ADC

Versionshinweise für NetScaler 13.1—17.42 Release

March 17, 2024

Beitrag von:

In diesem Dokument mit den Versionshinweisen werden die Erweiterungen und Änderungen sowie behobene und bekannte Probleme beschrieben, die für die NetScaler-Version Build 13.1—17.42 bestehen.

Hinweise

Dieses Dokument mit den Versionshinweisen enthält keine sicherheitsrelevanten Fixes. Eine Liste sicherheitsbezogener Fixes und Empfehlungen finden Sie im Security Bulletin.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.1—17.42 verfügbar sind.

Bot-Verwaltung

Unterstützung für IPv6-Adressierung

Die NetScaler-Bot-Verwaltung unterstützt jetzt die Internet Protocol Version 6 (IPv6) -Adressierung für Bot-Erkennungstechniken.

[NSBOT-690]

NetScaler Gateway

DF-Bitausbreitung für EDT über NetScaler Gateway

Das NetScaler Gateway-Gerät unterstützt jetzt die DF-Bit-Durchsetzung für die Funktion EDT Path Maximum Transmission Unit Discovery (PMTUD). Die Pfad-MTU-Erkennungsfunktion hilft bei der dynamischen Bestimmung der maximalen Übertragungseinheit (MTU) beim Aufbau einer EDT-Sitzung. Die DF-Bit-Durchsetzung verhindert eine EDT-Fragmentierung, die zu Leistungseinbußen oder zum Versagen beim Einrichten einer Sitzung führen kann.

In früheren Versionen unterstützte NetScaler Gateway die EDT-Pfad-MTUD, unterstützte jedoch keine DF-Bit-Durchsetzung.

[CGOP-18438]

NetScaler Web App Firewall

Verbesserte Unterstützung für das Erlernen mehrerer Cross-Site Scripting (XSS) -Verstöße

Der Lernprozess der NetScaler Web App Firewall wurde jetzt verbessert, um Fehlalarme bei Cross-Site-Scripting-Angriffen zu reduzieren.

Wenn das Lernen aktiviert ist, können Sie alle Verstöße in einer Anfrage lernen und möglicherweise alle Tags/Attribute/Muster gleichzeitig lockern. Bisher können Sie nur einen Verstoß auf einmal melden und müssen den Vorgang für mehrere Verstöße wiederholen.

Wenn eine Nutzlast beispielsweise 15 benutzerdefinierte Tags enthält, die jeweils zu einer Verletzung führen, können Sie für die erste Verletzung eine Lockerung anwenden und die Anforderung ausführen, um ein anderes benutzerdefiniertes Tag als Verstoß zu kennzeichnen. Der Vorgang muss wiederholt werden, um nacheinander eine Entspannung für alle benutzerdefinierten Tags anzuwenden.

[NSWAF-7545]

Lastausgleich

Option zum Aktivieren oder Deaktivieren von Mitgliedern der LB- und GSLB Autoscale-Dienstgruppe

Sie können jetzt bestimmte Mitglieder einer LB- oder GSLB (DNS-basierten) Autoscale-Dienstgruppe direkt aktivieren oder deaktivieren. Daher ist die Verwaltung einer LB- oder GSLB (DNS-basierten) Autoscale-Dienstgruppe jetzt einfacher.

Zuvor mussten Sie eine gesamte LB- oder GSLB Autoscale-Dienstgruppe aktivieren oder deaktivieren, um ein einzelnes Mitglied zu aktivieren oder zu deaktivieren. Nur Dienstgruppen, die nicht automatisch skalieren, hatten die Möglichkeit, ein einzelnes Mitglied zu aktivieren oder zu deaktivieren.

[NSLB-8109]

Netzwerke

Verbesserungen der ISSU-Statistiken

Die folgenden zwei Erweiterungen wurden zu den ISSU-Statistiken hinzugefügt:

Dem show migration Vorgang wurde eine Option dumpsession (Dump Session) hinzugefügt, um die Liste der vorhandenen Verbindungen anzuzeigen, die der alte primäre Knoten derzeit bedient. Der Showmigrationsvorgang mit der Option dumpsession darf nur auf dem neuen primären Knoten ausgeführt werden.
Der Migrationsvorgang anzeigen (ohne Option) zeigt jetzt die folgenden zusätzlichen Informationen zum ISSU-Migrationsvorgang an:
Gesamtzahl der Verbindungen, die im Rahmen des ISSU-Migrationsvorgangs verarbeitet werden
Anzahl der verbleibenden Verbindungen, die im Rahmen des ISSU-Migrationsvorgangs verarbeitet werden

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

[NSNET-23577]

Überwachen Sie die Port-Nutzung auf einer NetScaler-Appliance für Back-End-Verbindungen mithilfe von SNMP

Sie können den SNMP-Alarm PORT-ALLOC-EXCEED verwenden, um die Portnutzung auf einer NetScaler-Appliance für Back-End-Verbindungen zu überwachen.

Der SNMP-Alarm PORT-ALLOC-EXCEED umfasst die Parameter high-threshold und normal-threshold, die die Gesamtzahl der zugewiesenen Ports der NetScaler-eigenen IP-Adressen als Prozentsätze angeben. Wenn der Parameter high-threshold beispielsweise auf 90 festgelegt ist, generiert und sendet die NetScaler-Appliance Trap-Nachrichten, wenn das folgende Ereignis eintritt:

wenn der Prozentsatz der Portzuweisung 90 Prozent für eine der NetScaler-eigenen IP-Adressen für die Back-End-Verbindungen übersteigt

Die SNMP-Benachrichtigungen helfen Ihnen bei der Entscheidung, ob Sie mehr NetScaler-eigene IP-Adressen benötigen, wenn die verfügbaren freien Ports fast erschöpft sind.

[NSNET-21719]

Unterstützung des GENEVE Protokolls

Eine NetScaler-Appliance unterstützt jetzt das Generic Network Virtualization Encapsulation (GENEVE) -Protokoll, wie in RFC 8926 definiert.

Servervirtualisierung und Cloud-Computing-Architektur haben die Nachfrage nach isolierten Layer-2-Netzwerken in einem Rechenzentrum erhöht. Das VLAN-Limit von 4094 hat sich als unzureichend erwiesen und Kapselungsprotokolle wie VXLAN und NVGRE wurden eingeführt, um diese Einschränkung zu überwinden.

Diese Protokolle unterscheiden sich hauptsächlich in der Implementierung der Steuerungsebene. Das GENEVE-Protokoll definiert keine Spezifikationen für die Steuerebene. Das Protokoll überlässt der Implementierung, um die Spezifikationen der Steuerebene zu definieren.

Das GENEVE-Protokoll ist eine Verkapselungstechnologie, die darauf abzielt, Layer-2-Overlay-Netzwerke über die Layer-3-Infrastruktur zu erstellen, indem Layer-2-Frames in UDP-Pakete eingekapselt werden Jedes VLAN wird durch eine eindeutige 24-Bit-Kennung identifiziert, die als VNID bezeichnet wird. Nur innerhalb derselben Segment-ID (VNID) können miteinander kommunizieren.

Eine NetScaler-Appliance unterstützt die GENEVE-Kapselung auf dem UDP-Port 6081.

[NSNET-21717]

Konfigurieren Sie den SSH-Zugriff auf den Linux-Host, auf dem eine NetScaler BLX-Appliance im dedizierten Modus ausgeführt wird

Standardmäßig kann der SSH-Zugriff auf einen Linux-Host, auf dem die NetScaler BLX-Appliance in einem dedizierten Modus ausgeführt wird, nicht über die dedizierten Schnittstellen der Appliance erfolgen.

Sie können den SSH-Zugriff auf den Linux-Host über die dedizierten Schnittstellen der NetScaler BLX-Appliance konfigurieren. Diese Funktion ist nützlich in einem Linux-Host mit einer einzigen Schnittstelle, auf dem eine NetScaler BLX-Appliance im dedizierten Modus ausgeführt wird.

Sie können den direkten SSH-Zugriff auf den Linux-Host in einem der folgenden Typen konfigurieren:

Stellen Sie SSH-Zugriff auf Port 9022 der NetScaler IP (NSIP) der NetScaler BLX-Appliance bereit. - <NetScaler IP address (NSIP)>:9022
Definieren Sie eine neue IP-Adresse im Subnetz von NetScaler IP (NSIP) und stellen Sie SSH-Zugriff auf Port 22 bereit. - <new IP address on the NetScaler IP address (NSIP) subnet>:22 Außerdem sind alle anderen Ports auf dem Linux-Host über die neue IP-Adresse erreichbar. Beispielsweise ist ein rsyslog-Server, der auf dem Linux-Host auf Port 514/UDP läuft, jetzt auf Port 514 der neuen IP-Adresse erreichbar.

[NSNET-21586]

Vereinfachte Bereitstellung einer NetScaler BLX-Appliance mit DPDK-Ports

Das Verfahren zum Bereitstellen einer NetScaler BLX-Appliance mit DPDK-Ports wurde mit den folgenden Verbesserungen vereinfacht:

Die NetScaler BLX-Appliance verwendet jetzt Bibliotheken, die mit DPDK-Version 20.11.1 kompiliert wurden. Die Appliance lädt automatisch das DPDK-VFIO-Kernelmodul auf den Linux-Host.
Der Parameter dpdk-config wurde aus der NetScaler BLX-Konfigurationsdatei (blx.conf) entfernt. Der vorhandene Parameter worker-processes gilt jetzt auch für die NetScaler BLX-Appliance mit DPDK-Ports. worker-processes gibt die Anzahl der Paket-Engines für eine NetScaler BLX-Appliance an. Mit anderen Worten, worker-processes ist jetzt ein allgemeiner Parameter für die NetScaler BLX-Appliance, unabhängig von ihrem Modus (freigegeben oder dediziert oder DPDK). Wenn worker-process nicht festgelegt ist, ist die NetScaler BLX-Appliance standardmäßig mit einer Paket-Engine konfiguriert.
Der Parameter interfaces gibt jetzt die DPDK-kompatiblen NIC-Ports zusätzlich zu den Nicht-DPDK-NIC-Ports an. Die NetScaler BLX-Appliance erkennt die DPDK-kompatiblen NIC-Ports (falls vorhanden) automatisch aus der Liste der für den Parameterinterfaces angegebenen Ports. Die Appliance bindet dann die erkannten DPDK-kompatiblen NIC-Ports an das DPDK-VFIO-Modul auf dem Linux-Host. Nach dem Start der NetScaler BLX-Appliance werden die DPDK- und Nicht-DPDK-NIC-Ports automatisch als Teil der Appliance hinzugefügt.
Der Parameter dpdk-non-uio-intf, der die DPDK-gebundenen Mellanox-NIC-Ports angibt, wurde aus der NetScaler BLX-Konfigurationsdatei (blx.conf) entfernt. Der Parameter interfaces gibt jetzt die Mellanox-NIC-Ports an, die als DPDK-Ports in der NetScaler BLX-Appliance verwendet werden sollen. Bevor Sie die Mellanox-NIC-Ports für die NetScaler BLX-Appliance angeben, müssen die Mellanox OFED DPDK-Bibliotheken und Kernelmodule auf dem Linux-Host installiert werden. Die NetScaler BLX-Appliance erkennt automatisch die angegebenen Mellanox-NIC-Ports und initialisiert sie im DPDK-Modus. Nach dem Start der NetScaler BLX-Appliance werden die DPDK-gebundenen Mellanox-NIC-Ports als Teil der Appliance hinzugefügt.
In der NetScaler BLX-Konfigurationsdatei (blx.conf) wurde ein neuer Parameter total-hugepage-mem zum Einrichten von hugepages für DPDK auf dem Linux-Host eingeführt. Der Parameter total-hugepage-mem gibt die hugepages-Größe in MB oder GB an (z. B. 1024 MB und 2 GB).
Beim Aktualisieren einer NetScaler BLX-Appliance mit DPDK-Ports konvertiert das Upgrade-Modul die vorhandenen Konfigurationen automatisch in das neue Format in der NetScaler BLX-Konfigurationsdatei (blx.conf).

[NSNET-20524]

Auf NetScaler-Appliance verfügbare freie Ports für eine neue Back-End-Verbindung überwachen

Für die Kommunikation mit den physischen Servern oder anderen Peer-Geräten verwendet die NetScaler-Appliance eine Citrix-eigene IP-Adresse als Quell-IP-Adresse. Die NetScaler-Appliance verwaltet einen Pool ihrer IP-Adressen und wählt dynamisch eine IP-Adresse aus, während sie sich mit einem Server verbindet. Abhängig vom Subnetz, in dem der physische Server abgelegt ist, entscheidet die Appliance, welche IP-Adresse verwendet werden soll. Dieser Adresspool wird zum Senden von Traffic- und Monitor-Sonden verwendet.

Sie können die Gesamtzahl der freien Ports anzeigen, die auf den NetScaler-eigenen IP-Adressen für eine neue Back-End-Verbindung verfügbar sind. Diese Informationen helfen Ihnen bei der Entscheidung, ob Sie mehr NetScaler-eigene IP-Adressen benötigen, wenn die verfügbaren freien Ports fast erschöpft sind.

Sie können die folgenden Informationen für die NetScaler-Appliance bereitstellen, um die Gesamtzahl der freien Ports zu berechnen, die für eine neue Back-End-Verbindung verfügbar sind:

IP-Adresse im Besitz von Citrix (optional)
Ziel-IP-Adresse
Destination port
TCP- oder Nicht-TCP-Protokoll

[NSNET-20410]

Plattform

Unterstützung für NetScaler VPX-Konfigurationen beim ersten Start der NetScaler-Appliance auf dem KVM-Hypervisor

Sie können jetzt die NetScaler VPX-Konfigurationen beim ersten Start der NetScaler-Appliance auf dem KVM-Hypervisor anwenden. Daher kann ein Kunden-Setup auf einer VPX-Instanz in viel kürzerer Zeit konfiguriert werden.

[ NSPLAT-21571 ]

Schließen Sie den nstrace-Ordner während des Backupvorgangs von NetScaler-Adminpartitionen aus

In einer NetScaler-Appliance mit Admin-Partitionen ist der Backupvorgang des Ordners nstrace ausgeschlossen. Dies reduziert die Gesamtbackupgröße von NetScaler, ohne wichtige Daten zu verlieren.

[ NSPLAT-21433 ]

Richtlinien

Unterstützung der CIDR-Subnetznotation in IPv4- und IPv6-Adressen für Richtliniendatasets

Die Richtliniendatasets für IPv4- und IPv6-Adressen ermöglichen nun, dass der gebundene Wert Subnetze mit der CIDR-Notation sein kann (z. B. abc.d/n). Die CIDR-Notation gibt die Adresse und den Bereich des Subnetzes an. Bisher gab es keine Option, Subnetze in den Richtlinien-Datasets hinzuzufügen.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/appexpert/pattern-sets-data-seta/configuring-data-sets.html.

[ NSPOLICY-3828 ]

SSL

Deaktivieren Sie nicht sichere Protokolle für Front-End-SSL-Dienste auf einer NetScaler-Appliance

Standard-Sicherheitsscans lösen möglicherweise eine Warnung für nicht sichere Protokolle in den Front-End-SSL-Diensten aus, die beim Starten einer NetScaler-Appliance standardmäßig erstellt werden. Um solche Warnungen zu vermeiden, sind diese Protokolle jetzt standardmäßig in den Front-End-SSL-Diensten deaktiviert, wenn die Appliances hochfahren. Beispiele für nicht sichere Protokolle sind SSLv3, TLv1 und TLSv1.1.

Wenn das Standard-SSL-Profil aktiviert ist, wird ein neues SSL-Profil erstellt, in dem diese Protokolle deaktiviert sind. Dieses neue Profil ist an die Front-End-SSL-Dienste gebunden (ns_default_ssl_profile_internal_frontend_service). Dieses Profil kann bearbeitet werden.

[NSSSL-9985]

Unterstützung für mit den RSASSA-PSS-Algorithmen signierte Zertifikate

Alle NetScaler-Plattformen unterstützen jetzt Zertifikate, die mit den RSASSA-PSS-Algorithmen signiert sind. Diese Algorithmen werden bei der X.509-Zertifikatpfad-Validierung unterstützt.

[ NSSSL-9289 ]

Behobene Probleme

Probleme, die in Build 13,1—17.42 behoben wurden.

Authentifizierung, Autorisierung und Prüfung

Die NetScaler-Appliance stürzt ab, wenn die ADFSPIP-URL auf Typ http:// festgelegt ist. ADFSPIP unterstützt nur den URL-Typ https://.

[ NSHELP-29838 ]

Die NetScaler-Appliance kann während eines SAML-IdP-Flusses abstürzen, wenn die Anforderungsverarbeitung erheblich verzögert wird.

[ NSHELP-29789 ]

Rewrite-Richtlinien für Endpoints wie /logon/LogonPoint/Resources/List and /cgi/Resources/List werden nicht unterstützt.

[ NSHELP-29488 ]

In seltenen Fällen kann die NetScaler-Appliance aufgrund einer falschen Protokollposition abstürzen.

[ NSHELP-29267 ]

Eine NetScaler-Appliance, die für die Authentifizierung mit OAuth Service Provider konfiguriert ist, kann nicht mit “client-secrete_post” konfiguriert werden, um sich bei IDP tokenEndpoint zu authentifizieren.

Mit diesem Fix wird die Authentifizierungsmethode client_secret_basic zur OAuth Service Provider-Funktion von ADC hinzugefügt, wenn sie mit dem Token-Endpunkt des IDP kommuniziert.

[ NSHELP-28945 ]

Eine NetScaler-Appliance reagiert möglicherweise nicht, wenn die SAML-Authentifizierung ausgeführt wird und X.509-Zertifikate mit einer Größe von 1800 Byte oder mehr in der SAML-Authentifizierung verwendet werden.

[ NSHELP-28608 ]

Der Ausdruck Authentication, Authorization and auditing.USER.ATTRIBUTE kann in der NetScaler-Appliance mit mehreren Kernen einen leeren Wert ergeben, wenn das Benutzerkennwort nach Ablauf geändert wird.

[ NSHELP-28419 ]

Wenn die NetScaler-Appliance als OAuth Relying Party konfiguriert ist, fügt sie die extrahierten Feldinformationen “E-Mail” und “Benutzername” aus dem ID-Token nicht zum Hash-Attribut der Authentifizierungs-, Autorisierungs- und Überwachungssitzung hinzu.

[ NSHELP-28262 ]

Wenn SAML-Metadaten konfiguriert sind, wird bei SSL-Zertifikaten ein Speicherverlust beobachtet.

[ NSHELP-27846 ]

Wenn ein Benutzer eine SAML-Abmeldung durchführt, erfolgt die Abmeldung nicht sofort und die folgende Fehlermeldung wird angezeigt:

Unsupported mechanisms found in Assertion; Please contact your administrator.

Dieser Fehler tritt auf, weil der vom Kunden konfigurierte IDP eine andere URL-Codierungstechnik verwendet, um den Signaturalgorithmus-Parameter in der Antwort zu codieren. Dieser Fix unterstützt jetzt die Codierung des Signaturalgorithmus-Parameters in einer SAML-Antwort mithilfe mehrerer URL-Codierungstechniken.

[ NSHELP-27621 ]

Wenn nFactor konfiguriert ist, wird manchmal eine falsche IP-Adresse in der Abmeldungsnachricht protokolliert.

[ NSHELP-26692 ]

Die NetScaler-Appliance stürzt ab, wenn beide der folgenden Bedingungen erfüllt sind.

E-Mail-OTP ist konfiguriert
Der E-Mail-Server antwortet nicht oder es liegt ein Netzwerkproblem mit dem E-Mail-Server vor

[ NSHELP-26137 ]

In einem Hochverfügbarkeitssetup stürzt die NetScaler-Appliance ab, wenn eine erzwungene Synchronisierung initiiert wird.

[ NSAUTH-11876 ]

Intune NAC v2 wird für Android 11 und höher nicht unterstützt.

[ NSAUTH-11872 ]

Administratoren können das LDAP- oder RADIUS-Konnektivitätstool nicht verwenden, wenn das Kennwort ein bestimmtes Sonderzeichen enthält oder wenn die Argumente ein Leerzeichen enthalten.

[ NSAUTH-11322 ]

Bot-Verwaltung

Wenn die CAPTCHA-Herausforderung in Bearbeitung ist, berücksichtigt die NetScaler Bot-Verwaltung nicht den konfigurierten Wert, der vom Benutzer für die CAPTCHA-Wiederholungsversuche festgelegt wurde.

[ NSBOT-801 ]

CallHome

Die CallHome-Registrierung schlägt möglicherweise für NetScaler MPX-Appliances mit gepoolter Lizenzierung fehl Die Registrierung schlägt fehl, da CallHome eine falsche Seriennummer für die Registrierung der Appliances beim NetScaler Support Server verwendet.

[ NSHELP-28667 ]

NetScaler SDX-Appliance

Wenn Sie eine NetScaler SDX-Appliance aus der Backup wiederherstellen, wird die Eingabeaufforderungszeichenfolge nicht wiederhergestellt.

[ NSHELP-30238 ]

Auf einer NetScaler SDX 115xx-Appliance schlägt die Wiederherstellung eines VPX mit einer hohen Anzahl von CPU-Kernen (3—5 Kerne) möglicherweise fehl, wenn das Appliance-Backup drei oder mehr Instanzen enthält.

[ NSHELP-30135 ]

Auf einer NetScaler SDX-Appliance wird der Standardwert zum Auslösen des Alarms in der Warnung Hypervisor Disk Usage High auf 98 Prozent erhöht.

[ NSHELP-29688 ]

Wenn der Geschwindigkeitswert der Schnittstelle mehr als 4 Gbit/s beträgt, wird aufgrund eines Integer-Überlaufs ein falscher Wert zurückgegeben.

[ NSHELP-29658 ]

In seltenen Fällen erfolgt der ADC-Bestand nicht auf einer NetScaler SDX-Appliance.

[ NSHELP-29607 ]

Auf einer NetScaler SDX-Appliance sendet der Verwaltungsdienst keine Syslog- oder E-Mail-Benachrichtigungen, wenn Stromversorgungs-, Spannungs- oder Datenträgerausfälle mehr als einmal auftreten.

[ NSHELP-29443 ]

NetScaler Gateway

Benutzer können das EPA-Plug-In oder das VPN-Plug-In nach einem Upgrade auf Chrome 98 oder Edge 98 nicht starten. Um dieses Problem zu beheben, führen Sie Folgendes aus:

Für das VPN-Plug-In-Upgrade müssen Endbenutzer zum ersten Mal eine Verbindung über den VPN-Client herstellen, um das Update auf ihren Computern zu erhalten. Bei den nachfolgenden Anmeldeversuchen können Benutzer den Browser oder das Plug-In für die Verbindung auswählen.
Für den alleinigen Anwendungsfall der EPA verfügen die Endbenutzer nicht über den VPN-Client, um eine Verbindung zum Gateway herzustellen. Führen Sie in diesem Fall Folgendes aus:
1. Stellen Sie mit einem Browser eine Verbindung zum Gateway her.
2. Warten Sie, bis die Download-Seite angezeigt wird, und laden Sie die nsepa_setup.exe herunter.
3. Schließen Sie nach dem Herunterladen den Browser und installieren Sie die Datei nsepa_setup.exe.
4. Starten Sie den Client neu.

[ NSHELP-30641 ]

In einem Hochverfügbarkeitssetup mit TCP-SYSLOG-Konfiguration kann ein Knoten während des HA-Failovers oder während des Löschvorgangs abstürzen.

[ NSHELP-29251 ]

Auf der NetScaler Gateway-Portalseite ändert sich das RDP-Proxy-Linksymbol nicht mit dem RfWebUI-Portaldesign.

[ NSHELP-28974 ]

Nachdem Sie das NetScaler Gateway-Gerät auf Version 13.0 aktualisiert haben, funktioniert die Proxykonfiguration im Sitzungsprofil nicht wie beabsichtigt. Die Proxyverbindung wird für den konfigurierten Nicht-HTTP-NS-Proxy umgangen.

Beispiel: add vpn sessionAction-proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24

In diesem Beispiel funktioniert -httpProxy wie beabsichtigt, aber -sslProxy funktioniert nicht.

[ NSHELP-28640 ]

Das NetScaler Gateway-Gerät stürzt bei der Verarbeitung von STA in DTLS Audio ab, da der zugewiesene Speicher nicht zurückgesetzt wird.

[ NSHELP-28432 ]

Die NetScaler-Appliance protokolliert veraltete Meldungen im Zusammenhang mit dem veralteten VPND-Prozess.

[ NSHELP-28163 ]

Der Zugriff auf StoreFront über einen virtuellen VPN-Server schlägt fehl, wenn auf StoreFront über einen virtuellen Backuplastausgleichsserver zugegriffen wird.

[ NSHELP-27852 ]

Das NetScaler Gateway-Gerät stürzt möglicherweise ab, wenn Sie eine Verbindung zu einer vorhandenen ICA-Sitzung

[ NSHELP-27441 ]

Sie können die Bindung einer klassischen Autorisierungsrichtlinie nicht über die GUI aufheben. Sie können jedoch die CLI verwenden, um die Authentifizierungs-, Autorisierungs- und Überwachungsautorisierungsrichtlinie aufzuheben.

Mit diesem Fix können Sie jetzt die Autorisierungsrichtlinie über die GUI aufheben.

[ NSHELP-27064 ]

NetScaler Web App Firewall

Ein Upgrade auf die XML-Bibliothek Version 2.9.12 führt dazu, dass die WAF-Signatur-bezogenen XML-Dateien während des Parsens beschädigt werden.

[NSWAF-8662]

Der JSON-Befehlseinschleusungsschutz wird in der Meldung ns.log als Not blocked angezeigt, auch wenn die HTTP-Anforderung vom Modul Web App Firewall blockiert wurde.

[ NSHELP-29709 ]

In der Web App Firewall-Protokollmeldung wird BAD URL für Cross-Site Scripting (XSS)-Attributverletzungen angezeigt, und bei dem Begriff Bad URL ist nicht klar, zu welcher Kategorie er gehört (wie Tag, Muster oder Attribut).

[ NSHELP-29358 ]

Die URL des Bot-Geräte-Fingerabdrucks kann fehlschlagen, wenn die Bot-Verwaltungsrichtlinie auf einem virtuellen Lastausgleichsserver vom Typ SSL aktiviert ist.

[ NSHELP-29198 ]

Die Web App Firewall-Signatur-ID 1048 verhindert das Laden der NetScaler Gateway-Seite.

[ NSHELP-29113 ]

Eine NetScaler-Appliance kann abstürzen, wenn die folgenden Module aktiviert sind:

Web App Firewall mit erweiterten Sicherheitsüberprüfungen.
Appqoe.

[ NSHELP-28251 ]

Lastausgleich

Wenn sich ein Mitglied der DNS-Dienstgruppe vom Typ Autoscale im Status TROFS befindet und dasselbe Mitglied erneut zur Gruppe hinzugefügt wird, wird der Status dieses Mitglieds nicht weitergegeben.

[ NSHELP-29493 ]

Die inkrementelle Synchronisierung schlägt für die Befehle add dns action und add location mit Richtlinienausdrücken fehl, die Platzhalter enthalten.

[ NSHELP-29301 ]

Einige Dienstgruppenmitglieder werden nicht aus der Autoscale-Dienstgruppenliste entfernt, wenn ein Konflikt zwischen statisch gebundenen Mitgliedern und dynamisch aufgelösten DNS-Datensätzen besteht. Dieses Problem führt zu einer Beschädigung des Speichers.

[ NSHELP-28949 ]

Der Status der Dienstgruppe, die in den Befehlen show und stat angezeigt wird, ist inkonsistent.

[ NSHELP-28931 ]

In seltenen Fällen fehlt die Standortdatenbankkonfiguration möglicherweise in der Konfigurationsdatei (ns.conf).

[ NSHELP-28570 ]

Monitore vom Typ SQL oder Oracle stürzen ab, wenn der Peer eine Anforderung zum Zurücksetzen der vorhandenen Verbindung sendet.

[ NSHELP-28478 ]

In einer persistenzfähigen Bereitstellung wird beim Speichern des Kontextes ein falscher virtueller Server gespeichert.

[ NSHELP-28342 ]

Die Persistenzkonfiguration für eine LB-Gruppe geht nach einem HA-Failover oder beim Neustart der NetScaler-Appliance verloren.

[ NSHELP-28071 ]

Der konfigurierte Status des Standardmonitors wird als deaktiviert angezeigt, selbst wenn der Standardmonitor an einen Dienst gebunden ist.

[ NSHELP-27669 ]

Sonstiges

Das folgende Problem tritt nach dem Upgrade der Appliance auf NetScaler Version 12.1 Build 63.22 auf:

Die Erweiterungssuche-API funktioniert nach dem Upgrade möglicherweise nicht.

[ NSHELP-29860 ]

Netzwerke

Eine NetScaler-Appliance kann abstürzen, wenn alle folgenden Bedingungen erfüllt sind:

Eine Load Balancing-Route wird in einer Verkehrsdomäne auf der Appliance konfiguriert.
Ein klarer Konfigurationsvorgang wird auf der Appliance ausgeführt.

[NSNET-23847]

In einem großen NAT44-Setup kann die NetScaler-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

Das LSN-Modul findet den Dienst nicht, während es den Referenzzähler verringert oder den Dienst löscht.

[ NSHELP-29134 ]

In einer großen NAT44-Bereitstellung kann die NetScaler-Appliance aus folgendem Grund beim Empfangen von SIP-Verkehr abstürzen:

Das LSN-Modul hat auf den Speicherplatz eines bereits gelöschten Dienstes zugegriffen.

[ NSHELP-28815 ]

In einer NetScaler-Appliance mit einer geraden Anzahl von Paket-Engines (PE) zeigt die Appliance fälschlicherweise den Status aktiver Schnittstellen als inaktiv eines redundanten Schnittstellensatzes (LR-Kanäle) an. Dieses Problem wirkt sich nicht auf die Funktionalität der NetScaler-Appliance aus.

[ NSHELP-28099 ]

Die NetScaler-Appliance generiert nach einem Kaltneustart möglicherweise keine coldStart-SNMP-Trap-Nachrichten.

[NSHELP-27917]

Plattform

Der Befehl ntpdate stürzt ab und führt zu einem Coredump.

[ NSHELP-29649 ]

SSL

Eine NetScaler MPX 7500-Appliance stürzt ab, wenn eine EXPORT-Verschlüsselungssammlung verwendet wird.

[ NSSSL-11294 ]

In seltenen Fällen kann es während der DTLS-Verarbeitung auf den folgenden Plattformen zu einem Absturz kommen:

MPX 5900
MPX/SDX 8900
MPX/SDX 15000
MPX/SDX 15000-50 G
MPX/SDX 26000
MPX/SDX 26000-50S
MPX/SDX 26000-100G

[ NSHELP-29538 ]

In einem Hochverfügbarkeitssetup wird der Zertifikattyp nicht korrekt zwischen dem primären und sekundären Knoten synchronisiert.

[ NSHELP-27589 ]

In einer VPN-Bereitstellung nimmt die NetScaler-Appliance eine SSL-Sitzung zur Wiederverwendung der Sitzung aus dem Cache auf, um mit dem Proxy- oder Backend-Server zu kommunizieren. Dies geschieht, ohne dass das vom Client empfangene SNI mit dem in der zwischengespeicherten Sitzung vorhandenen SNI abgeglichen wird.

Infolgedessen wird entweder das SNI nicht gesendet oder es wird ein anderes SNI gesendet, abhängig von den zwischengespeicherten Daten.

[ NSHELP-27439 ]

System

Ein Speicherverlust wird in einer NetScaler-Appliance beobachtet, wenn der zugewiesene Speicher für Intrusion Prevention System (IPS) -Ressourcen gelöscht wird.

[ NSHELP-29992 ]

Konfigurationsvorgänge, die SSL-Profile und SSL-Zertifikatsschlüssel mit einem virtuellen HTTP-QUIC-Server verknüpfen, schlagen möglicherweise bei einer NetScaler-Clusterbereitstellung fehl.

[ NSHELP-29655 ]

Eine zweite Anforderung auf derselben Clientverbindung schlägt fehl, wenn die folgenden Bedingungen erfüllt sind:

clientSideMeasurements ist aktiviert.
HEAD-Anfrage ist eingegangen.

[ NSHELP-29353 ]

In einigen Szenarien kann eine NetScaler-Appliance unter den folgenden Bedingungen abstürzen:

TCP-Jumbo-Frames werden verwendet.
Die Persistenz ist auf einem virtuellen TCP-Lastausgleichsserver konfiguriert.

[ NSHELP-29162 ]

Eine NetScaler-Appliance stürzt ab, wenn die folgenden Bedingungen erfüllt sind:

Die clientseitige Messoption ist in der AppFlow-Aktion aktiviert.
Die Chunk-Header fallen auf die Paketgrenze.

[ NSHELP-29049 ]

Eine NetScaler-Appliance setzt eine Verbindung zurück, wenn die Größe der HTTP-Pipeline (eine oder mehrere Anforderungen) 128 KB überschreitet. Das Problem tritt auf, weil die Pipeline-Größe schwer auf 128 KB begrenzt ist.

[ NSHELP-28846 ]

Ein NetScaler Intrusion Prevention System (IPS) beobachtet beim Einfügen oder Ändern von Daten ein Problem mit der Rewrite-Richtlinie, wenn die folgende Bedingung erfüllt ist:

Die NetScaler-Appliance sendet Datenpakete an den IPS-Server, bevor die Back-End-Serververbindung geöffnet wird.

[ NSHELP-28496 ]

In einem Hochverfügbarkeitssetup schlägt die HA-Synchronisierung von Admin-Partitionskonfigurationen auf dem sekundären Knoten aus dem folgenden Grund fehl:

Probleme mit geringem Arbeitsspeicher aufgrund großer Konfigurationslasten auf dem sekundären Knoten

[ NSHELP-28409 ]

Wenn ein Client eine Verbindung mit mehreren TCP-Streams zurücksetzt, wird der serverseitige Transaktionsdatensatz nicht gesendet, was dazu führt, dass L4-Datensätze für diese Datenströme fehlen.

[ NSHELP-28281 ]

In einer TCP-Verbindung legt die NetScaler-Appliance möglicherweise ein FIN-Paket ab, das von einem Server empfangen wurde, anstatt es an den Client weiterzuleiten, wenn alle folgenden Bedingungen erfüllt sind:

Die TCP-Pufferung ist aktiviert.
Der Server sendet das FIN-Paket und das Datenpaket getrennt.

[ NSHELP-27274 ]

In einem Clustersetup funktioniert der Befehl set ratecontrol erst nach dem Neustart der NetScaler-Appliance.

[ NSHELP-21811 ]

Wenn eine NetScaler-Appliance ein TCP-Paket außerhalb der Reihenfolge mit gesetztem FIN-Flag erhält, können die folgenden Probleme auftreten:

Die NetScaler-Appliance sendet einen falschen SACK, der besagt, dass die Appliance 2 Byte anstelle eines 1-Byte-TCP-Pakets außerhalb der Reihenfolge erhalten hat.
Die NetScaler-Appliance bestätigt das TCP-FIN-Paket nicht, indem sie TCP-Pakete in der Reihenfolge empfängt.

[ NSBASE-15735 ]

Benutzeroberfläche

Sie können versehentlich die Verknüpfung eines SSL-Zertifikats aufheben, da keine Aufforderung zur Bestätigung erfolgt. Wenn der Benutzer mit diesem Fix auf ein verknüpftes Zertifikat klickt, fordert er vor dem Aufheben der Verknüpfung eines Zertifikats zur Bestätigung auf.

[ NSUI-17897 ]

Das Ändern einer ACL-basierten RNAT-Regel, für die das Verbindungsfailover bereits aktiviert ist, über die NetScaler-GUI schlägt möglicherweise mit dem folgenden Fehler fehl:

Invalid argument value [connfailover]

[ NSHELP-29243 ]

Bei der Konfiguration oder Überprüfung von SSL-Zertifikaten mit der NetScaler-GUI kann der Fehler Directory doesn't exist auftreten. Dieses Problem tritt auf, wenn ein Dateiname mit zwei aufeinanderfolgenden Punkten (..) im SSL-Ordner /nsconfig/ssl vorhanden ist.

[ NSHELP-28589 ]

In einem Hochverfügbarkeitssetup schlägt die HA-Synchronisierung für eine integrierte Richtlinienmustersatzbindung möglicherweise fehl, wenn der integrierte Richtlinienmustersatz auf dem primären Knoten geändert wurde.

[NSHELP-28460]

Wenn Sie die sichere Option für den RPC-Knoten in der ADC-GUI deaktivieren, wird die folgende Fehlermeldung angezeigt:

Argumentvoraussetzung fehlt [validateCert, secure==YES]

[ NSHELP-28239 ]

Wenn der Benutzer versucht, die Seitengröße einer Liste in den Seitenbereichsansichten zu ändern, wird die Seite verzerrt.

[ NSHELP-28220 ]

Ein zusätzlicher Backslash-Zeichen wird fälschlicherweise eingeführt, wenn Sonderzeichen in Argumenten in einigen SSL-Befehlen wie create ssl rsakey und create ssl cert verwendet werden.

[ NSHELP-27378 ]

Der ping- oder ping6-Befehl mit der Option interface (-I) schlägt möglicherweise mit dem folgenden Fehler fehl:

interface option not supported

[ NSHELP-26962 ]

Bekannte Probleme

Die Probleme, die in Version 13.1—17.42 bestehen.

AppFlow

HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

[ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Prüfung

Eine NetScaler-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]

Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der NetScaler-GUI nicht korrekt angezeigt.

[ NSAUTH-6106 ]

Das ADFS-Proxyprofil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxyprofil wird fälschlicherweise leer angezeigt, wenn der folgende Befehl ausgegeben wird. show adfsproxyprofile <profile name>

Workaround:

Stellen Sie eine Verbindung zum primären aktiven NetScaler im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Es würde den Status des Proxyprofils anzeigen.

[ NSAUTH-5916 ]

Die Seite „Authentifizierungs-LDAP-Server konfigurieren“ auf der NetScaler-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

Die Option LDAP-Erreichbarkeit testen ist geöffnet.
Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

Workaround:

Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

[ NSAUTH-2147 ]

Zwischenspeichern

Eine NetScaler-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

[NSHELP-22942]

NetScaler SDX-Appliance

Wenn auf einer NetScaler SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

[ NSSVM-4333 ]

NetScaler Gateway

In einigen Fällen schlägt der Servervalidierungscode fehl, wenn das Serverzertifikat als vertrauenswürdig eingestuft wird. Daher können Endbenutzer nicht auf das Gateway zugreifen.

[ NSHELP-28942 ]

In einem NetScaler Gateway-Setup mit hoher Verfügbarkeit stürzt der sekundäre Knoten möglicherweise ab, wenn Gateway Insight aktiviert ist.

[ NSHELP-28856 ]

Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

[ NSHELP-28551 ]

Manchmal wird ein Benutzer innerhalb weniger Sekunden bei NetScaler Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

[ NSHELP-28404 ]

In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

Workaround:

Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Erfolgsstatus Sync).

[ NSHELP-25598 ]

Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

[ NSHELP-23937 ]

Das VPN-Plug-In richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

Das NetScaler Gateway-Gerät ist für die Always-On-Funktion konfiguriert
Die Appliance ist für zertifikatbasierte Authentifizierung mit Zwei-Faktor-Authentifizierung konfiguriert off

[NSHELP-23584]

Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung Cannot read property 'type' of undefined angezeigt.

[NSHELP-21897]

Wenn Sie die Funktion Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf NetScaler Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und in Version 12.1 nicht verfügbar sind.

[CGOP-19355]

Ein Fehler beim Start der Anwendung aufgrund eines ungültigen STA-Tickets wird in Gateway Insight nicht gemeldet.

[ CGOP-13621 ]

Im Gateway Insight-Bericht wird fälschlicherweise der Wert Local statt SAML im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

[CGOP-13584]

In einem Hochverfügbarkeitssetup erhöht sich während des NetScaler-Failovers die SR-Anzahl anstelle der Failover-Anzahl in der NetScaler Console.

[CGOP-13511]

Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS unabhängig von der ausgewählten Sprache Inhalte in englischer Sprache an.

[ CGOP-13050 ]

Der Text Home Page auf der Seite Citrix SSO-App > Home ist für einige Sprachen abgeschnitten.

[ CGOP-13049 ]

Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die NetScaler-GUI hinzufügen oder bearbeiten.

[CGOP-11830]

Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem schwerwiegenden Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

[CGOP-7269]

Wenn Sie in einer Clusterbereitstellung den Befehl force cluster sync auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

[CGOP-6794]

Lastausgleich

In einem Hochverfügbarkeitssetup werden Abonnentensitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Das ist ein seltener Fall.

[ NSLB-7679 ]

Das ServiceGroupName-Format im entityofs Trap für die Dienstgruppe lautet wie folgt: <service(group)name>?<ip/DBS>?<port>

Im Trap-Format wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Trennzeichen verwendet. Der NetScaler sendet den Trap mit dem Fragezeichen (?). Das Format wird in der NetScaler Console-GUI identisch angezeigt. Dies ist das erwartete Verhalten.

[NSHELP-28080]

Sonstiges

Wenn eine erzwungene Synchronisierung in einem Hochverfügbarkeitssetup stattfindet, führt die Appliance den Befehl set urlfiltering parameter im sekundären Knoten aus. Infolgedessen überspringt der sekundäre Knoten jede geplante Aktualisierung bis zur nächsten geplanten Zeit, die im Parameter TimeOfDayToUpdateDB erwähnt wird.

[NSSWG-849]

Eine NetScaler-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter für URL-Filterung auftritt.

[NSHELP-22409]

Netzwerke

Eine NetScaler BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn alle der folgenden Bedingungen erfüllt sind:

Die NetScaler BLX-Appliance wird mit einer geringen Anzahl von zugewiesen hugepages. Zum Beispiel 1G.
Der NetScaler BLX-Appliance ist eine hohe Anzahl von Arbeitsprozessen zugewiesen. Zum Beispiel 28.

Das Problem wird als Fehlermeldung protokolliert in /var/log/ns.log:

BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

Hinweis: x ist eine Zahl <= Anzahl der Worker-Prozesse.

Workaround:

Weisen Sie eine hohe Anzahl von hugepages zu und starten Sie die Appliance anschließend neu.

[NSNET-25173]

Eine NetScaler BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn die folgende Bedingung erfüllt ist:

Die NetScaler BLX-Appliance wird mit einer hohen Anzahl von hugepages zugewiesen. Zum Beispiel 16 GB.

Das Problem wird als Fehlermeldung protokolliert in /var/log/ns.log:

EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

Workaround:

Verwenden Sie eine der folgenden Problemumgehungen für dieses Problem:

Erhöhen Sie das Limit für offene Dateien auf dem Linux-Host, indem Sie entweder den Befehl ulimit verwenden oder die Datei limits.conf bearbeiten.
Reduzieren Sie die Anzahl der zugewiesenen hugepages.

[NSNET-24727]

Der Neustart einer NetScaler BLX-Appliance im DPDK-Modus kann aufgrund der DPDK-Easiness-Funktionalität etwas länger dauern.

[NSNET-24449]

Nach einem Upgrade von NetScaler BLX Appliance 13.0 61.x Build auf 13.0 64.x Build gehen die Einstellungen in der BLX-Konfigurationsdatei verloren. Die BLX-Konfigurationsdatei wird dann auf die Standardeinstellungen zurückgesetzt.

[NSNET-17625]

Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer NetScaler BLX-Appliance mit DPDK nicht unterstützt:

Deaktivieren
Aktivieren
Zurücksetzen

[NSNET-16559]

Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine NetScaler BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (/etc/blx/blx.conf) immer im freigegebenen Modus bereitgestellt. Dieses Problem tritt auf, weil mawk, standardmäßig auf Debian-basierten Linux-Systemen vorhanden, einige der in der Datei blx.conf vorhandenen awk-Befehle nicht ausführt.

Workaround:

Installieren Sie gawk vor der Installation einer NetScaler BLX Appliance. Sie können den folgenden Befehl in der Linux-Host-CLI zur Installation ausführen gawk:

apt-get install gawk

[NSNET-14603]

Die Installation einer NetScaler BLX-Appliance kann auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehlschlagen:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Workaround:

Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine NetScaler BLX-Appliance installieren:

dpkg –add-architecture i386
apt-get aktualisieren
apt-get dist-upgrade
apt-get installiert libc6:i386

[NSNET-14602]

In einigen Fällen von FTP-Datenverbindungen führt die NetScaler Appliance nur den NAT-Vorgang und keine TCP-Verarbeitung der Pakete für die TCP-MSS-Aushandlung durch. Infolgedessen ist die optimale Schnittstellen-MTU für die Verbindung nicht eingestellt. Diese falsche MTU-Einstellung führt zur Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

[NSNET-5233]

Wenn ein Speicherlimit für die Admin-Partition in der NetScaler Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

[NSHELP-21082]

Plattform

Das Hochverfügbarkeitsfailover funktioniert nicht in AWS- und GCP-Clouds. Die Verwaltungs-CPU erreicht möglicherweise ihre Kapazität von 100% in AWS- und GCP-Clouds und NetScaler VPX on-premises. Beide Probleme werden verursacht, wenn die folgenden Bedingungen erfüllt sind:

Beim ersten Start der NetScaler-Appliance speichern Sie das angeforderte Kennwort nicht.
Anschließend starten Sie die NetScaler-Appliance neu.

[ NSPLAT-22013 ]

Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den NetScaler-Appliances installiert. Dieses Problem wurde für die folgenden NetScaler-Versionen behoben:

13.1-4.x
13.0—82.31 und höher
12.1—62.21 und höher

Die Python-Pakete werden nicht installiert, wenn Sie die NetScaler-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

Beliebiger 11.1-Build
12.1—62.21 und früher
13.0-81.x und früher

[NSPLAT-21691]

In einem Cluster-Setup auf einer NetScaler SDX-Appliance gibt es eine CLAG-MAC-Nichtübereinstimmung auf dem zweiten Knoten und CLIP, wenn die folgenden Bedingungen erfüllt sind:

Die CLAG wird auf einer Mellanox-NIC erstellt.
Sie fügen dem Cluster- und CLAG-Setup eine weitere VPX-Instanz hinzu.

Infolgedessen stoppt der Datenverkehr zur VPX-Instanz.

[NSPLAT-21049]

In einem Cluster-Setup auf einer NetScaler SDX-Appliance wird der erste Knoten aufgrund einer Nichtübereinstimmung der MAC-Adressen in der CLIP- und MAC-Tabelle DOWN, wenn die folgenden Bedingungen erfüllt sind:

Die CLAG wird auf einer Mellanox-NIC erstellt.
Sie entfernen den zweiten Knoten aus dem Cluster.

[NSPLAT-21042]

Wenn Sie eine Autoscale-Einstellung oder einen VM-Skalierungssatz aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der NetScaler-Instanz. Verwenden Sie den Befehl rm cloudprofile, um das Profil zu löschen.

[ NSPLAT-4520 ]

In einem Hochverfügbarkeitssetup auf Azure wird bei der Anmeldung am sekundären Knoten über die GUI der Bildschirm für Erstbenutzer (FTU) für die Autoscale-Cloud-Profilkonfiguration angezeigt. Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich am primären Knoten an, um das Cloud-Profil zu erstellen. Konfigurieren Sie immer das Cloud-Profil auf dem primären Knoten.

[ NSPLAT-4451 ]

Das HA-Failover für die NetScaler VPX-Instanz in der GCP- und AWS-Cloud schlägt fehl, wenn das Kennwort eines RPC-Knotens ein Sonderzeichen enthält.

[NSHELP-28600]

Richtlinien

Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße. Workaround: Stellen Sie die TCP-Puffergröße auf die maximale Größe der zu verarbeitenden Daten ein.

[ NSPOLICY-1267 ]

SSL

Auf einem heterogenen Cluster von NetScaler SDX 22000- und NetScaler SDX 26000-Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

Workaround:

Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten, z. B. für virtuelle Server, Dienste, Dienstgruppen und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
Speichern Sie die Konfiguration.

[NSSSL-9572]

Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[NSSSL-6478]

Sie können mehrere Azure Application-Entitäten mit derselben Client-ID und demselben Client-Schlüssel erstellen. Die NetScaler Appliance gibt keinen Fehler zurück.

[NSSSL-6213]

Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne Key Vault als HSM-Typ anzugeben. FEHLER: CRL Refresh ist deaktiviert

[NSSSL-6106]

Die automatische Aktualisierung des Sitzungsschlüssels wird auf einer Cluster-IP-Adresse fälschlicherweise als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[NSSSL-4427]

Eine falsche Warnmeldung Warning: No usable ciphers configured on the SSL vserver/service, wird angezeigt, wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern.

[NSSSL-4001]

Ein abgelaufenes Sitzungsticket wird auf einem Nicht-CCO-Knoten und auf einem HA-Knoten nach einem HA-Failover berücksichtigt.

[NSSSL-3184]

System

Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 gesetzt, wenn die Appliance den max_concurrent_stream-Einstellungsframe nicht vom Client empfängt.

[NSHELP-21240]

Die mptcp_cur_session_without_subflow-Zähler dekrementieren fälschlicherweise auf einen negativen Wert statt auf Null.

[NSHELP-10972]

Beim Generieren der PCI DSS-Berichte in der NetScaler-GUI wurde ein Problem beobachtet (Navigation: System > Berichte > PCI DSS-Bericht generieren).

[NSBASE - 16225]

Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

[NSBASE-8506]

Die NetScaler-Appliance verwirft Pakete, die benutzerdefinierte HTTP-Header mit einem Punkt (“ enthalten. “) im Feld für den Header-Namen. Diese Aktion tritt auf, weil der Parameter allowOnlyWordCharactersAndHyphen im Standard-HTTP-Profil standardmäßig aktiviert ist.

Problemumgehung: Deaktivieren Sie allowOnlyWordCharactersAndHyphen im Standard-HTTP-Profil. Citrix empfiehlt jedoch, sie aktiviert zu lassen.

[NSBASE - 16722]

Benutzeroberfläche

Für die MQTT-Rewrite-Funktion können Sie einen Ausdruck nicht mit dem Ausdruckseditor in der GUI löschen.

Workaround:

Verwenden Sie den Befehl zum Hinzufügen oder Bearbeiten von Aktionen vom Typ MQTT über die CLI.

[NSUI-18049]

In der NetScaler-GUI ist der Help-Link unter der Dashboard-Registerkarte defekt.

[NSUI-14752]

Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht mehr oder kann keinen CloudBridge-Connector konfigurieren.

Workaround:

Konfigurieren Sie Cloudbridge-Konnektoren, indem Sie IPsec-Profile, IP-Tunnel und PBR-Regeln über die NetScaler-GUI oder CLI hinzufügen.

[NSUI-13024]

Wenn Sie einen ECDSA-Schlüssel mit der GUI erstellen, wird der Kurventyp nicht angezeigt.

[NSUI-6838]

Das Hochladen und Hinzufügen einer Zertifikatsperrlistendatei (CRL) schlägt in einer Admin-Partitionseinrichtung fehl.

[NSHELP-20988]

Wenn Sie ein Downgrade einer NetScaler-Appliance Version 13.0-71.x auf einen früheren Build durchführen, funktionieren einige NITRO-APIs aufgrund der Änderungen an den Dateiberechtigungen möglicherweise nicht.

Workaround:

Ändern Sie die Berechtigung für /nsconfig/ns.conf auf 644.

[NSCONFIG-4628]

Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer NetScaler Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der herabgestuften NetScaler Appliance anmelden.

Aktualisieren Sie die NetScaler-Appliance auf einen der Builds:
- 13.0 52.24 bauen
- 12.1 57.18 gebaut
- Version 11.1 65.10
Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Passwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration, und
Führen Sie ein Downgrade der NetScaler Appliance auf einen beliebigen älteren Build durch.

Um die Liste dieser Systembenutzer über die CLI anzuzeigen: Geben Sie an der Eingabeaufforderung Folgendes ein:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Workaround:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

Wenn die NetScaler Appliance noch nicht herabgestuft wurde (Schritt 3 in den oben genannten Schritten), führen Sie ein Downgrade der NetScaler Appliance mithilfe einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds durch.
Jeder Systemadministrator, dessen Passwort auf dem aktualisierten Build nicht geändert wurde, kann sich bei dem heruntergestuften Build anmelden und die Passwörter für andere Systembenutzer aktualisieren.
Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

[NSCONFIG-3188]

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Versionshinweise für NetScaler 13.1—17.42 Release

March 17, 2024

Beitrag von:

March 17, 2024

Beitrag von: