabrics Devices 部分选择 NVMe 命名空间。

安装可引导 OSTree 原生容器现在作为技术预览提供

ostreecontainer Kickstart 命令现在作为技术预览在 Anaconda 中提供。您可以使用此命令从封装在 OCI 镜像中的 OSTree 提交安装操作系统。在执行 Kickstart 安装时，与 ostreecontainer 一起提供以下命令：

通过 Anaconda 中的 bootupd / bootupctl 进行引导装载程序安装和配置现在作为技术预览提供

因为 ostreecontainer Kickstart 命令现在作为技术预览提供，因此您可以使用它来从封装在 OCI 镜像中的 OSTree 提交安装操作系统。Anaconda 通过容器镜像中包含的 bootupd/bootupctl 工具自动排列引导装载程序安装和配置，即使 Kickstart 中没有显式引导装载程序配置。

gnutls 现在使用 kTLS 作为技术预览

更新的 gnutls 软件包可以将内核 TLS (kTLS)作为技术预览，来在加密通道上加速数据传输。要启用 kTLS，请使用 modprobe 命令添加 tls.ko 内核模块，并使用以下内容为系统范围的加密策略创建一个新的配置文件 /etc/crypto-policies/local.d/gnutls-ktls.txt ：

GIMP 在 RHEL 9 中作为技术预览提供

GNU Image Manipulation Program(GIMP)2.99.8 现在作为技术预览在 RHEL 9 中提供。gimp 软件包版本 2.99.8 是一个预发行版本，它有一组改进，但只能保证稳定性。发布官方 GIMP 3 后，将作为此预发布版本的更新，在 RHEL 9 中引入。

TuneD 的套接字 API 作为技术预览提供

通过 UNIX 域套接字控制 TuneD 的套接字 API 现在作为技术预览提供。套接字 API 将一对一与 D-Bus API 映射，并为 D-Bus 不可用的情况提供替代通信方法。通过使用套接字 API，您可以控制 TuneD 守护进程来优化性能，并更改各种调优参数的值。套接字 API 默认被禁用，您可以在 tuned-main.conf 文件中启用它。

WireGuard VPN 作为技术预览提供

WireGuard（红帽作为技术预览提供）是一个在 Linux 内核中运行的高性能 VPN 解决方案。它使用现代加密，比其他 VPN 解决方案更容易配置。此外，因为 WireGuard 较小的代码基础，减少了受攻击的风险，因此提高了安全性。

KTLS 作为技术预览提供

RHEL 将内核传输层安全(KTLS)作为技术预览提供。kTLS 使用内核中的对称加密或解密算法为 AES-GCM 密码处理 TLS 记录。kTLS 还包括用来将 TLS 记录加密卸载到提供此功能的网络接口控制器(NIC)的接口。

systemd-resolved 服务作为技术预览提供

systemd-resolved 为本地应用程序提供名字解析。该服务实现了缓存和验证 DNS stub 解析器、链接本地多播名称解析(LLMNR)和多播 DNS 解析器和响应程序。

PRP 和 HSR 协议现在作为技术预览提供

这个更新添加了提供以下协议的 hsr 内核模块：

NetworkManager 和 Nmstate API 支持 MACsec 硬件卸载

如果硬件支持此功能，您可以使用 NetworkManager 和 Nmstate API 启用 MACsec 硬件卸载。因此，您可以将 MACsec 操作（如加密）从 CPU 卸载到网络接口卡。

NetworkManager 启用配置 HSR 和 PRP 接口

高可用性 Seam 无冗余(HSR)和 Parallel Redundancy 协议(PRP)是网络协议，可为任何单个网络组件故障提供无缝故障转移。这两个协议对应用程序层是透明的，这意味着用户不会遇到通信或丢失数据中断，因为主路径和冗余路径之间的切换会非常快且不知道用户。现在，可以通过 nmcli 实用程序和 DBus 消息系统使用 NetworkManager 服务启用和配置 HSR 和 PRP 接口。

将 IPsec 封装卸载到 NIC 现在作为技术预览提供

此更新向内核添加了 IPsec 数据包卸载功能。在以前的版本中，只能将加密卸载到网络接口控制器(NIC)。有了此增强，内核现在可将整个 IPsec 封装过程卸载到 NIC，以减少工作负载。

RHEL 中 modems 的网络驱动程序作为技术预览提供

设备制造商支持将联邦通信委托(FCC)锁定作为默认设置。FCC 提供了一个锁，来将 WWAN 驱动程序绑定到特定的系统，其中 WWAN 驱动程序提供了一个与调制解调器进行通信的通道。根据调制解调器 PCI ID，制造商在 Red Hat Enterprise Linux 上为 ModemManager 集成了解锁工具。但是，如果之前未解锁，调制解调器仍不可用，即使 WWAN 驱动程序兼容并可以正常工作。Red Hat Enterprise Linux 为以下带有有限功能的调制解调器提供了驱动程序，来作为技术预览：

IPv6 上的段路由(SRv6)作为技术预览提供

RHEL 内核将 IPv6 (SRv6)上的段路由作为技术预览提供。您可以使用此功能来优化边缘计算中的流量流，或提高数据中心中的网络可编程性。但是，最重要的用例是在 5G 部署场景中的端到端(E2E)网络分片。在这个领域中，SRv6 协议为您提供了可编程自定义网络分片和资源保留，以解决特定应用程序或服务的网络要求。同时，解决方案可以部署到单一用途设备上，其满足较小计算占用的需求。

KTLS rebase 到版本 6.3

内核传输层安全(KTLS)功能是一个技术预览。在 RHEL 9.3 中，kTLS 被 rebase 到 6.3 上游版本，重要的更改包括：

Soft-iWARP 驱动程序作为技术预览提供

软硬件硬件(siw)是一种软件，互联网是 RDMA 协议(iWARP)，适用于 Linux 的内核驱动程序。soft-iWARP 通过 TCP/IP 网络堆栈实施 iWARP 协议套件。这个协议套件在软件中完全实现，不需要特定的远程直接内存访问(RDMA)硬件。Soft-iWARP 使具有标准以太网适配器的系统连接到 iWARP 适配器或安装了 Soft-iWARP 的其他系统。

SGX 作为技术预览

软件扩展（SGX）是一个 Intel® 技术，用于保护软件代码和数据不受公开和修改的影响。RHEL 内核部分提供 SGX v1 和 v1.5 功能。版本 1 使用 Flexible Launch Control 机制启用平台，以使用 SGX 技术。版本 2 添加了 Enclave Dynamic Memory Management (EDMM)。主要特性包括：

rvu_af,rvu_nicpf 和 rvu_nicvf 作为技术预览提供

对于 Marvell OCTEON TX2 Infrastructure Processor 系列，以下内核模块作为技术预览提供：

python-drgn 作为技术预览提供

python-drgn 软件包提供了一个高级调试工具，它加深了 programmability。您可以使用其 Python 命令行界面调试实时内核和内核转储。另外，python-drgn 提供脚本功能，供您自动执行调试任务并对 Linux 内核进行强制分析。

IAA 加密驱动程序现在作为技术预览提供

Intel® 内存中分析加速器(Intel® IAA)是一个硬件加速器，提供非常高吞吐量的压缩和解压缩以及原语分析功能。

DAX 现在作为技术预览供 ext4 和 XFS 使用

在 RHEL 9 中，DAX 文件系统作为技术预览提供。DAX 提供了将持久内存直接映射到其地址空间的方法。要使用 DAX，系统必须有某种可用的持久性内存，通常使用一个或多个非线性内存模块(NVDIMM)，必须在 NVDIMM 上创建 DAX 兼容文件系统。另外，该文件系统必须使用 dax 挂载选项挂载。然后，在 dax 挂载的文件系统中的一个文件 mmap 会导致存储直接映射到应用程序的地址空间中。

NVMe-oF Discovery Service 功能作为技术预览

NVMe-oF Discovery Service 功能（在 NVMexpress.org 技术 Proposals(TP)8013 和 8014 中）作为技术预览提供。要预览这些功能，请使用 nvme-cli 2.0 软件包，并将主机附加到实现 TP-8013 或 TP-8014 的 NVMe-oF 目标设备。有关 TP-8013 和 TP-8014 的更多信息，请参阅 https://nvmexpress.org/specifications/ 网站中的 NVM Express 2.0 Ratified TPs。

NVMe-stas 软件包作为技术预览

nvme-stas 软件包，它是 Linux 的中央 Discovery Controller (CDC) 客户端，现在作为技术预览提供。它处理异步事件通知 (AEN)、自动化的 NVMe 子系统连接控制、错误处理和报告以及自动 (zeroconf) 和手动配置。

NVMe TP 8006 in-band 身份验证作为技术预览提供

实现 Non-Volatile Memory Express (NVMe) TP 8006，它是一种针对 NVMe over Fabrics (NVMe-oF) 的带内验证，现在作为不支持的技术预览提供。NVMe Technical Proposal 8006 为 NVMe-oF 定义了 DH-HMAC-CHAP 带内验证协议，该协议由这个增强提供。

io_uring 接口作为技术预览提供

io_uring 是一个新的有效的异步 I/O 接口，现在作为技术预览提供。默认情况下禁用此功能。您可以通过将 kernel.io_uring_disabled sysctl 变量设置为以下值之一来启用这个接口：

jmc-core 和 owasp-java-encoder 作为技术预览

RHEL 9 与 jmc-core 和 owasp-java-encoder 软件包一起分发，作为 AMD 和 Intel 64 位架构的技术预览功能提供。

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC)，这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

身份管理 JSON-RPC API 作为技术预览

一个 API 可用于 Identity Management(IdM)。要查看 API，IdM 还提供了一个 API 浏览器作为技术预览。

sssd-idp 子软件包作为技术预览提供

SSSD 的 sssd-idp 子软件包包含 oidc_child 和 krb5 idp 插件，它们是对身份管理(IdM)服务器执行 OAuth2 身份验证的客户端组件。此功能仅适用于 RHEL 9.1 及更高版本上的 IdM 服务器。

SSSD 内部 krb5 idp 插件作为技术预览提供

SSSD krb5 idp 插件允许您使用 OAuth2 协议对外部身份提供者(IdP)进行身份验证。此功能仅适用于 RHEL 9.1 及更高版本上的 IdM 服务器。

RHEL IdM 允许将用户身份验证委派给外部身份提供程序作为技术预览

在 RHEL IdM 中，您可以把用户与支持 OAuth 2 设备授权流的外部身份提供程序(IdP)关联。当这些用户使用 RHEL 9.1 或更高版本中的 SSSD 版本进行身份验证时，它们会在执行身份验证和在外部 IdP 授权后接收到带有 Kerberos 票据的 RHEL IdM 单点登录功能。

ACME 作为技术预览提供

自动证书管理环境(ACME)服务现在作为技术预览在 Identity Management(IdM)中提供。ACME 是一个用于自动标识符验证和证书颁发的协议。它的目标是通过缩短证书生命周期并避免证书生命周期管理中的手动过程来提高安全性。

GNOME 用于 64 位 ARM 架构，作为一个技术预览

GNOME 桌面环境可用于 64 位 ARM 架构，作为技术预览。

用于 IBM Z 架构的 GNOME 作为技术预览提供

对于 IBM Z 架构，GNOME 桌面环境作为技术预览。

创建嵌套虚拟机

对于运行在 Intel、AMD64 和 IBM Z 主机上的 RHEL 9 KVM 虚拟机，嵌套的 KVM 虚拟化作为技术预览提供。有了这个功能，运行在物理 RHEL 9 主机上的 RHEL 7、RHEL 8 或 RHEL 9 虚拟机可以充当 hypervisor，并托管自己的虚拟机。

用于 KVM 虚拟机的 AMD SEV 和 SEV-ES

作为技术预览，RHEL 9 为使用 KVM 管理程序的 AMD EPYC 主机提供安全加密虚拟化(SEV)功能。如果在虚拟机(VM)上启用，SEV 会加密虚拟机的内存来保护虚拟机被主机访问。这提高了虚拟机的安全性。

虚拟化现在在 ARM 64 上可用

作为技术预览，现在可以使用 ARM 64 CPU 在系统中创建 KVM 虚拟机。

virtio-mem 现在包括在 AMD64、Intel 64 和 ARM 64 中

作为技术预览，RHEL 9 在 AMD64、Intel 64 和 ARM 64 系统中引入了 virtio-mem 功能。使用 virtio-mem 可让虚拟机(VM)动态添加或删除主机内存。

RHEL 客户机中的 Intel TDX

作为技术预览，Intel Trust Domain Extension (TDX)功能现在可以在 RHEL 9.2 及之后的版本中使用。如果主机系统支持 TDX，您可以部署硬件隔离的 RHEL 9 虚拟机(VM)，称为信任域(TD)。但请注意，TDX 目前无法与 kdump 一起工作，启用 TDX 会导致 kdump 在虚拟机上失败。

RHEL 的统一内核镜像现在作为技术预览提供

作为技术预览，您现在可以获取 RHEL 内核作为虚拟机(VM）的统一内核镜像(UKI)。统一内核镜像将 kernel、initramfs 和内核命令行合并成一个签名的二进制文件。

Intel vGPU 作为技术预览提供

作为技术预览，可以将物理 Intel GPU 设备分为多个虚拟设备，称为 介质设备。然后可将这些介质设备分配给多个虚拟机(VM)作为虚拟 GPU。因此,这些虚拟机共享单个物理 Intel GPU 的性能。

RHEL 现在在 Azure 机密虚拟机上作为技术预览提供

使用更新的 RHEL 内核，您现在可以在 Microsoft Azure 上作为技术预览创建并运行 RHEL 机密虚拟机(VM)。新添加的统一内核镜像(UKI)现在在 Azure 上可以引导加密的机密虚拟机镜像。UKI 作为 RHEL 9 存储库中的 kernel-uki-virt 软件包提供。

Podman 的 SQLite 数据库后端作为技术预览提供

从 Podman v4.6 开始，Podman 的 SQLite 数据库后端作为技术预览提供。要将数据库后端设置为 SQLite，请在 /etc/containers/containers.conf 配置文件中添加 database_backend = "sqlite" 选项。在切换到 SQLite 数据库后端前，请运行 podman system reset 命令，来将存储重置回初始状态。请注意，您必须重新创建所有容器和 pod。SQLite 数据库保证好的稳定性和一致性。容器堆栈中的其他数据库也会被移到 SQLite。BoltDB 保留默认的数据库后端。

podman-machine 命令不被支持

用于管理虚拟机的 podman-machine 命令仅作为技术预览提供。相反，请直接从命令行运行 Podman。

构建多架构镜像作为技术预览提供

podman farm build 命令可用于创建多架构容器镜像，作为技术预览提供。

弃用的 Kickstart 命令

以下 Kickstart 命令已弃用：

edge-commit 和 edge-container 蓝图中的用户和组自定义已弃用

在蓝图中指定用户或组自定义对于 edge-commit 和 edge-container 镜像类型已弃用，因为在升级镜像时用户自定义会消失，且不能在蓝图中再次指定用户。

initial-setup 软件包现已弃用

initial-setup 软件包已在 Red Hat Enterprise Linux 9.3 中被弃用，并将在下一个主 RHEL 发行版本中删除。作为替换，对图形用户界面，使用 gnome-initial-setup 。

inst.geoloc 引导选项的 provider_hostip 和 provider_fedora_geoip 值已弃用

为 inst.geoloc= 引导选项指定 GeoIP API 的 provider_hostip 和 provider_fedora_geoip 值已弃用。作为替换，您可以使用 geolocation_provider=URL 选项在安装程序配置文件中设置所需的地理位置。您仍然可以使用 inst.geoloc=0 选项禁用地理位置。

使用全局热键从 Anaconda GUI 捕获截图已弃用

在以前的版本中，用户可以使用全局热键捕获 Anaconda GUI 的截图。这意味着用户可以从安装环境中手动提取屏幕截图，以供进一步使用。这个功能已弃用。

Anaconda 内置帮助已弃用

所有 Anaconda 用户界面的 spoke 和 hub 的内置文档（在 Anaconda 安装过程中可用）已被弃用。作为替换，Anaconda 用户界面将进行自我处理，用户可以参考未来的主 RHEL 发行版本中的官方 RHEL 文档。

对 NVDIMM 设备的支持已弃用

在以前的版本中，安装程序允许在安装过程中重新配置 NVDIMM 设备。这个对 Kickstart 和 GUI 安装过程中 NVDIMM 设备的支持已弃用，并将在下一个主 RHEL 发行版本中弃用。扇区模式中的 NVDIMM 设备仍然在安装程序中可见并可用。

无法从安装环境中的驱动程序更新磁盘载入更新的驱动程序

如果已加载了安装初始 ramdisk 中同样的驱动程序，则驱动程序更新磁盘中的驱动程序的新版本可能无法加载。因此，驱动程序的更新版本无法应用到安装环境。

对于加密目的，SHA-1 已被弃用

使用 SHA-1 消息摘要用于加密目的在 RHEL 9 中已被弃用。SHA-1 生成的摘要不被视为是安全的，因为已发现多个基于哈希进行的安全攻击。RHEL 核心加密组件不再默认使用 SHA-1 创建签名。RHEL 9 中的应用程序已更新，以避免在与安全相关的用例中使用 SHA-1。

fapolicyd.rules 已被弃用

包含允许和拒绝执行规则的文件的 /etc/fapolicyd/rules.d/ 目录替代了 /etc/fapolicyd/fapolicyd.rules 文件。fagenrules 脚本现在将此目录中的所有组件规则文件合并到 /etc/fapolicyd/compiled.rules 文件。/etc/fapolicyd/fapolicyd 中的规则仍由 fapolicyd 框架处理，但只是为了保证向后兼容。

在 RHEL 9 中弃用 SCP

安全复制协议(SCP)已弃用，因为它有已知的安全漏洞。SCP API 仍可用于 RHEL 9 生命周期，但使用它可以降低系统安全性。

OpenSSL 需要在 FIPS 模式下对 RSA 加密进行填充

OpenSSL 在 FIPS 模式下不再支持没有填充的 RSA 加密。没有填充的 RSA 加密不常见，很少使用。请注意，带有 RSA (RSASVE)的密钥封装不使用填充，但仍支持。

SASL 中的 digest-MD5 已被弃用

Simple Authentication Security Layer(SASL)框架中的 Digest-MD5 身份验证机制已弃用，并可能在以后的主发行版本中从 cyrus-sasl 软件包中删除。

OpenSSL 弃用了 MD2, MD4, MDC2, Whirlpool, Blowfish, CAST, DES, IDEA, RC2, RC4, RC5, SEED, 和 PBKDF1

OpenSSL 项目已弃用了一组加密算法，因为它们不安全，不常用，或两者都不安全。红帽还不建议使用这些算法，RHEL 9 则为其提供迁移加密数据以使用新的算法。对于系统的安全性，用户不得依赖于这些算法。

/etc/system-fips 现已弃用

支持通过 /etc/system-fips 文件指定 FIPS 模式，该文件将不会包含在将来的 RHEL 版本中。要在 FIPS 模式中安装 RHEL，请在系统安装过程中将 fips=1 参数添加到内核命令行。您可以使用 fips-mode-setup --check 命令检查 RHEL 是否以 FIPS 模式运行。

libcrypt.so.1 现已弃用

libcrypt.so.1 库现已弃用，它可能会在以后的 RHEL 版本中删除。

subscription-manager 注册的 --token 选项将 停止在 2024 年 11 月结束时工作

subscription-manager register 命令的已弃用的 --token=<TOKEN > 选项将不再是 2024 年 11 月结束的一个受支持的身份验证方法。默认授权服务器 subscription.rhsm.redhat.com 不再允许基于令牌的身份验证。因此，如果您使用 subscription-manager register --token=<TOKEN >，则注册会失败并显示以下错误消息：

dump 软件包中的 dump 工具已弃用

用于文件系统备份的 dump 工具已弃用，在 RHEL 9 中将不再提供。

Bacula 中的 SQLite 数据库后端已被弃用

Bacula 备份系统支持多个数据库后端：PostgreSQL、MySQL 和 SQLite。SQLite 后端已被弃用，并将在以后的 RHEL 版本中不被支持。作为一种替代，迁移到其他一种后端(PostgreSQL 或 MySQL)，且在新部署中不使用 SQLite 后端。

sysstat 软件包中的 %vmeff 指标已弃用

sysstat 软件包中的 %vmeff 指标测量页面重新声明效率将在以后的 RHEL 主版本中不再被支持。sar -B 命令返回的 %vmeff 列的值不正确，因为 sysstat 不会解析后续内核版本提供的所有相关的 /proc/vmstat 值。

cgroupsv1 现在在 RHEL 9 中弃用

cgroups 是一个内核子系统，用于处理跟踪、系统资源分配和分区。systemd 服务管理器支持在 cgroups v1 模式以及 cgroup v2 模式中引导。在 Red Hat Enterprise Linux 9 中，默认模式是 v2。在 Red Hat Enterprise Linux 10 中，systemd 不支持在 cgroups v1 模式下引导，且只有 cgroup v2 模式可用。

客户端侧和服务器端 DHCP 软件包已弃用

Internet Systems Consortium (ISC)宣布从 2022 年结束 ISC DHCP 维护结束。因此，红帽决定弃用 RHEL 9 中的客户端和服务器端 DHCP 软件包，而不是在以后的 RHEL 主发行版本中发布它们。客户必须准备过渡到可用替代方案，如 dhcpcd 和 ISC Kea。

sendmail,libotr,mod_security, 和 spamassassin 软件包现已弃用

以下软件包在 RHEL 9 中已弃用，且不会在以后的 RHEL 主版本中发布：

RHEL 9 中已弃用网络团队（Network teams）

teamd 服务和 libteam 库在 Red Hat Enterprise Linux 9 中已弃用，并将在下一个主发行版本中删除。作为替换，配置绑定而不是网络组。

ifcfg 格式的 NetworkManager 连接配置文件已弃用

在 RHEL 9.0 及更高版本中，ifcfg 格式的连接配置文件已弃用。下一个主要 RHEL 发行版本将删除对这个格式的支持。但是，在 RHEL 9 中，如果修改了配置文件，NetworkManager 仍然会使用这个格式处理和更新现有的配置文件。

firewalld 中的 iptables 后端已弃用

在 RHEL 9 中，iptables 框架已弃用。因此，firewalld 中的 iptables 后端和 direct interface 也被弃用。您可以使用 firewalld 中的原生功能，而不是 direct interface 来配置所需的规则。

firewalld 锁定功能已弃用。

firewalld 中的锁定功能已弃用，因为它无法阻止以 root 身份运行的进程将自身添加到允许列表中。在以后的主 RHEL 发行版本中可能会删除锁定功能。

PF_KEYv2 内核 API 已弃用

应用程序可以使用 PV_KEYv2 和较新的 netlink API 配置内核的 IPsec 实现。PV_KEYv2 没有在上游进行主动维护，并且缺少重要的安全功能，如现代密码、卸载和扩展的序列号支持。因此，从 RHEL 9.3 开始，PV_KEYv2 API 已被弃用，并将在下一个主 RHEL 发行版本中删除。如果您在应用程序中使用此内核 API，请迁移它，以使用现代 netlink API 作为替代。

在 RHEL 9 中弃用 ATM 封装

异步传输模式(ATM)封装为 ATM Adaptation Layer 5(AAL-5)提供第 2 层（Point-to-Point 协议、以太网）或第 3 层（IP）连接。从 RHEL 7 开始，红帽尚未为 ATM NIC 驱动程序提供支持。RHEL 9 中丢弃对 ATM 实施的支持。这些协议目前仅在芯片组中使用，该协议支持 ADSL 技术，并由制造商逐步淘汰。因此，Red Hat Enterprise Linux 9 中已弃用 ATM 封装。

kexec-tools 的 kexec_load 系统调用已弃用

在以后的 RHEL 版本中将不支持 kexec_load 系统调用（其载入第二个内核）。kexec_file_load 系统调用替换了 kexec_load，它现在是所有架构上的默认系统调用。

RHEL 9 中已弃用网络团队（Network teams）

teamd 服务和 libteam 库在 Red Hat Enterprise Linux 9 中已弃用，并将在下一个主发行版本中删除。作为替换，配置绑定而不是网络组。

lvm2-activation-generator 及其生成的服务在 RHEL 9.0 中删除

lvm2-activation-generator 程序及其生成的服务 lvm2-activation、lvm2-activation-early、lvm2-activation-net 已在 RHEL 9.0 中删除。lvm.conf event_activation 设置用于激活服务将不再起作用。自动激活卷组的唯一方法是基于事件激活。

在 RHEL 9 中已弃用了持久性内存开发套件(pmdk)和支持库

pmdk 是用于系统管理员和应用程序开发者的库和工具集合，以简化管理和访问持久内存设备。RHEL 9 中已弃用了 pmdk 和支持库。这还包括 -debuginfo 软件包。

libdb 已被弃用

RHEL 8 和 RHEL 9 目前提供 Berkeley DB(libdb)版本 5.3.28，该版本根据 LGPLv2 许可证发布。上游 Berkeley DB 版本 6 在 AGPLv3 许可证下提供，该许可证更严格。

Go 的 FIPS 模式下，比 2048 小的密钥已被 openssl 3.0 弃用

openssl 3.0 弃用了小于 2048 位的密钥，在 Go 的 FIPS 模式中无法正常工作。

有些 PKCS1 v1.5 模式现在在 Go 的 FIPS 模式下被弃用

一些 PKCS1 v1.5 模式在 FIPS-140-3 中未被批准用于加密，并被禁用。它们将不再在 Go 的 FIPS 模式下工作。

OpenDNSSec 中的 SHA-1 现已弃用

OpenDNSSEC 支持使用 SHA-1 算法导出数字签名和身份验证记录。不再支持使用 SHA-1 算法。在 RHEL 9 发行版本中，OpenDNSSec 中的 SHA-1 已被弃用，并可能在以后的次版本中删除。另外，OpenDNSSec 支持仅限于与红帽身份管理的集成。OpenDNSSEC 不支持独立。

SSSD 隐式文件供应商域默认禁用

SSSD 隐式 文件 供应商域，从 /etc/shadow 和 /etc/ groups 等本地文件检索用户信息，现已默认禁用。

SSSD 文件 提供者已弃用

SSSD 文件 提供者已在 Red Hat Enterprise Linux (RHEL) 9 中弃用。文件 提供者可能会从以后的版本中删除。

AD 和 IdM 的 enumeration 功能已弃用

Enumeration 功能允许您使用 getent passwd 或 getent group 命令（没有活动目录(AD)、身份管理(IdM)和 LDAP 供应商的参数）列出所有用户或组。在 Red Hat Enterprise Linux (RHEL) 9 中弃用了 AD 和 IdM 的 enumeration 功能。在 RHEL 10 中，AD 和 IdM 将删除 enumeration 功能。

libsss_simpleifp 子软件包已弃用

在 Red Hat Enterprise Linux (RHEL) 9 中弃用了提供 libsss_simpleifp.so 库的 libsss_simpleifp 子软件包。libsss_simpleifp 子软件包可能会在以后的 RHEL 发行版本中删除。

nsslapd-ldapimaprootdn 参数已弃用

在目录服务器中，nsslapd-ldapimaprootdn 配置参数用于将系统根条目映射到根 DN 条目。通常，nsslapd-ldapimaprootdn 参数具有与 nsslapd-rootdn 参数相同的值。另外，更改一个属性但不更改其它属性会导致一个无法正常工作的自动绑定配置，其会破坏 dsconf 工具及对 Web 控制台的访问。

nsslapd-conntablesize 配置参数已从 389-ds-base中删除

nsslapd-conntablesize 配置参数已从 RHEL 9.3 中的 389-ds-base 软件包中删除。在以前的版本中，nsslapd-conntablesize 配置属性指定管理建立的连接的连接表的大小。随着多监听器功能的引入，它改进了已建立连接的管理，目录服务器现在可以动态计算连接表的大小。这也解决了这类问题，当连接表大小被设置得太小时，它会影响服务器能够支持的连接的数量。从 RHEL 9.3 开始，只使用 nsslapd-maxdescriptors 和 nsslapd-reservedescriptors 属性来管理目录服务器可以支持的 TCP/IP 连接的数量。

SMB1 协议在 Samba 中已弃用

从 Samba 4.11 开始，不安全的服务器消息块版本 1 (SMB1)协议已弃用，并将在以后的发行版本中删除。

GTK 2 现已弃用

旧的 GTK 2 工具包及以下相关软件包已弃用：

libreoffice 已被弃用

LibreOffice RPM 软件包现已弃用，并将在以后的主 RHEL 发行版本中删除。LibreOffice 在 RHEL 7、8 和 9 的整个生命周期中仍然被完全支持。

Motif 已被弃用

Motif 小部件工具包已在 RHEL 中被弃用，因为上游 Motif 社区的开发不活跃。

在 RHEL 9 节点上配置团队时，network 系统角色会显示一条弃用警告

RHEL 9 中弃用了网络协作功能。因此，在 RHEL 8 控制节点上使用 network RHEL 系统角色在 RHEL 9 节点上配置网络团队，会显示有关弃用的警告。

使用基于 SHA1 的签名进行 SecureBoot 镜像验证已弃用

在 UEFI（PE/COFF）可执行文件中使用基于 SHA1 的签名执行 SecureBoot 镜像验证已过时。反之，红帽建议使用基于 SHA2 算法或更新版本的签名。

对虚拟机快照的支持有限

目前只对使用 UEFI 固件的虚拟机支持创建虚拟机(VM)的快照。另外，在快照操作过程中，QEMU 监控可能会被阻断，这会对某些工作负载的 hypervisor 性能造成负面影响。

虚拟软盘驱动程序已弃用

用于控制虚拟软盘设备的 isa-fdc 驱动程序现已弃用，并将在以后的 RHEL 发行版本中不被支持。因此，为了确保与迁移的虚拟机(VM)兼容，红帽不建议在 RHEL 9 上托管的虚拟机中使用软盘磁盘设备。

qcow2-v2 镜像格式已弃用

在 RHEL 9 中，虚拟磁盘镜像的 qcow2-v2 格式已弃用，并将在以后的 RHEL 主发行版本中不被支持。另外，RHEL 9 Image Builder 无法以 qcow2-v2 格式创建磁盘镜像。

virt-manager 已被弃用

虚拟机管理器（也称 virt-manager） 已弃用。RHEL web 控制台（也称为 Cockpit ）旨在在以后的版本中成为其替代品。因此，建议您使用 web 控制台使用 GUI 管理虚拟化。但请注意，virt-manager 中的一些可用功能可能在 RHEL web 控制台中不可用。

libvirtd 已被弃用

单体 libvirt 守护进程 libvirtd 已在 RHEL 9 中弃用，并将在以后的 RHEL 主发行版本中删除。请注意，您仍然可以使用 libvirtd 在虚拟机监控程序上管理虚拟化，但红帽建议您切换到新引入的模块化 libvirt 守护进程。具体说明和详情，请参阅 RHEL 9 配置和管理虚拟化 文档。

旧的 CPU 型号现已弃用

大量 CPU 模型已被弃用，并将在以后的 RHEL 主发行版本中的虚拟机 (VM) 不被支持。弃用的模型如下：

基于 RDMA 的实时迁移已弃用

有了这个更新，使用 Remote Direct Memory Access (RDMA)迁移正在运行的虚拟机已被弃用。因此，仍可以使用 rdma:// 迁移 URI 来通过 RDMA 请求迁移，但这个功能将在以后的 RHEL 主发行版本中不被支持。

Intel vGPU 功能已被删除

在以前的版本中，作为技术预览，可以将物理 Intel GPU 设备划分为多个虚拟设备，称为 介质设备。然后，这些介质设备可以分配给多个虚拟机(VM)作为虚拟 GPU。因此，这些虚拟机共享单个物理 Intel GPU 的性能，但只有所选的 Intel GPU 与此功能兼容。

PMEM 设备透传已弃用

在这个版本中，非易失性内存库(nvml)软件包已弃用，并将在以后的 RHEL 主版本中删除。因此，当删除软件包时，将持久内存(pmem)设备传递给虚拟机(VM)。请注意，由易失性内存或文件支持的模拟 NVDIMM 设备仍然可用，但无法配置为持久的。

不支持在 RHEL 7 主机上运行 RHEL 9 容器

不支持在 RHEL 7 主机上运行 RHEL 9 容器。它可能可以正常工作，但却没有保证。

Podman 中的 SHA1 哈希算法已弃用

Podman 不再支持用来生成无根网络命名空间的文件名的 SHA1 算法。因此，如果在使用 Podman 4.1.1 或更高版本之前启动无根容器，则必须重启它们（而不只是使用 slirp4netns），以确保它们可以在升级后启动容器。

rhel9/pause 已被弃用

rhel9/pause 容器镜像已被弃用。

CNI 网络堆栈已弃用

容器网络接口 (CNI)网络堆栈已弃用，并将在以后 RHEL 次要发行本中从 Podman 中删除。在以前的版本中，容器只能通过 DNS 连接到单个 Container Network Interface (CNI)插件。podman v.4.0 引入了一个新的 Netavark 网络堆栈。您可以将 Netavark 网络堆栈与 Podman 和其他Open Container Initiative(OCI)容器管理应用程序一起使用。Podman 的 Netavark 网络堆栈也与高级 Docker 功能兼容。多个网络中的容器可以访问任何这些网络上的容器。

Inkscape 和 LibreOffice Flatpak 镜像已弃用

作为技术预览提供的 rhel9/inkscape-flatpak 和 rhel9/libreoffice-flatpak Flatpak 镜像已被弃用。

BoltDB 数据库后端已被弃用

从 RHEL 8.10 开始，BltDB 数据库后端已弃用。在以后的 RHEL 版本中，B BoltDB 数据库后端将被删除，并将不再提供给 Podman。对于 Podman，请使用 SQLite 数据库后端，这是 RHEL 8.10 的默认后端。

pasta 作为网络名称已弃用

对 pasta 作为网络名称值的支持已弃用，且在以后的 Podman 版本 5.0 主发行版本中不接受。您可以使用 podman run --network 和 podman create --network 命令，使用 pasta 网络名称值在 Podman 中创建唯一的网络模式。

BoltDB 数据库后端已被弃用

从 RHEL 9.4 开始，BltDB 数据库后端已弃用。在以后的 RHEL 版本中，B BoltDB 数据库后端将被删除，并将不再提供给 Podman。对于 Podman，请使用 SQLite 数据库后端，这是 RHEL 9.4 的默认后端。

CNI 网络堆栈已弃用

Container Network Interface (CNI)网络堆栈已弃用，并将在以后的发行版本中删除。使用 Netavark 网络堆栈替代。如需更多信息，请参阅 将网络堆栈从 CNI 切换到 Netavark。

auth 和 authconfig Kickstart 命令需要 AppStream 软件仓库

auth 和 authconfig Kickstart 命令在安装过程中需要 authselect-compat 软件包。如果没有这个软件包，如果使用了 auth 或 authconfig，则安装会失败。但根据设计，authselect-compat 软件包只包括在 AppStream 仓库中。

reboot --kexec 和 inst.kexec 命令不提供可预测的系统状态

使用 reboot --kexec Kickstart 命令或 inst.kexec 内核引导参数执行 RHEL 安装不会提供与完全重启相同的可预期系统状态。因此，在不重启的情况下切换安装的系统可能会导致无法预计的结果。

在 Anaconda 作为应用程序运行的系统中意外 SELinux 策略

当 Anaconda 作为应用程序运行在已安装的系统上（例如，使用 -image anaconda 选项对镜像文件执行另一次安装）时，不禁止系统在安装过程中修改 SELinux 类型和属性。因此，某些 SELinux 策略的元素可能会在运行Anaconda 的系统上发生更改。

当使用使用第三方工具创建的 USB 引导安装时，不会检测 本地介质 安装源

当从使用第三方工具创建的 USB 引导 RHEL 安装时，安装程序无法检测 Local Media 安装源（只检测到 Red Hat CDN ）。

USB CD-ROM 驱动器作为 Anaconda 中的安装源不可用

当源为 USB CD-ROM 驱动器，并且指定了 Kickstart ignoredisk --only-use= 命令时，安装会失败。在这种情况下，Anaconda 无法找到并使用这个源磁盘。

带有 iso9660 文件系统的硬盘分区安装失败

您不能在使用 iso9660 文件系统进行分区的系统中安装 RHEL。这是因为将设置为忽略包含 iso9660 文件系统分区的硬盘的更新安装代码。即使在没有使用 DVD 的情况下安装 RHEL，也会发生这种情况。

Anaconda 无法验证管理员用户帐户是否存在

在使用图形用户界面安装 RHEL 时，Anaconda 无法验证管理员帐户是否已创建。因此，用户可以在没有管理员用户帐户的情况下安装系统。

新的 XFS 功能可防止使用比版本 5.10 更早的固件引导 PowerNV IBM POWER 系统

PowerNV IBM POWER 系统使用 Linux 内核进行固件，并使用 Petitboot 作为 GRUB 的替代。这会导致固件内核挂载 /boot，Petitboot 读取 GRUB 配置和引导 RHEL。

RHEL for Edge 安装程序镜像在安装 rpm-ostree 有效负载时无法创建挂载点

当部署 rpm-ostree 有效负载时，例如在 RHEL for Edge 安装程序镜像中，安装程序不会为自定义分区正确创建一些挂载点。因此，安装会中止，并报以下错误：

当连接到网络但没有配置 DHCP 或静态 IP 地址时，NetworkManager 无法在安装后启动

从 RHEL 9.0 开始，当没有设置特定的 ip= 或 Kickstart 网络配置时，Anaconda 会自动激活网络设备。Anaconda 为每个以太网设备创建默认的持久配置文件。连接配置文件的 ONBOOT 和 autoconnect 值设为 true。因此，在启动安装的系统的过程中，RHEL 会激活网络设备，networkManager-wait-online 服务会失败。

Kickstart 安装无法配置网络连接

Anaconda 只能通过 NetworkManager API 执行 Kickstart 网络配置。Anaconda 在 %pre Kickstart 部分之后处理网络配置。因此，Kickstart %pre 部分中的一些任务被阻止。例如，因为网络配置不可用，从 %pre 部分中下载软件包会失败。

使用 RHEL 镜像构建器构建 rpm-ostree 镜像时，不支持启用 FIPS 模式

目前，在使用 RHEL 镜像构建器构建 rpm-ostree 镜像时，不支持启用 FIPS 模式。

使用 stig 配置集补救构建的镜像无法引导，并显示 FIPS 错误

RHEL 镜像构建器不支持 FIPS 模式。当使用由 xccdf_org.ssgproject.content_profile_stig 配置文件补救自定义的 RHEL 镜像构建器时，系统无法引导，并显示以下错误：

驱动程序磁盘菜单无法在控制台上显示用户输入

当您在带有驱动程序磁盘的内核命令行上使用 inst.dd 选项启动 RHEL 安装时，控制台将无法显示用户输入。因此，应用程序似乎没有响应用户输入，并停止响应，但会显示使用户混淆的输出。但是，此行为不会影响功能，用户输入会在按 Enter 后被注册。

因为 %packages 部分缺少 systemd 服务文件的软件包，Kickstart 安装会失败

如果 Kickstart 文件使用 services --enabled=…​ 指令启用 systemd 服务和包含指定 服务文件的软件包，则 RHEL 安装过程会失败并显示以下错误：

OpenSSL 不会检测 PKCS #11 令牌是否支持原始 RSA 或 RSA-PSS 签名的创建

TLS 1.3 协议需要支持 RSA-PSS 签名。如果 PKCS #11 令牌不支持原始 RSA 或 RSA-PSS 签名，如果密钥由 PKCS#11 令牌保存，则使用 OpenSSL 库的服务器应用程序将无法使用 RSA 密钥。因此，在上述场景中 TLS 通信会失败。

OpenSSL 错误处理 PKCS #11 tokens 不支持原始 RSA 或 RSA-PSS 签名

OpenSSL 库不会检测到 PKCS #11 令牌的与键相关的功能。因此，当使用不支持原始 RSA 或 RSA-PSS 签名的令牌创建签名时，建立 TLS 连接会失败。

使用特定语法，scp 会清空复制到其自身的文件

scp 实用程序从安全复制协议 (SCP) 改为更安全的 SSH 文件传输协议 (SFTP)。因此，将文件从位置复制到同一位置，从而擦除文件内容。此问题会产生以下语法：

OSCAP Anaconda 附加组件不会在图形安装中获取定制的配置文件

OSCAP Anaconda 附加组件不提供一个选项，来在 RHEL 图形安装中选择或取消选择安全配置文件的定制。从 RHEL 8.8 开始，当从存档或 RPM 软件包安装时，附加组件不会考虑定制。因此，安装会显示以下出错信息，而不是获取 OSCAP 定制的配置文件：

Ansible 补救需要额外的集合

用 ansible-core 软件包替换 Ansible Engine 时，RHEL 订阅提供的 Ansible 模块的列表会减少。因此，运行使用包含在 scap-security-guide 软件包中的 Ansible 内容的补救需要来自 rhc-worker-playbook 软件包的集合。

Keylime 不接受串联的 PEM 证书

当 Keylime 将证书链作为 PEM 格式的、串联在一个文件中的多个证书接收时，keylime-agent-rust Keylime 组件在签名验证过程中不能正确地使用所有提供的证书，导致 TLS 握手失败。因此，客户端组件(keylime_verifier 和 keylime_tenant)无法连接到 Keylime 代理。要临时解决这个问题，请只使用一个证书而不是多个证书。

Keylime 拒绝其摘要以反斜杠开头的运行时策略

生成运行时策略的当前脚本 create_runtime_policy.sh，使用 SHA 校验函数，如 sha256sum ，来计算文件摘要。但是，当输入的文件名包含反斜杠或 \n 时，校验和函数会在其输出中的摘要前添加一个反斜杠。在这种情况下，生成的策略文件的格式不正确。提供错误格式的策略文件时，Keylime 租户会产生以下或类似错误消息：me.tenant - ERROR - Response code 400: Runtime policy is malformat。要临时解决这个问题，请通过输入以下命令从错误格式的策略文件中手动删除反斜杠：sed -i 's/^\\//g' <malformed_file_name>。

更新后，Keylime 代理拒绝来自验证器的请求

当 Keylime 代理的 API 版本号(keylime-agent-rust)已更新时，代理会拒绝使用不同版本的请求。因此，如果 Keylime 代理被添加到验证器中，然后被更新，则验证器会尝试使用旧的 API 版本联系代理。代理拒绝此请求并使认证失败。要临时解决这个问题，请在更新代理(keylime-agent-rust)前更新验证器(keylime-verifier) 。因此，当代理被更新时，verifier 会检测 API 更改，并相应地更新其存储的数据。

fapolicyd 工具错误地允许执行更改的文件

在对文件进行任何更改后，文件的 IMA 哈希应该正确更新，fapolicyd 应该阻止更改的文件的执行。但是，这不会因为 IMA 策略设置与通过 evctml 程序哈希的文件中的差异而发生。因此，IMA 哈希没有在更改的文件的扩展属性中被更新。因此，fapolicyd 错误地允许更改的文件的执行。

默认 SELinux 策略允许无限制的可执行文件使其堆栈可执行

SELinux 策略中的 selinuxuser_execstack 布尔值的默认状态是 on，这意味着无限制的可执行文件可以使其堆栈为可执行。可执行文件不应该使用这个选项，这通常代表开发的可执行代码的质量较差，或可能存在安全攻击的风险。但是，由于需要与其他工具、软件包和第三方产品保持兼容，红帽无法更改默认策略中的这个布尔值。如果您的环境没有此类兼容性问题，请使用 setsebool -P selinuxuser_execstack off 命令在您的本地策略中将这个布尔值设置为 off。

STIG 配置文件中的 SSH 超时规则配置了不正确的选项

对 OpenSSH 的更新会影响以下 Defense Information Systems Agency Security Technical Implementation Guide (DISA STIG) 配置集中的规则：

GnuPG 错误地允许使用 SHA-1 签名，即使通过 crypto-policies 禁止使用 SHA-1 签名

无论系统范围的加密策略中定义的设置如何，GNU Privacy Guard(GnuPG)加密软件可以创建和验证使用 SHA-1 算法的签名。因此，您可以在 DEFAULT 加密策略中将 SHA-1 用于加密目的，这与这个不安全算法的系统范围弃用没有一致的。

OpenSCAP 内存消耗问题

在内存有限的系统上，OpenSCAP 扫描程序可能过早停止，或者可能没有生成结果文件。要临时解决这个问题，您可以自定义扫描配置文件，以取消选择涉及递归整个 / 文件系统的规则：

在 kickstart 安装过程中修复与服务相关的规则可能会失败

在 kickstart 安装过程中，OpenSCAP 工具有时会错误地显示服务的 enable 或disable 状态补救不需要。因此，OpenSCAP 可能会将安装的系统上的服务设置为不合规的状态。作为临时解决方案，您可以在 kickstart 安装后扫描并修复该系统。这可以解决与服务相关的问题。

edge-vsphere 镜像中没有 open-vm-tools 软件包

目前，在 edge-vsphere 镜像中不会默认安装 open-vm-tools 软件包。要临时解决这个问题，请在蓝图自定义中包含软件包。使用 edge-vsphere 镜像类型时，请在 RHEL for Edge 容器镜像或 RHEL for Edge 提交镜像的蓝图中添加 open-vm-tools。

安装过程有时将变为无响应

安装 RHEL 时，安装过程有时会变得无响应。/tmp/packaging.log 文件在末尾显示以下消息：

在本地仓库上运行 createrepo_c 会产生重复的 repodata 文件

当您在本地存储库上运行 createrepo_c 命令时，它会产生 repodata 文件的重复副本，其中一个副本是压缩的，另一个副本不是。但是，没有可用的临时解决方案，您可以安全地忽略重复的文件。createrepo_c 命令会产生重复的副本，因为其他工具中的要求和差异依赖于使用 createrepo_c 创建的存储库。

使用 ifcfg 文件重命名网络接口失败

在 RHEL 9 中，默认情况下不会安装 initscripts 软件包。因此，使用 ifcfg 文件重命名网络接口会失败。要解决这个问题，红帽建议您使用 udev 规则或链接文件来重命名接口。详情请查看 Consistent 网络接口设备命名 和 systemd.link(5) man page。

RHEL 9 中不默认安装 chkconfig 软件包

RHEL 9 中不默认安装 chkconfig 软件包（更新和查询系统服务运行级别信息）。

设置控制台 keymap 在最小安装上需要 libxkbcommon 库

在 RHEL 9 中，某些 systemd 库依赖项已从动态链接转换为动态加载，以便您的系统在运行时打开并使用库（当它们可用时）。有了这个更改，除非您安装必要的库，否则无法使用依赖于此类库的功能。这也会影响在最小安装的系统上设置键盘布局。因此，localectl --no-convert set-x11-keymap gb 命令会失败。

sysstat 软件包中的 %vmeff 指标显示不正确的值

sysstat 软件包提供 %vmeff 指标来测量页面回收效率。sar -B 命令返回的 %vmeff 列的值不正确，因为 sysstat 不会解析后续内核版本提供的所有相关的 /proc/vmstat 值。要临时解决这个问题，您可以从 /proc/vmstat 文件中手动计算 %vmeff 值。详情请查看 为什么在 RHEL 8 和 RHEL 9 中 sar (1) 工具报告 %vmeff 值超过 100 % ？

服务位置协议(SLP)易受到通过 UDP 的攻击

OpenSLP 为本地区域网络中的应用程序提供动态配置机制，如打印机和文件服务器。但是，SLP 会受到通过连接到互联网的系统上的 UDP 的反射性拒绝服务放大攻击。SLP 允许未经身份验证的攻击者注册新服务，而不受由 SLP 实现设置的限制。通过使用 UDP 和欺骗源地址，攻击者可以请求服务列表，在欺骗地址上创建拒绝服务。

由 sar 和 iostat 实用程序生成的 %util 列无效

当您使用 sar 或 iostat 实用程序收集系统使用统计数据时，sar 或 iostat 生成的 %util 列可能包含无效数据。

bind 和 unbound 都禁用基于 SHA-1- 的签名验证

bind 和 unbound 组件禁用所有 RSA/SHA1（算法 5）和 RSASHA1-NSEC3-SHA1（算法号 7）签名，且签名的 SHA-1 用法在 DEFAULT 系统范围的加密策略中受到限制。

如果在多个区域中使用相同的可写区域文件，named 无法启动

BIND 不允许在多个区域中具有相同的可写区域文件。因此，如果配置包含多个区域，它们共享到可由 named 服务修改的文件的路径，则 named 无法启动。要临时解决这个问题，请使用 in-view 子句在多个视图间共享一个区域，并确保为不同的区使用不同的路径。例如，在路径中包含视图名称。

libotr 与 FIPS 不兼容

libotr 库和非记录(OTR)消息的工具包为即时消息会话提供了端到端加密。但是，由于其使用了 gcry_pk_sign() 和 gcry_pk_verify() 函数，libotr 库不符合联邦信息处理标准(FIPS)。因此，您无法在 FIPS 模式下使用 libotr 库。

KTLS 不支持将 TLS 1.3 卸载到 NIC

内核传输层安全(kTLS)不支持将 TLS 1.3 卸载到 NIC。因此，即使 NIC 支持 TLS 卸载，软件加密也会与 TLS 1.3 一起使用。要临时解决这个问题，如果需要卸载，禁用 TLS 1.3。因此，您只能卸载 TLS 1.2。当使用 TLS 1.3 时，性能较低，因为无法卸载 TLS 1.3。

更新会话密钥失败会导致连接中断

内核传输层安全(kTLS)协议不支持更新会话密钥，这些密钥由对称密码使用。因此，用户无法更新密钥，从而导致连接中断。要临时解决这个问题，请禁用 kTLS。因此，解决这一问题，可以成功更新会话密钥。

默认情况下不安装 initscripts 软件包

默认情况下，不会安装 initscripts 软件包。因此，ifup 和 ifdown 工具不可用。一个替代的方法是，可以使用 nmcli connection up 和 nmcli connection down 命令来启用和禁用连接。如果这个替代方法无法正常工作，请报告这个问题并安装 NetworkManager-initscripts-updown 软件包，该软件包为 ifup 和 ifdown 工具提供了一个 NetworkManager 解决方案。

使用 Mellanox ConnectX-5 适配器时，mlx5 驱动程序会失败

在以太网交换机设备驱动程序型号(switchdev)模式下，当使用设备管理的流控制(DMFS)参数和 ConnectX-5 适配器支持的硬件配置时，mlx5 驱动程序会失败。因此，您可以看到以下错误信息：

当从 4k 迁移到 64k 页大小内核时，依赖内核页大小的客户应用程序可能需要更新

RHEL 与 4k 和 64k 页大小内核都兼容。当从 4k 迁移到 64k 页大小内核时，依赖 4k 内核页大小的客户应用程序可能需要更新。已知的实例包括 jemalloc 和依赖的应用程序。

使用 dnf 升级到最新的实时内核不会并行安装多个内核版本

使用 dnf 软件包管理器安装最新的实时内核需要解决软件包依赖，来同时保留新的和当前的内核版本。默认情况下，dnf 在升级过程中删除旧的 kernel-rt 软件包。

默认情况下，Delay Accounting 功能不会显示 SWAPIN 和 IO% 统计列

Delayed Accounting 功能与早期版本不同，它们会被默认禁用。因此，iotop 应用程序不显示 SWAPIN 和 IO% 统计列，并显示以下警告：

具有大核数的系统上实时内核的硬件认证可能需要传递 skew-tick=1 引导参数

具有大量插槽和大核数的大型或中型系统可能会因为对 xtime_lock（其在计时系统中使用）的锁争用而遇到延迟峰值。因此，硬件认证中的延迟峰值和延迟可能会在多处理系统上发生。作为临时解决方案，您可以通过添加 skew_tick=1 引导参数，偏移每个 CPU 的计时器刻度，来在不同的时间启动。

kdump 机制无法捕获 LUKS 加密目标上的 vmcore 文件

当在使用 Linux Unified Key Setup(LUKS)加密分区的系统中运行 kdump 时，系统需要特定的可用内存。当可用内存小于所需内存量时，systemd-cryptsetup 服务将无法挂载分区。因此，第二个内核无法捕获 LUKS 加密目标上的崩溃转储文件。

kdump 服务无法在 IBM Z 系统中构建 initrd 文件

在 64 位 IBM Z 系统中，当 znet 相关配置信息（如 s390-subchannels ）位于不活跃 NetworkManager 连接配置集时，kdump 服务无法加载初始 RAM 磁盘 (initrd)。因此，kdump 机制会失败并显示以下错误：

iwl7260-firmware 破坏了 Intel Wi-Fi 6 AX200、AX210 和 Lenovo ThinkPad P1 Gen 4 上的 Wi-Fi

在将 iwl7260-firmware 或 iwl7260-wifi 驱动程序更新到 RHEL 9.1 及之后的版本提供的版本后，硬件会进入不正确的内部状态。错误地报告其状态。因此，Intel Wifi 6 卡可能无法正常工作，并显示错误信息：

kmod 中的 weak-modules 不能与模块间依赖一起工作

kmod 软件包提供的 weak-modules 脚本决定了哪些模块与安装的内核 kABI 兼容。但是，在检查模块的内核兼容性时，weak-modules 按照构建它们的内核的从高到低版本来处理模块符号依赖项。因此，针对不同内核版本构建的具有相互依赖关系的模块可能会被解释为不兼容，因此 weak-modules 脚本不能在此场景下工作。

Intel® i40e 适配器在 IBM Power10 上永久失败

当 i40e 适配器在 IBM Power10 系统上遇到 I/O 错误时，增强的 I/O 错误处理(EEH)内核服务会触发网络驱动程序的重置和恢复。 但是，EEH 重复报告 I/O 错误，直到 i40e 驱动程序达到预定义的最大 EEH 冻结为止。因此，EEH 会导致设备永久失败。 

DKMS 在程序失败时提供不正确的警告，在 64 位 ARM CPU 中正确编译的驱动程序

动态内核模块支持(dkms)工具无法识别 64 位 ARM CPU 的内核标头可用于 4 KB 和 64 KB 页面大小的内核。因此，当执行内核更新且未安装 kernel-64k-devel 软件包时，dkms 会提供错误警告，为什么程序在正确编译的驱动程序中失败。要临时解决这个问题，请安装 kernel-headers 软件包，其中包含两种类型的 ARM CPU 架构的头文件，且不特定于 dkms 及其要求。

在出现不成功的 CHAP 验证尝试后，Anaconda 无法使用 no authentication 方法登录 iSCSI 服务器

当您使用 CHAP 身份验证添加 iSCSI 磁盘时，如果因为凭证不正确而导致登录失败，使用 no authentication 方法尝试重新登录也将失败。要解决这个问题，请先关闭当前会话，再使用 no authentication 方法登录。

NVMe/TCP 不支持设备映射器多路径

使用带有 nvme-tcp 驱动程序的设备映射器多路径可能会导致 Call Trace 警告和系统不稳定。要临时解决这个问题，NVMe/TCP 用户必须启用原生 NVMe 多路径，且不能在 NVMe 中使用 device-mapper-multipath 工具。

blk-availability systemd 服务停用了复杂的设备堆栈

在 systemd 中，默认的块停用代码并不总是正确处理虚拟块设备的复杂堆栈。在一些配置中，虚拟设备在关闭过程中可能无法被删除，这会导致记录错误信息。要临时解决这个问题，请执行以下命令来停用复杂块设备堆栈：

对于启用了配额的情况下挂载的 XFS 文件系统，不再可能禁用配额记帐

从 RHEL 9.2 开始，无法在已挂载的启用了配额的 XFS 文件系统上禁用配额记帐。

对 NVMe 设备的 udev 规则更改

对 NVMe 设备有一个 udev 规则更改，即添加了 OPTIONS="string_escape=replace" 参数。如果您设备的序列号前面有空格，则这会导致某些厂商的对按 id 命名的磁盘进行更改。

不能在 Kickstart 文件中可靠地使用 NVMe/FC 设备

在解析或执行 Kickstart 文件的预脚本时，NVMe/FC 设备可能不使用，这会导致 Kickstart 安装失败。要临时解决这个问题，将引导参数更新为 inst.wait_for_disks=30。这个选项会导致 30 秒的延迟，应为 NVMe/FC 设备提供充足的时间进行连接。使用这个临时解决方案以及及时连接的 NVMe/FC 设备，Kickstart 安装可以正常进行。

在使用 qedi 驱动程序时内核 panic

在使用 qedi iSCSI 驱动程序时，操作系统引导后内核 panics。要临时解决这个问题，请向内核引导命令行中添加 kfence.sample_interval=0 来禁用 kfence 运行时内存错误检测器功能。

安装 vdo 时，基于 ARM 的系统无法使用 64k 页大小内核进行更新

安装 vdo 软件包时，RHEL 安装 kmod-kvdo 软件包和一个内核，其页大小为 4k 页。因此，从 RHEL 9.3 更新至 9.x 会失败，因为 kmod-kvdo 与 64k 内核冲突。要临时解决这个问题，请在尝试更新前删除 vdo 软件包及其依赖项。

python3.11-lxml 不提供 lxml.isoschematron 子模块

python3.11-lxml 软件包不与 lxml.isoschematron 子模块一起分发，因为它不是开源许可证。子模块实现 ISO 架构支持。作为替代方案，lxml.etree.Schematron 类种提供了 pre-ISO-Schematron 验证。python3.11-lxml 软件包的其余内容不受影响。

MySQL 和 MariaDB 中的 --ssl-fips-mode 选项不会改变 FIPS 模式

RHEL 中 MySQL 和 MariaDB 中的 --ssl-fips-mode 选项与上游中的工作方式不同。

MIT Kerberos 不支持 PKINIT 的 ECC 证书

MIT Kerberos 不对评论文档实施 RFC5349 请求，它描述了公钥 Cryptography 中的 elliptic-curve 加密 (ECC) 支持。因此，RHEL 使用的 MIT krb5-pkinit 软件包不支持 ECC 证书。如需更多信息，请参阅 Kerberos (PKINIT)对公共密钥加密加密支持(ECC) 支持。

必须在 RHEL 9 客户端上设置 DEFAULT:SHA1 子策略，以使 PKINIT 能够针对 AD KDC 工作

RHEL 9 中已弃用了 SHA-1 摘要算法，对初始验证的公共密钥加密的 CMS 消息现在使用更强大的 SHA-256 算法进行签名。

如果 RHEL 9 Kerberos 代理与非 RHEL-9 和非AD Kerberos 代理通信，则用户的 PKINIT 身份验证会失败

如果 RHEL 9 Kerberos 代理（客户端或 Kerberos 分发中心(KDC) 与不是 Active Directory (AD) 代理的非 RHEL-9 Kerberos 代理交互，则用户的 PKINIT 身份验证会失败。要临时解决这个问题，请执行以下操作之一：

AD 信任的 FIPS 支持需要 AD-SUPPORT 加密子策略

Active Directory(AD)使用 AES SHA-1 HMAC 加密类型，默认情况下在 RHEL 9 上不允许 FIPS 模式。如果要使用带有 AD 信任的 RHEL 9 IdM 主机，请在安装 IdM 软件前支持 AES SHA-1 HMAC 加密类型。

Heimdal 客户端无法针对 RHEL 9 KDC 使用 PKINIT 来验证用户

默认情况下，Heimdal Kerberos 客户端通过使用 Modular Exponential (MODP) Diffie-Hellman Group 2 用于互联网密钥交换 (IKE) 启动 IdM 用户的 PKINIT 身份验证。但是，RHEL 9 上的 MIT Kerberos 分配中心 (KDC) 仅支持 MODP 组 14 和 16。

FIPS 模式下的 IdM 不支持使用 NTLMSSP 协议来建立双向跨林信任

在活动目录(AD)和启用了 FIPS 模式的身份管理(IdM)之间建立双向跨林信任会失败，因为新技术局域网管理器安全支持提供程序 (NTLMSSP)身份验证不符合 FIPS。FIPS 模式下的 IdM 不接受在尝试验证时 AD 域控制器使用的 RC4 NTLM 哈希。

升级后，没有 SID 的用户无法登录到 IdM

将 IdM 副本升级到 RHEL 9.2 后，IdM Kerberos 分发中心(KDC)可能无法向没有分配给其帐户安全标识符(SID)的用户发出票据授予票(TGT)。因此，用户无法登录到其帐户。

迁移的 IdM 用户可能会因为不匹的域 SID 而无法登录

如果您使用 ipa migrate-ds 脚本将用户从一个 IdM 部署迁移到另一个，则这些用户可能会在使用 IdM 服务时有问题，因为它们之前存在的安全标识符(SID)没有当前 IdM 环境的域 SID。例如，这些用户可以使用 kinit 工具检索 Kerberos 票据，但不能登录。要临时解决这个问题，请参阅以下知识库文章： Migrated IdM 用户因为不匹配的域 SID 而无法登录。

由于生成用户 PAC 的加密类型不兼容，MIT krb5 用户无法获取 AD TGT

在 MIT krb5 1.20 以及后续的软件包中，默认在所有 Kerberos 票据中都包括特权属性证书(PAC)。MIT Kerberos 分发中心(KDC)选择可用的最强的加密类型，来在 PAC 中生成 KDC 校验和，这目前是 RFC8009 中定义的 AES HMAC-SHA2 加密类型。但是，活动目录(AD)不支持这个 RFC。因此，在 AD-MIT 跨领域设置中，MIT krb5 用户无法获取 AD 票据授予票据(TGT)，因为 MIT KDC 生成的跨领域 TGT 在 PAC 中包含不兼容的 KDC 校验和类型。

对 ldap_id_use_start_tls 选项使用默认值时的潜在风险

当使用没有 TLS 的 ldap:// 进行身份查找时，可能会对攻击向量构成风险。特别是中间人(MITM)攻击，例如，攻击者可以通过更改 LDAP 搜索中返回的对象的 UID 或 GID 来冒充用户。

将 FIPS 模式下的 RHEL 9 副本添加到用 RHEL 8.6 或更早版本初始化的 FIPS 模式下的 IdM 部署会失败

略旨在遵守 FIPS 140-3 的默认 RHEL 9 FIPS 加密策不允许使用 AES HMAC-SHA1 加密类型的密钥派生功能，如 5.1 章节 RFC3961 所定义的。

SSSD 可正确注册 DNS 名称

在以前的版本中，如果 DNS 被错误建立，第一次尝试注册 DNS 名称时，SSSD 总是失败。要临时解决这个问题，这个更新提供了一个新的参数 dns_resolver_use_search_list。设置 dns_resolver_use_search_list = false，以避免使用 DNS 搜索列表。

由于 EMS 强制，使用 RHEL 9.2 及更新的 IdM 服务器安装 RHEL 7 IdM 客户端会失败

对于启用了 FIPS 的 RHEL 9.2 及更新系统上的 TLS 1.2 连接，TLS Extended Master Secret (EMS)扩展(RFC 7627)现在是强制的。这符合 FIPS-140-3 要求。但是，RHEL 7.9 及较低版本中提供的 openssl 版本不支持 EMS。因此，使用在 RHEL 9.2 及更新版本上运行的启用了 FIPS 的 IdM 服务器安装 RHEL 7 身份管理(IdM)客户端会失败。

当 nsslapd-numlisteners 属性值超过 2 时，目录服务器会失败

如果 nsslapd-numlisteners 属性值大于 2，则目录服务器可能会关闭侦听文件描述符，而不是接受的文件描述符。因此，在一段时间后，Directory 服务器会停止侦听某些端口并失败。

升级到 RHEL 9 后，VNC 没有运行

从 RHEL 8 升级到 RHEL 9 后，VNC 服务器无法启动，即使之前启用它。

用户创建屏幕没有响应

当使用图形用户界面安装 RHEL 时，用户创建屏幕没有响应。因此，在安装过程中创建用户更为困难。

WebKitGTK 无法在 IBM Z 上显示网页

当尝试在 IBM Z 架构上显示网页时，WebKitGTK 网页浏览器引擎会失败。网页保持空白，WebKitGTK 进程意外终止。

NVIDIA 驱动程序可能会恢复到 X.org

在某些情况下，专有 NVIDIA 驱动程序会禁用 Wayland 显示协议并恢复到 X.org 显示服务器：

使用 NVIDIA 在 Wayland 上无法使用 night Light

当您的系统上启用了专有 NVIDIA 驱动程序时，Wayland 会话将无法使用 GNOME 的 Night Light 功能。NVIDIA 驱动程序目前不支持 Night Light。

x.org 配置工具无法在 Wayland 下工作

用于操作屏幕的 x.org 实用程序无法在 Wayland 会话中工作。值得注意的是，xrandr 实用程序无法在 Wayland 下工作，因为其处理、解析、轮转和布局的不同方法。

如果 firewalld.service 被屏蔽，使用 firewall RHEL 系统角色会失败

如果在 RHEL 系统上屏蔽了 firewalld.service，则 firewall RHEL 系统角色会失败。要临时解决这个问题，请对 firewalld.service 取消屏蔽：

无法使用环境名称注册系统

当在 rhc_environment 中指定环境名称时，rhc 系统角色注册系统失败。作为临时解决方案，请在注册时使用环境 ID 而不是环境名称。

在高可用性模式下运行 Microsoft SQL Server 2022，作为 SELinux 保护的应用程序无法正常工作

RHEL 9.4 及更高版本上的 Microsoft SQL Server 2022 支持作为 SELinux 保护的应用程序运行。但是，由于 Microsoft SQL Server 中的限制，将服务作为 SELinux 保护的应用程序在高可用性模式下运行无法工作。要临时解决这个问题，如果您需要该服务高度可用，您可以将 Microsoft SQL Server 作为无限制的应用程序运行。

mssql RHEL 系统角色无法配置带有 AD 集成的 Microsoft SQL Server

Microsoft SQL Server 服务不提供服务与 Active Directory (AD)集成所需的 adutil 工具。因此，您无法使用 mssql RHEL 系统角色在 RHEL 9 受管节点上配置此场景。没有可用的临时解决方案，您可以使用 RHEL 系统角色在 RHEL 9 上在没有 AD 集成的情况下配置 Microsoft SQL Server。

在某些情况下，通过 https 或 ssh 安装虚拟机会失败

目前，当尝试通过 https 或 ssh 连接从 ISO 源安装客户机操作系统时，virt-install 工具会失败 - 例如使用 virt-install --cdrom https://example/path/to/image.iso。上述操作意外中止，并显示 internal error: process exited while connecting to monitor 消息，而不是创建虚拟机(VM)。

在虚拟机中使用 NVIDIA 驱动程序会禁用 Wayland

目前，NVIDIA 驱动程序与 Wayland 图形会话不兼容。因此，使用 NVIDIA 驱动程序的 RHEL 客户机操作系统会自动禁用 Wayland 并加载 Xorg 会话。这主要在以下情况下发生：

在 AMD Milan 系统上有时无法提供 Milan VM CPU 类型

在某些 AMD Milan 系统上，默认在 BIOS 中禁用了增强 REP MOVSB(erms)和 Fast Short REP MOVSB(fsrm)功能标记。因此，在这些系统上可能无法使用 Milan CPU 类型。另外，在具有不同功能标志设置的 Milan 主机之间的虚拟机实时迁移可能会失败。要临时解决这个问题，在主机的 BIOS 中手动打开 erms 和 fsrm。

带有故障切换设置的 hostdev 接口在热拔后无法进行热插

从正在运行的虚拟机(VM)中删除带有故障切换配置的 hostdev 网络接口后，该接口目前无法重新连接到同一正在运行的虚拟机。

带有故障切换 VF 的虚拟机实时复制迁移失败

目前，如果虚拟机使用启用了虚拟功能(VF)故障转移功能的设备，则试图对一个正在运行的虚拟机(VM)进行 post-copy 迁移会失败。要临时解决这个问题，请使用标准迁移类型，而不要使用 post-copy 迁移方式。

主机网络无法在实时迁移过程中 ping 使用 VF 的虚拟机

当使用配置的虚拟功能 (VF) 实时迁移虚拟机时，如使用虚拟 SR-IOV 软件的虚拟机，虚拟机的网络不对其它设备看到，如 ping 之类的命令无法访问虚拟机。完成迁移后，问题将不再发生。

禁用 AVX 会导致虚拟机无法引导

在使用具有高级向量扩展(AVX)支持的 CPU 的主机上，尝试引导明确禁用 AVX 的虚拟机当前会失败，并触发虚拟机中的内核 panic。

在网络接口重置后，Windows VM 无法获取 IP 地址

有时，Windows 虚拟机在自动网络接口重置后无法获取 IP 地址。因此，虚拟机无法连接到网络。要临时解决这个问题，在 Windows 设备管理器中禁用并重新启用网络适配器驱动程序。

Windows Server 2016 虚拟机有时会在热插拔 vCPU 后停止工作

目前，将 vCPU 分配给运行 Windows Server 2016 客户机操作系统的虚拟机(VM)可能会导致各种问题，如虚拟机意外终止、变得没有响应或重启。

使用大量队列可能会导致虚拟机失败

当启用了虚拟可信平台模块(vTPM)设备并且 multi-queue virtio-net 功能被配置为使用超过 250 个队列时，虚拟机(VM)可能会失败。

在具有 NVIDIA passthrough 设备的虚拟机上的冗余错误消息

使用带有 RHEL 9.2 及更新版本的操作系统的 Intel 主机机器时，带有直通 NVDIA GPU 设备的虚拟机(VM)会频繁地记录以下错误信息：

在带有 AMD EPYC CPU 的主机上进行 v2v 转换后，一些 Windows 客户机不能启动

在使用 virt-v2v 工具将使用 Windows 11 或 Windows Server 2022 的虚拟机(VM)转换为客户机操作系统后，虚拟机当前不能启动。这会在使用 AMD EPYC 系列 CPU 的主机上发生。

在主机上重启 OVS 服务可能会阻止在其上运行的虚拟机的网络连接

当 Open vSwitch (OVS)服务在主机上重启时或崩溃时，在此主机上运行的虚拟机(VM)无法恢复网络设备的状态。因此，虚拟机可能无法完全接收数据包。

恢复中断的复制后虚拟机迁移可能会失败

如果虚拟机(VM)的复制后迁移中断，然后在同一传入端口上立即恢复，则迁移可能会失败，并显示以下错误 Address already in use

NUMA 节点映射在 AMD EPYC CPU 上无法正常工作

QEMU 无法正确处理 AMD EPYC CPU 上的 NUMA 节点映射。因此，如果使用 NUMA 节点配置，具有这些 CPU 的虚拟机(VM)的性能可能会受到负面影响。另外，虚拟机在启动过程中会显示类似如下的警告。

虚拟机迁移过程中的 NFS 故障会导致迁移失败和源虚拟机 coredump

目前，如果 NFS 服务或服务器在虚拟机(VM)迁移过程中关闭，则源虚拟机的 QEMU 在重新开始运行时无法重新连接到 NFS 服务器。因此，迁移会失败，并在源虚拟机上发起 coredump。目前，还没有可用的临时解决方案。

PCIe ATS 设备无法在 Windows 虚拟机上工作

当您在带有 Windows 客户机操作系统的虚拟机的 XML 配置中配置 PCIe 地址转换服务(ATS)设备时，在引导虚拟机后，客户机不会启用 ATS 设备。这是因为 Windows 目前不支持 virtio 设备上的 ATS。

virsh blkiotune --weight 命令无法设置正确的 cgroup I/O 控制器值

目前，使用 virsh blkiotune --weight 命令设置 VM 权重无法按预期工作。该命令无法在 cgroup I/O 控制器接口文件中设置正确的 io.bfq.weight 值。目前还没有临时解决方案。

启动带有 NVIDIA A16 GPU 的虚拟机有时会导致主机 GPU 停止工作

目前，如果您启动了一个使用 NVIDIA A16 GPU 直通设备的虚拟机，在某些情况下，主机系统上的 NVIDIA A16 GPU 物理设备会停止工作。

带有 FIFO 调度程序的 RT 虚拟机无法引导

目前，在将实时(RT)虚拟机(VM)设置为对 vCPU 调度程序使用 fifo 设置后，当您尝试引导它时，虚拟机变得无响应。相反，虚拟机显示 Guest has not initialized the display (yet) 错误。

Windows 虚拟机可能会因为存储错误而变得无响应

在使用 Windows 客户机操作系统的虚拟机上，在高 I/O 负载下，系统在某些情况下会变得无响应。当发生这种情况时，系统会记录一个 viostor Reset to device, \Device\RaidPort3, was issued 错误。

在引导时，带有某些 PCI 设备的 Windows 10 虚拟机可能会变得无响应

目前，如果将具有本地磁盘后端的 virtio-win-scsi PCI 设备被附加到虚拟机，则使用 Windows 10 客户机操作系统的虚拟机(VM)会在启动过程中变得无响应。要临时解决这个问题，请引导启用了 multi_queue 选项的虚拟机。

virtio-win 驱动程序的 virtio-win-guest-tool 的修复功能无法工作

目前，当对 virtio-win 驱动程序使用 virtio-win-guest-tool 的 Repair 按钮时，如 Virtio Balloon Driver，则按钮无效。因此，在从客户机上删除后，驱动程序无法重新安装。

具有内存气球设备集的 Windows 11 虚拟机在重启过程中可能会意外关闭

目前，重新引导使用 Windows 11 客户机操作系统和内存 balloon 设备的虚拟机(VM)在某些情况下会失败，并显示 DRIVER POWER STAT FAILURE 蓝屏错误。

在高网络负载情况下迁移 Windows 11 或 Windows Server 2022 虚拟机有时会失败

当实时迁移使用 Windows Server 2022 或 Windows 11 作为客户机操作系统的虚拟机(VM)时，如果网络受到高打包损失的影响，迁移可能会变得无响应或意外终止。

在某些情况下恢复复制后虚拟机迁移失败

目前，当执行虚拟机(VM)的复制后迁移时，如果在迁移的恢复阶段发生代理网络故障，则虚拟机会变得无响应，且迁移无法恢复。相反，恢复命令显示以下错误：

virtio balloon 驱动程序有时在 Windows 10 虚拟机上无法工作

在某些情况下，virtio-balloon 驱动程序无法在使用 Windows 10 客户机操作系统的虚拟机(VM)上正常工作。因此，此类虚拟机可能无法有效地使用其分配的内存。

virtio 文件系统在 Windows 虚拟机中性能不佳

目前，当在使用 Windows 客户机操作系统的虚拟机(VM)上配置了 virtio 文件系统(virtiofs)时，虚拟机中的 virtiofs 性能比使用 Linux 客户机的虚拟机中的性能要差的多。

在 Windows 虚拟机上热拔存储设备可能会失败

在使用 Windows 客户机操作系统的虚拟机(VM)上，当虚拟机运行时删除存储设备（也称为设备热拔）在某些情况下会失败。因此，存储设备一直附加在虚拟机上，磁盘管理器服务可能会变得无响应。

将 CPU 热插到 Windows 虚拟机可能会导致系统失败

当将最大数量的 CPU 热插到启用了巨页的 Windows 虚拟机(VM)时，客户机操作系统可能会崩溃，并显示以下 停止错误 ：

在 Windows 虚拟机上更新 virtio 驱动程序可能会失败

当在 Windows 虚拟机(VM)上更新 KVM 半虚拟化(virtio)驱动程序时，更新可能会导致鼠标停止工作，可能无法对新安装的驱动程序签名。当通过从 virtio-win-guest-tools 软件包（其是 virtio-win.iso 文件的一部分）安装来更新 virtio 驱动程序时，此问题会发生。

在使用 vhost-kernel的虚拟机中无法更改 TX 队列大小

目前，您无法使用 vhost-kernel 作为 virtio 网络驱动程序后端的 KVM 虚拟机(VM)设置 TX 队列大小。因此，您只能将默认值 256 用于 TX 队列，这可能会阻止您优化虚拟机网络吞吐量。

在 Nutanix AHV 中使用 LVM 克隆或恢复 RHEL 9 虚拟机会导致非 root 分区消失

当在 Nutanix AHV 虚拟机监控程序上托管的虚拟机中运行 RHEL 9 客户机操作系统时，从快照中恢复虚拟机或克隆虚拟机目前会导致虚拟机中的非 root 分区在虚拟机中使用逻辑卷管理(LVM)时消失。因此，会出现以下问题：

在 ESXi 上自定义 RHEL 9 客户机有时会导致网络问题

目前，在 VMware ESXi hypervisor 中自定义 RHEL 9 客户机操作系统无法正常工作。因此，如果客户机使用这样的密钥文件，它有不正确的网络设置，如 IP 地址或网关。

如果 RHEL 实例是由 cloud-init 提供的，且使用 NFSv3 挂载条目配置的，则其在 Azure 上无法引导

目前，如果 VM 是由 cloud-init 工具提供的，且虚拟机的客户机操作系统在 /etc/fstab 文件中有 NFSv3 挂载条目，则在 Microsoft Azure 云平台上引导 RHEL 虚拟机(VM)会失败。

在 VMware 主机上的 RHEL 虚拟机中设置静态 IP 无法正常工作

目前，当使用 RHEL 作为 VMware 主机上虚拟机(VM)的客户机操作系统时，DatasourceOVF 功能无法正常工作。因此，如果您使用 cloud-init 实用程序将虚拟机的网络设置为静态 IP，然后重启虚拟机，则虚拟机的网络将更改为 DHCP。

当启用了 kmemleak 选项时，大型虚拟机可能无法引导到 debug 内核

当试图将 RHEL 9 虚拟机(VM)引导到 debug 内核时，如果机器内核使用 kmemleak=on 参数，则引导可能会失败，并显示以下错误。

在 IBM Power Systems Little Endian 上运行 sos report 时超时

当在具有带有数百或数千个 CPU 的 IBM Power Systems，Little Endian 上运行 sos report 命令时，处理器插件会在收集 /sys/devices/system/cpu 目录的大量内容时达到默认的 300 秒超时时间。作为临时解决方案，请相应地增加插件的超时时间：

在较旧的容器镜像中运行 systemd 无法正常工作

在较旧的容器镜像（如 centos:7）中运行 systemd 将无法正常工作：