Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Versionshinweise für NetScaler 13.1—12.51 Release

March 17, 2024
Beitrag von: 
C

In diesem Dokument mit den Versionshinweisen werden die Erweiterungen und Änderungen sowie behobene und bekannte Probleme beschrieben, die für die NetScaler-Version Build 13.1—12.51 bestehen.

Build 13,1—12.51 ersetzt Build 13,1—12.50.

Dieser Build enthält auch eine Lösung für das folgende Problem: NSWAF-8668.

Hinweise

Dieses Dokument mit den Versionshinweisen enthält keine sicherheitsrelevanten Fixes. Eine Liste sicherheitsbezogener Fixes und Empfehlungen finden Sie im Security Bulletin.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.1—12.51 verfügbar sind.

Authentifizierung, Autorisierung und Prüfung

Unterstützung der neuesten Versionen von Intune NAC-APIs

Die NetScaler Gateway-Unterstützung für Intune Network Access Control (NAC) wurde jetzt für die neuesten Versionen von Intune NAC-APIs erweitert.

[ NSAUTH-9722 ]

Unterstützung für die aktive GSLB-Bereitstellung für die nFactor-Authentifizierung mithilfe des Verbindungsproxys

Es wurde jetzt Unterstützung für die aktive GSLB-Bereitstellung für die nFactor-Authentifizierung mithilfe des Verbindungsproxys hinzugefügt. Diese Unterstützung gilt sowohl für NetScaler Gateway als auch für Authentifizierungs-, Autorisierungs- und Überwachungsszenarien. Wenn derzeit verschiedene Faktoren in der nFactor-Authentifizierung konfiguriert sind und wenn das Gateway für GSLB konfiguriert ist, kann die Authentifizierung fehlschlagen, wenn die Clientanfrage auf verschiedenen GSLB-Sites landet.

Wenn beispielsweise LDAP als erster Faktor und RADIUS als zweiter Faktor konfiguriert ist, kann die Authentifizierung im folgenden Szenario unterbrochen werden.

  • Kundenanfrage für LDAP landet auf GSLB-Standort 1.
  • Die Radiusanfrage landet auf der GSLB-Website 2. Der Verbindungsproxy wird jetzt verwendet, um Anforderungen an die richtigen GSLB-Sites weiterzuleiten, um die Authentifizierung abzuschließen und den Datenverkehr

[ NSAUTH-7141 ]

NetScaler SDX-Appliance

Auf einer NetScaler SDX-Appliance fragt der Management Service die NetScaler-Instanzen im Hintergrund nach Vorgängen wie SSL-Zertifikaten, Netzwerkfunktionen und Konfigurationsaudits ab. Sie können diese Abfrage jetzt je nach Anforderung aktivieren und deaktivieren. Durch Deaktivieren dieser Abfrage wird die Leistung des Management Service und der ADC-Instanzen verbessert.

[ NSSVM-4991 ]

NetScaler Web App Firewall

Ausführliche Protokollierung für JSON-Sicherheitsprüfungen (SQL, CMD und XSS)

Mit der NetScaler-Appliance können Sie jetzt ausführliche Parameter der Protokollebene für die Protokollierung von Verletzungsdetails wie Muster, Musternutzlast und HTTP-Headerdetails für JSON-Sicherheitsprüfungen konfigurieren. Die Protokolldetails werden dann zur Überwachung und Problembehandlung an den NetScaler Console-Server gesendet. Die ausführliche Protokollnachricht wird nicht in der Datei ns.log gespeichert.

[NSWAF-8269]

Veraltete Web App Firewall Classic-Auditlog-Richtlinien

Um Richtlinien der Web App Firewall global zu binden, ist jetzt ein neuer globaler Bindungstyp APPFW_GLOBAL in den Befehlen bind audit syslogGlobal und bind audit nslogGlobalkonfigurierbar. Die global gebundenen Überwachungsprotokollrichtlinien werden im Protokollierungskontext der Web App Firewall ausgewertet.

[ NSWAF-406 ]

Lastausgleich

Rewrite-Richtlinienunterstützung für das MQTT-Protokoll

Die Rewrite-Funktion unterstützt jetzt das MQTT-Protokoll. Sie können die Richtlinie zum Umschreiben so konfigurieren, dass sie Aktionen basierend auf den Parametern in den MQTT-Clientanforderungen und Serverantworten durchführt.

[ NSLB-8661 ]

Prioritätsauftrag für Dienstleistungen

Mit der Funktion “Prioritätsreihenfolge für Dienste” können Sie die Reihenfolge von Diensten oder Dienstgruppen basierend auf den Auswahleinstellungen für den Lastausgleich priorisieren. Sie können jetzt die Dienstauswahlreihenfolge konfigurieren, wenn Sie die Dienste oder Dienstgruppen an die virtuellen LB- oder GSLB-Server binden. Ein neuer Parameter, -order <number>, wird zu den Bind-Befehlen hinzugefügt, um die Dienstauswahleinstellung zu konfigurieren.

Standardmäßig hat die niedrigste Auftragsnummer die höchste Priorität. Sie können dieses Standardauswahlverhalten jedoch verschieben. Mit der neuen LB-Aktion und den Richtlinienbefehlen können Sie jetzt die Dienstauswahlreihenfolge basierend auf dem eingehenden Clientverkehr konfigurieren.

Die Prioritätsreihenfolge für Dienste imitiert das Verhalten der primären und virtuellen virtueller Backupserverkettenfunktionalität mit weniger Konfigurationsbefehlen.

[NSLB-8039]

Netzwerke

Fügen Sie die Client-IP-Adresse in den äußeren IP-Tunnel-Header ein, um die Konfiguration des Lastausgleichs

In einer sitzungslosen Lastausgleichskonfiguration mit den folgenden Einstellungen verwendet die NetScaler-Appliance des Verkapselungsgeräts eine SNIP-Adresse anstelle der Client-IP-Adresse als Quell-IP im äußeren Header des IP-Tunnels.

  • Virtueller Lastausgleichsserver:

  • Umleitungsmodus (m): IP-Tunnel

  • sitzungslos: aktiviert

  • Globaler Parameter IP-Tunnel:

  • Client-Quell-IP-Adresse verwenden (useClientSourceIP): aktiviert

In einigen Szenarien muss der Tunneldekapsulator (ein Back-End-NetScaler oder ein Back-End-Server) jedoch die IP-Adresse des Clients kennen.

Um diese Anforderung zu erfüllen, verwendet die NetScaler-Appliance des Verkapselungsgeräts jetzt die Client-IP-Adresse als Quell-IP im äußeren Header des IP-Tunnels.

Weitere Informationen finden Sie unter Konfigurieren des Lastenausgleichs im DSR-Modus mithilfe von IP über IP.

[NSNET-21804]

Plattform

Das VMware ESXi-Image wird bis zur Version 13 der virtuellen Hardware gestartet

Wenn Sie eine NetScaler VPX-Instanz aus dem VMware ESXi-Image (ab 12.1) bereitstellen, wird die virtuelle Maschine standardmäßig mit der Hardwareversion 13 geliefert.

[NSPLAT-21416]

Unterstützung für Intel Ethernet-Controller X710 und XL710 Serie auf Citrix Hypervisor

Sie können jetzt eine NetScaler VPX-Instanz konfigurieren, die auf Citrix Hypervisor ausgeführt wird, mithilfe der Single-Root-E/A-Virtualisierung (SR-IOV) mit den folgenden NICs:

  • Intel X710 10 G
  • Intel XL710 40 G

[NSPLAT-21410]

Bereitstellen eines VPX-Paars mit hoher Verfügbarkeit unter Verwendung privater IP-Adressen mit AWS Shared VPC

Sie können jetzt ein VPX-Paar mit hoher Verfügbarkeit unter Verwendung privater IP-Adressen in verschiedenen AWS-Zonen mit AWS Shared Virtual Private Clouds (VPCs) bereitstellen. Mit der VPC-Freigabe können mehrere AWS-Konten ihre Anwendungsressourcen in gemeinsam genutzten, zentral verwalteten VPCs erstellen. Sie können NetScaler VPX-Instanzen in AWS Shared VPC erstellen. Die gemeinsam genutzte VPC reduziert die Anzahl der VPCs, die Sie erstellen und verwalten, während separate Konten für die Abrechnung und Zugriffssteuerung verwendet werden.

[NSPLAT-21401]

SSL

Neuer Ausdruck zur Erkennung von Malware basierend auf JA3-SSL-Fingerabdruck

Ein neuer SSL-Ausdruck, CLIENT.SSL.JA3_FINGERPRINT, wurde hinzugefügt, mit dem böswillige Anfragen identifiziert werden können, indem die Anforderung mit dem konfigurierten JA3-Fingerabdruck verglichen wird.

Beispiel: add ssl policy ja3_pol -rule "CLIENT.SSL.JA3_FINGERPRINT.EQ(bb4c15a90e93a25ddc16274395bce4c6)" -action reset

[NSSSL-10156]

Unterstützung für Zertifikatspaket im Cluster

Zertifikatpakete werden jetzt in einem Cluster-Setup unterstützt.

[NSSSL-9854]

Unterstützung für SSL-Zertifikat-Paket

Die Zertifikatbündelfunktion wurde erweitert, um das Bundle als Einheit zu behandeln. Daher müssen nicht für jedes Zwischenzertifikat Dateien erstellt werden. Zwei Zertifikatspakete können jetzt einen Teil der Zwischenzertifikatkette gemeinsam nutzen. Sie können auch ein Zertifikatsschlüsselpaar mit demselben Serverzertifikat und demselben Schlüssel hinzufügen, die auch Teil eines Zertifikatpakets sind. Das Entfernen des Zertifikatbündels wird ebenfalls vereinfacht.

Zuvor wurden beim Hinzufügen eines Zertifikatpakets mehrere Befehle in der Konfiguration hinzugefügt. Sie können kein weiteres Zertifikatspaket hinzufügen, wenn zwei Bundles ein gemeinsames Zwischenzertifikat gemeinsam genutzt haben. Das Entfernen war auch ein manueller Vorgang.

[NSSSL-9425]

System

Die Befehle im Zusammenhang mit der HTML-Einschleusung wurden in Release 13.1 entfernt. Diese Änderung entfernt den gesamten Backend-Code.

[NSBASE - 14742]

Behobene Probleme

Die Probleme, die in Build 13.1—12.51 behoben wurden.

Authentifizierung, Autorisierung und Prüfung

Die NetScaler-Appliance stürzt ab, wenn E-Mail-OTP konfiguriert ist.

[NSHELP-29312]

Das native OTP-Verschlüsselungstool erlaubt keine Sonderzeichen im Gerätenamen.

[NSHELP-28795]

Wenn Sie sich bei der NetScaler-Appliance anmelden, wird ein leeres Kennwortfeld angezeigt, wenn die beiden folgenden Bedingungen erfüllt sind.

  • Duo-Zwei-Faktor-Authentifizierung ist konfiguriert
  • Das RFWebUI-Portalthema wird verwendet

[NSHELP-27868]

Der Zugriff auf einen Dienst wird verweigert, wenn die folgenden Bedingungen erfüllt sind:

  • Der Dienst ist an einen virtuellen Authentifizierungsserver gebunden.
  • 401-Authentifizierung ist auf dem Dienst und dem virtuellen Server konfiguriert, an den der Dienst gebunden ist.

[NSHELP-26903]

In einem seltenen Szenario kann der sekundäre Knoten in einem Hochverfügbarkeits-Setup abstürzen, wenn die folgende Bedingung erfüllt ist.

  • aaa groups und/oder aaa userssind auf der NetScaler-Appliance konfiguriert.

[ NSHELP-26732 ]

Wenn das Administratorkennwort für LDAP-, RADIUS- oder TACACS-Dienste das doppelte Anführungszeichen (“) enthält, entfernt die NetScaler-Appliance es während der Test Connectivity-Überprüfung, was zu einem Verbindungsfehler führt.

[NSHELP-23630]

NetScaler SDX-Appliance

Auf den Plattformen NetScaler SDX 14000-40G, 15000 und 15000-50G schlägt das Einstellen der Schnittstellengeschwindigkeit über die CLI fehl.

[ NSHELP-29388 ]

Wenn Sie das Profil auf einer ADC-Instanz ändern, die auf der NetScaler SDX-Plattform gehostet wird, bemerken Sie möglicherweise einige zusätzliche Einträge für den Befehl save config in der Protokolldatei.

[NSHELP-29343]

Auf einer NetScaler SDX-Appliance gibt ein SNMP-Agent, der im Verwaltungsdienst ausgeführt wird, einen falschen Fehlercode für nicht vorhandene OIDs zurück.

[NSHELP-29209]

Die Daten in der ADC-Ereignistabelle können nun seitenübergreifend sortiert werden, wenn die Gesamtzahl der Datensätze weniger als 5000 beträgt.

[NSHELP-29170]

NetScaler Gateway

Die NetScaler-Appliance stürzt möglicherweise ab, wenn EPA konfiguriert ist und nicht genügend Speicher verfügbar ist.

[NSHELP-28329]

Das Verzeichnis /var/netscaler/logon/logonPoint/custom/ wird nach einem Upgrade nicht erstellt, wenn das Verzeichnis ursprünglich nicht vorhanden war.

[NSHELP-28223]

Möglicherweise sehen Sie eine zusätzliche Zeile für NS_AUDITLOG_STR*-Protokolle in der Datei ns_aaa_json.c.

[NSHELP-28160]

Die DNS-Registrierung funktioniert nicht, nachdem die VPN-Verbindung hergestellt wurde.

Um dieses Problem zu beheben, müssen Sie den nsapimgr-Knopf nsapimgr_wr.sh -ys call=toggle_vpn_configured_dns_disable_override aktivieren.

[NSHELP-27760]

Manchmal werden während der Transferanmeldung Intranet-IP-Subnetze auf der Clientseite falsch angezeigt.

[NSHELP-26904]

Die ICA-Latenz einer Sitzung wird fälschlicherweise als 64.000 ms im Citrix Director aufgezeichnet, wenn die L7-Latenz aktiviert ist. Die L7-Latenz ist aktiviert, wenn der nsapimgr-Regler enable_ica_l7_latency auf 1 eingestellt ist.

[ NSHELP-23459 ]

Die Gateway Insight-Protokolldatei wird mit der folgenden Meldung überflutet, wenn sich Benutzer bei der NetScaler Gateway-Appliance anmelden und auf die ICA-Apps zugreifen.

GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero Oct 25 23:01:31 <local0.err> 10.217.24.1Oct 25 23:01:31 <local0.err> 10.217.24.101 10/26/2021:06:01:31 GMT NSGWTHDR 0-PPE-0 : default SSLVPN Message 10491736 0 : GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero

[CGOP-19685]

Die Enterprise Lesezeichenfunktion des NetScaler Gateway-Portals unterstützt nur die folgenden Protokolle. Alle anderen Lesezeichen sind gesperrt. http://, https://, rdp:// und ftp://.

[CGOP-19543]

NetScaler Web App Firewall

Wenn Sie WAF-Signaturen verwenden, müssen Sie nach dem Upgrade des Builds alle WAF-Signaturen einschließlich der Standardsignaturen auf die neueste Version aktualisieren. Aktivieren Sie dann die erforderlichen Signaturregeln erneut.

[NSWAF-8668]

In einigen Fällen kann eine NetScaler-Appliance abstürzen, wenn Trap-URLs im Bot-Verwaltungssystem automatisch generiert werden.

[NSHELP-29339]

Lastausgleich

Die GSLB-Dienstgruppe kann aufgrund eines fehlenden ENUM-Werts in fehlgeschlagenen Befehlen keine Überwachungsaktualisierungen verarbeiten.

[ NSHELP-29050 ]

Die NetScaler-Appliance stürzt ab, während sie versucht, Speicher freizugeben, der in einer anderen Partition als der, von der sie befreit wird, zugewiesen ist.

[NSHELP-29038]

Wenn ein DNS-Datensatz vom Typ ZONE für die übergeordnete Domäne verfügbar ist, führt eine Abfrage nach der untergeordneten Domäne mit einem vorhandenen NS-Eintrag zu einem SOA-Datensatz der übergeordneten Domäne anstelle des NS-Eintrags der untergeordneten Domäne.

[NSHELP-28793]

Die NetScaler-Appliance reagiert möglicherweise nicht auf eine GSLB-Domänenabfrage mit einer erwarteten GSLB-Dienst-IP-Adresse, wenn der virtuelle GSLB-Server wie folgt konfiguriert ist: Persistenztyp: Quell-IP-Adresse Load-Balancing-Algorithmus: Statische Nähe Backup-Lastausgleichsmethode: Round Fahrzeit (RTT)

[ NSHELP-28668 ]

Der Loadbalancing- oder GSLB-domänenbasierte Autoscale-Dienstgruppenstatus bleibt DOWN, wenn Sie einen Platzhalterport verwenden.

[NSHELP-28548]

Die letzte Antwortnachricht wird für Monitore, die an GSLB-Dienstgruppen gebunden sind, falsch angezeigt.

[NSHELP-28393]

Der CookieTimeout-Wert wird während des GET-Vorgangs falsch festgelegt, was zum Fehlschlagen des Aktualisierungsvorgangs des virtuellen CS-Servers führt.

[NSHELP-27979]

Eine NetScaler-Appliance schlägt möglicherweise fehl, wenn die Monitorprobe für den Monitortyp MySQL behandelt wird, was schließlich zu einem Neustart des Systems führt.

[NSHELP-27953]

Sonstiges

Die NetScaler CPX-Instanz, die auf einem Linux-System mit 64-Bit-Architektur und 1 TB Dateispeicher ausgeführt wird, kann jetzt Zertifikat- und Schlüsseldateien laden.

[NSHELP-28986]

Der Musterabgleich für URL-Satz schlägt für IDNA2008-Standarddomänen fehl.

[ NSHELP-28902 ]

Wenn die MAC-basierte Weiterleitung (MBF) für VXLAN aktiviert ist, wurde die statusbehaftete TCP-Sitzung nicht eingerichtet.

[ NSHELP-27125 ]

Netzwerke

Das Aktualisieren einer NetScaler-Appliance mit Administratorpartitionen kann zu einem gewissen Konfigurationsverlust führen, wenn die folgende Bedingung erfüllt ist:

  • Wenn der gesamte verfügbare Systemspeicher Admin-Partitionen zugewiesen ist.

[NSNET-23031]

BESCHRÄNKUNGEN -

Die VLAN-ID 2 ist für den internen Gebrauch reserviert

Die VLAN-ID 2 ist für die interne Verwendung für Bereitstellungen im Bridge- und None-Modus reserviert. NetScaler CPX bindet alle Schnittstellen außer der 0/1 an die VLAN-ID 2 und die MTU (Maximum Transmission Units) der VLAN-ID 2 ist gleich der MTU der eth0-Schnittstelle. Wenn Sie VLAN konfigurieren und die Schnittstelle damit binden möchten, setzen Sie die MTU im VLAN auf die unter Linux konfigurierte MTU der Schnittstelle, wenn die Schnittstellen-MTU weniger als 1500 Byte beträgt.

[NSNET-22807]

Eine NetScaler BLX-Appliance im DPDK-Modus kann abstürzen, wenn ein Web Application Firewall-Profil mit erweiterten Sicherheitsschutzprüfungen konfiguriert ist.

[NSNET-22654]

Die NetScaler-Appliance stürzt möglicherweise beim Erstellen einer Monitorprobe für den zugehörigen Dienst ab, wenn die folgenden Bedingungen erfüllt sind:

  • Ein Netzprofil mit einem IP-Satz, der mindestens eine IPv4-Adresse und keine IPv6-Adresse hat. Das Netzprofil ist an einen Monitor gebunden, der auf einen IPv6-Dienst eingestellt ist.
  • Ein Netzprofil mit einem IP-Satz, der mindestens eine IPv6-Adresse und keine IPv4-Adresse hat. Das Netzprofil ist an einen Monitor gebunden, der auf einen IPv4-Dienst eingestellt ist.

[NSHELP-29382]

In einer NetScaler-Appliance gehen passive FTP-Datenverbindungen möglicherweise nach einem Fehler bei der Speicherzuweisung verloren.

[NSHELP-26522]

Plattform

Die NetScaler VPX-Instanzen, die den VMXNET3-Treiber verwenden, stürzen möglicherweise zufällig ab, wenn die Instanz auf einem der folgenden NetScaler-Builds ausgeführt wird:

  • NetScaler 13.1 erstellen 4.x
  • NetScaler 13.1 Build 9.x

[ NSHELP-29120 ]

Richtlinien

Eine NetScaler-Appliance kann unter den folgenden Bedingungen abstürzen:

  • Eine Überwachungsmeldungsaktion wird mit dem String Builder-Ausdruck konfiguriert, wobei eine oder mehrere REGEX-Funktionen auf den Text einer Anforderung angewendet werden.
  • Ein Anwendungs-Firewall-Profil, bei dem die Streaming-Option aktiviert ist.

Beispiel: HTTP.REQ.BODY(10000000).REGEX_SELECT(re/name=[^\r\n]*[\r\n]+/).

[NSHELP-27895]

SSL

Eine NetScaler-Appliance stürzt während der Verarbeitung einer HTTP-Anforderung ab, wenn die Richtlinienaktion für eine Richtlinie auf Forwardfestgelegt ist, die bereits an den Anforderungsbindepunkt gebunden ist.

[ NSHELP-29115 ]

Eine NetScaler-Appliance stürzt ab, wenn die folgenden Schritte ausgeführt werden:

  1. Ein Monitor vom Typ SSL wird hinzugefügt.
  2. Ein Zertifikatsschlüsselpaar ist an den Monitor gebunden.
  3. Der Monitor ist entfernt.
  4. Ein weiterer Monitor mit demselben Namen wird hinzugefügt.
  5. Das Zertifikatsschlüsselpaar wurde aktualisiert.

[NSHELP-28666]

Alle IP-Adressen in einem SAN-Zertifikat werden jetzt angezeigt. Früher wurde nur die letzte SAN-IP-Adresse aller IP-Adressen im SAN-Zertifikat angezeigt.

[NSHELP-27336]

SSL-Handshake schlägt fehl, wenn Sie DH-Verschlüsselungen mit einem externen HSM verwenden.

[NSHELP-25307]

System

Wenn eine NetScaler-Appliance einen HTTP/2-GOWAY-Frame von einem Client erhält, setzt sie fälschlicherweise alle Streams mit Stream-ID zurück, die größer als die zugesagte ID ist (letzte Peer-initiierte Stream-ID).

[NSHELP-29328]

Auf einer NetScaler Console meldet der ADM-Agent möglicherweise eine hohe Speicherauslastung aufgrund eines Problems im ADM-Agent.

[NSHELP-29285]

Die NetScaler-Appliance stürzt ab, wenn alle folgenden Bedingungen erfüllt sind:

  • Eine Inhaltsüberprüfungsaktion mit einer Server-IP-Adresse verwendet die internen Daten eines Dienstes, sofern bereits konfiguriert.
  • Daher werden die internen Daten des Dienstes auch entfernt, wenn die CI-Aktion entfernt wird.
  • Wenn der eigentliche Dienst entfernt wird, versucht die NetScaler-Appliance, auf die bereits entfernten internen Daten zuzugreifen und sie zu löschen.

[NSHELP-28293]

In einer NetScaler-Appliance mit Admin-Partitionen wird das nstrace-Dienstprogramm möglicherweise nicht ordnungsgemäß in einer nicht standardmäßigen Partition ausgeführt

[NSBASE - 15738]

In einer Cluster-Konfiguration wird ein Knoten mit CCO-Priorität aufgrund von Netzwerkproblemen von Open vSwitch (OVS) getrennt. Nachdem der Knoten wieder in die Cluster-Konfiguration aufgenommen wurde, erhält er nicht das neueste SYN-Cookie.

[NSBASE - 14419]

Benutzeroberfläche

ADC-Instanzen in einem Cluster-Modus, der mit gepoolter Kapazität konfiguriert ist, sinken. Dieses Problem tritt auf, wenn ein Hostname in den Clusterknoten konfiguriert ist und wenn die Knoten beim Booten mehr Zeit benötigen, um eine Verbindung zum ADM-Lizenzserver herzustellen.

[NSHELP-28613]

Die NetScaler GUI generiert möglicherweise fälschlicherweise ein Paket für den technischen Support des Clusters mit nur einem Knoten anstelle aller Clusterknoten.

[NSHELP-28606]

Das Erstellen eines Pakets für den technischen Support für Cluster mithilfe der NetScaler GUI schlägt möglicherweise mit einem Fehler fehl.

[NSHELP-28586]

In einer NetScaler CLI-Schnittstelle werden die Optionen zum Binden von Befehlen nicht automatisch ausgefüllt, wenn Sie die <Tab>-Taste drücken, während Sie den Befehl in der Eingabeaufforderung eingeben.

Geben Sie beispielsweise den folgenden Befehl ein, und wenn Sie die <Tab>-Taste verwenden, werden die Objekte nicht automatisch ausgefüllt.

bind authentication vserver <authvservername> -policy <Tab>.

Hier kann der virtuelle Authentifizierungsserver an mehrere Objekttypen wie Radius-Richtlinie, Idappolicy, Cert-Richtlinie, TACAS-Richtlinie, erweiterte AuthentifizierungsRichtlinie usw. gebunden werden.

[NSCONFIG -6340]

Bekannte Probleme

Die Probleme, die in Version 13.1—12.51 bestehen.

AppFlow

HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

[ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Prüfung

In einigen Fällen wird in einer NetScaler-Appliance ein Speicherleck beobachtet, wenn die SSO-Funktionalität mit einem Proxyserver verwendet wird.

[ NSHELP-27744 ]

Eine NetScaler-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]

Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der NetScaler-GUI nicht korrekt angezeigt.

[ NSAUTH-6106 ]

Das ADFS-Proxyprofil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxyprofil wird fälschlicherweise leer angezeigt, wenn der folgende Befehl ausgegeben wird. show adfsproxyprofile <profile name>

Workaround:

Stellen Sie eine Verbindung zum primären aktiven NetScaler im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Es würde den Status des Proxyprofils anzeigen.

[ NSAUTH-5916 ]

Die Seite „Authentifizierungs-LDAP-Server konfigurieren“ auf der NetScaler-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

  • Die Option LDAP-Erreichbarkeit testen ist geöffnet.
  • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
  • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

Workaround:

Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

[ NSAUTH-2147 ]

Zwischenspeichern

Eine NetScaler-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

[NSHELP-22942]

NetScaler SDX-Appliance

Wenn auf einer NetScaler SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

[ NSSVM-4333 ]

NetScaler Gateway

In einigen Fällen schlägt der Servervalidierungscode fehl, wenn das Serverzertifikat als vertrauenswürdig eingestuft wird. Daher können Endbenutzer nicht auf das Gateway zugreifen.

[ NSHELP-28942 ]

Manchmal kann der DNS-Resolver nach dem Trennen des VPN die Hostnamen nicht auflösen, da die DNS-Suffixe während der VPN-Trennung entfernt werden.

[ NSHELP-28848 ]

Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

[ NSHELP-28551 ]

Manchmal wird ein Benutzer innerhalb weniger Sekunden bei NetScaler Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

[ NSHELP-28404 ]

Das Windows-Plug-In kann während der Authentifizierung abstürzen.

[ NSHELP-28394 ]

Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

[ NSHELP-23937 ]

Das VPN-Plug-In richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

  • Das NetScaler Gateway-Gerät ist für die Always-On-Funktion konfiguriert
  • Die Appliance ist für zertifikatbasierte Authentifizierung mit Zwei-Faktor-Authentifizierung konfiguriert off

[NSHELP-23584]

Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung Cannot read property 'type' of undefined angezeigt.

[NSHELP-21897]

Wenn Sie die Funktion Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf NetScaler Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und in Version 12.1 nicht verfügbar sind.

[CGOP-19355]

Ein Fehler beim Start der Anwendung aufgrund eines ungültigen STA-Tickets wird in Gateway Insight nicht gemeldet.

[ CGOP-13621 ]

Im Gateway Insight-Bericht wird der Wert für SAML-Fehler fälschlicherweise und Local nicht SAML im Feld Authentifizierungstyp angezeigt.

[CGOP-13584]

In einem Hochverfügbarkeitssetup erhöht sich während des NetScaler-Failovers die SR-Anzahl anstelle der Failover-Anzahl in der NetScaler Console.

[CGOP-13511]

Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS unabhängig von der ausgewählten Sprache Inhalte in englischer Sprache an.

[ CGOP-13050 ]

Der Text Home Page in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

[ CGOP-13049 ]

Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die NetScaler-GUI hinzufügen oder bearbeiten.

[CGOP-11830]

Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem schwerwiegenden Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

[CGOP-7269]

Wenn Sie in einer Clusterbereitstellung den Befehl force cluster sync auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

[CGOP-6794]

Lastausgleich

In einem Hochverfügbarkeitssetup werden Abonnentensitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Das ist ein seltener Fall.

[ NSLB-7679 ]

Das ServiceGroupName-Format im entityofs Trap für die Dienstgruppe lautet wie folgt: <service(group)name>?<ip/DBS>?<port>

Im Trap-Format wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Trennzeichen verwendet. Der NetScaler sendet den Trap mit dem Fragezeichen (?). Das Format wird in der NetScaler Console-GUI identisch angezeigt. Dies ist das erwartete Verhalten.

[NSHELP-28080]

Sonstiges

Wenn eine erzwungene Synchronisierung in einem Hochverfügbarkeitssetup stattfindet, führt die Appliance den Befehl set urlfiltering parameter im sekundären Knoten aus. Infolgedessen überspringt der sekundäre Knoten jede geplante Aktualisierung bis zur nächsten geplanten Zeit, die im Parameter TimeOfDayToUpdateDB erwähnt wird.

[NSSWG-849]

Eine NetScaler-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter für URL-Filterung auftritt.

[NSHELP-22409]

Netzwerke

Nach einem Upgrade von NetScaler BLX Appliance 13.0 61.x Build auf 13.0 64.x Build gehen die Einstellungen in der BLX-Konfigurationsdatei verloren. Die BLX-Konfigurationsdatei wird dann auf die Standardeinstellungen zurückgesetzt.

[NSNET-17625]

Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer NetScaler BLX-Appliance mit DPDK nicht unterstützt:

  • Deaktivieren
  • Aktivieren
  • Zurücksetzen

[NSNET-16559]

Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine NetScaler BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (/etc/blx/blx.conf) immer im freigegebenen Modus bereitgestellt. Dieses Problem tritt auf, weil mawk, das standardmäßig auf Debian-basierten Linux-Systemen vorhanden ist, einige der in der Datei blx.conf vorhandenen awk-Befehle nicht ausführt.

Workaround:

Installieren Sie gawk vor der Installation einer NetScaler BLX Appliance. Sie können den folgenden Befehl in der Linux-Host-CLI zur Installation ausführen gawk:

  • apt-get install gawk

[NSNET-14603]

Die Installation einer NetScaler BLX-Appliance kann auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehlschlagen:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Workaround:

Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine NetScaler BLX-Appliance installieren:

  • dpkg –add-architecture i386
  • apt-get aktualisieren
  • apt-get dist-upgrade
  • apt-get installiert libc6:i386

[NSNET-14602]

In einigen Fällen von FTP-Datenverbindungen führt die NetScaler Appliance nur den NAT-Vorgang und keine TCP-Verarbeitung der Pakete für die TCP-MSS-Aushandlung durch. Infolgedessen ist die optimale Schnittstellen-MTU für die Verbindung nicht eingestellt. Diese falsche MTU-Einstellung führt zur Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

[NSNET-5233]

In einem Hochverfügbarkeits-Setup werden dynamische Routen bei Nichtübereinstimmung der HA-Version zwischen beiden Knoten nicht mit dem sekundären Knoten synchronisiert. Der sekundäre Knoten ist nicht erreichbar, wenn seine Erreichbarkeit von den dynamischen Routen abhängt.

Als Fix werden dynamische Routen mit dem sekundären Knoten synchronisiert, auch wenn die HA-Version nicht übereinstimmt.

[NSHELP-28326]

Wenn ein Speicherlimit für die Admin-Partition in der NetScaler Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

[NSHELP-21082]

Plattform

Das Hochverfügbarkeitsfailover funktioniert nicht in AWS- und GCP-Clouds. Die Verwaltungs-CPU erreicht möglicherweise ihre Kapazität von 100% in AWS- und GCP-Clouds und NetScaler VPX on-premises. Beide Probleme werden verursacht, wenn die folgenden Bedingungen erfüllt sind:

  1. Beim ersten Start der NetScaler-Appliance speichern Sie das angeforderte Kennwort nicht.
  2. Anschließend starten Sie die NetScaler-Appliance neu.

[ NSPLAT-22013 ]

Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den NetScaler-Appliances installiert. Dieses Problem wurde für die folgenden NetScaler-Versionen behoben:

  • 13.1-4.x
  • 13.0-82.31 und später
  • 12.1-62.21 und später

Die Python-Pakete werden nicht installiert, wenn Sie die NetScaler-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

  • Beliebiger 11.1-Build
  • 12.1-62,21 und früher
  • 13.0-81.x und früher

[NSPLAT-21691]

Die Provisioning einer VPX-Instanz mit Version 12.0 XVA schlägt auf einer NetScaler SDX-Appliance mit Version 13.1 fehl.

Nur VPX-Versionen 12.1 und höher werden unterstützt. Aktualisieren Sie die VPX-Version, bevor Sie das SBI auf Version 13.1 aktualisieren.

[NSPLAT-21442]

In einem Cluster-Setup auf einer NetScaler SDX-Appliance gibt es eine CLAG-MAC-Nichtübereinstimmung auf dem zweiten Knoten und CLIP, wenn die folgenden Bedingungen erfüllt sind:

  • Die CLAG wird auf einer Mellanox-NIC erstellt.
  • Sie fügen dem Cluster- und CLAG-Setup eine weitere VPX-Instanz hinzu.

Infolgedessen stoppt der Datenverkehr zur VPX-Instanz.

[NSPLAT-21049]

In einem Cluster-Setup auf einer NetScaler SDX-Appliance wird der erste Knoten aufgrund einer Nichtübereinstimmung der MAC-Adressen in der CLIP- und MAC-Tabelle DOWN, wenn die folgenden Bedingungen erfüllt sind:

  • Die CLAG wird auf einer Mellanox-NIC erstellt.
  • Sie entfernen den zweiten Knoten aus dem Cluster.

[NSPLAT-21042]

Wenn Sie eine Autoscale-Einstellung oder eine VM-Skalierungsgruppe aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der NetScaler-Instanz. Verwenden Sie den Befehl rm cloudprofile, um das Profil zu löschen.

[ NSPLAT-4520 ]

In einem Hochverfügbarkeits-Setup in Azure wird bei der Anmeldung am sekundären Knoten über die GUI der FTU-Bildschirm (First Time User) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt. Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich am primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil sollte immer auf dem primären Knoten konfiguriert werden.

[ NSPLAT-4451 ]

Richtlinien

Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße. Workaround: Stellen Sie die TCP-Puffergröße auf die maximale Größe der zu verarbeitenden Daten ein.

[ NSPOLICY-1267 ]

SSL

Auf einem heterogenen Cluster von NetScaler SDX 22000- und NetScaler SDX 26000-Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

Workaround:

  1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten, z. B. für virtuelle Server, Dienste, Dienstgruppen und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
  2. Speichern Sie die Konfiguration.

[NSSSL-9572]

Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:

  • add azure application
  • add azure keyvault
  • add ssl certkey with hsmkey option

[NSSSL-6484]

Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[NSSSL-6478]

Sie können mehrere Azure Application-Entitäten mit derselben Client-ID und demselben Client-Schlüssel erstellen. Die NetScaler Appliance gibt keinen Fehler zurück.

[NSSSL-6213]

Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben. FEHLER: CRL Refresh ist deaktiviert

[NSSSL-6106]

Die automatische Aktualisierung des Sitzungsschlüssels wird auf einer Cluster-IP-Adresse fälschlicherweise als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[NSSSL-4427]

Eine falsche Warnmeldung Warning: No usable ciphers configured on the SSL vserver/service, wird angezeigt, wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern.

[NSSSL-4001]

Ein abgelaufenes Sitzungsticket wird auf einem Nicht-CCO-Knoten und auf einem HA-Knoten nach einem HA-Failover berücksichtigt.

[NSSSL-3184]

System

Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 gesetzt, wenn die Appliance den max_concurrent_stream-Einstellungsframe nicht vom Client empfängt.

[NSHELP-21240]

Die mptcp_cur_session_without_subflow-Zähler dekrementieren fälschlicherweise auf einen negativen Wert statt auf Null.

[NSHELP-10972]

Bei der Verarbeitung großer Ströme von gRPC-Verkehr steigt das angekündigte TCP-Fenster exponentiell an, was zu einer hohen Speichernutzung führt.

[NSBASE - 15447]

Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

[NSBASE-8506]

Benutzeroberfläche

Für die MQTT-Rewrite-Funktion können Sie einen Ausdruck nicht mit dem Ausdruckseditor in der GUI löschen.

Workaround:

Verwenden Sie den Befehl zum Hinzufügen oder Bearbeiten von Aktionen vom Typ MQTT über die CLI.

[NSUI-18049]

In der NetScaler-GUI ist der Help-Link unter der Dashboard-Registerkarte defekt.

[NSUI-14752]

Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht mehr oder kann keinen CloudBridge-Connector konfigurieren.

Workaround:

Konfigurieren Sie Cloudbridge-Konnektoren, indem Sie über die NetScaler GUI oder CLI IPSec-Profile, IP-Tunnel und PBR-Regeln hinzufügen.

[NSUI-13024]

Wenn Sie einen ECDSA-Schlüssel mit der GUI erstellen, wird der Kurventyp nicht angezeigt.

[NSUI-6838]

In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

  • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

Workaround:

Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Erfolgsstatus Sync).

[ NSHELP-25598 ]

Wenn Sie eine NetScaler-Appliance Version 13.0-71.x auf einen früheren Build herunterstufen, funktionieren einige Nitro-APIs aufgrund der Änderungen der Dateiberechtigung möglicherweise nicht.

Workaround:

Ändern Sie die Berechtigung für /nsconfig/ns.conf auf 644.

[NSCONFIG-4628]

Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer NetScaler Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der herabgestuften NetScaler Appliance anmelden.

  1. Aktualisieren Sie die NetScaler-Appliance auf einen der Builds:
  • 13.0 52.24 bauen
  • 12.1 57.18 gebaut
  • Version 11.1 65.10
  1. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Passwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration, und
  2. Führen Sie ein Downgrade der NetScaler Appliance auf einen beliebigen älteren Build durch.

Um die Liste dieser Systembenutzer über die CLI anzuzeigen: Geben Sie an der Eingabeaufforderung Folgendes ein:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Workaround:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

  • Wenn die NetScaler Appliance noch nicht herabgestuft wurde (Schritt 3 in den oben genannten Schritten), führen Sie ein Downgrade der NetScaler Appliance mithilfe einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds durch.
  • Jeder Systemadministrator, dessen Passwort auf dem aktualisierten Build nicht geändert wurde, kann sich bei dem heruntergestuften Build anmelden und die Passwörter für andere Systembenutzer aktualisieren.
  • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

[NSCONFIG-3188]

Versionshinweise für NetScaler 13.1—12.51 Release
March 17, 2024
Beitrag von: 
C
March 17, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.