Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Versionshinweise für die Version 13.1-37.38 von NetScaler

April 15, 2024
Beitrag von: 
C

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die NetScaler-Version Build 13.1-37.38 bestehen.

Hinweise

  • Dieses Dokument mit den Versionshinweisen enthält keine sicherheitsrelevanten Fixes. Eine Liste sicherheitsbezogener Fixes und Empfehlungen finden Sie im Security Bulletin.
  • Das NetScaler SDX-Paket Build 13.1-37.39 ersetzt Build 13.1-37.38.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.1-37.38 verfügbar sind.

NetScaler SDX-Appliance

  • Verbesserung des Upgrade-Prozesses

    In einer NetScaler SDX-Appliance erfordert der Upgrade-Vorgang jetzt einen einzigen Neustart anstelle von zwei Neustarts.

    [NSSVM-5299]

  • Entfernung der Unterstützung von Drittanbieter-Instanzen aus der SDX-Benutzeroberfläche

    Eine NetScaler SDX-Appliance unterstützt keine Instanzen von Drittanbietern mehr über die UI-Schnittstelle. Die Ansicht Drittanbieter-Instanzen wurde von der Registerkarte “ Konfiguration “ in der SDX-Benutzeroberfläche entfernt.

    Problemumgehung: Wenn Sie die Drittanbieter-Instanzen im Management Service weiterhin verwenden möchten, gehen Sie wie folgt vor.

    1. Melden Sie sich bei der Management Service Shell an.
    2. Erstellen Sie eine Datei “.ThirdPartyVM” im Verzeichnis “/mpsconfig”.
    3. Starten Sie den Management Service neu, indem Sie den Befehl svmd restart in der Management Service-Shell ausführen.

    [NSSVM-5229]

NetScaler Gateway

  • Unterstützung für das HttpOnly-Flag bei Authentifizierungs-Cookies

    Das HttpOnly-Flag wird jetzt für die Authentifizierungs-Cookies von VPN-Szenarien unterstützt, d. h. für NSC_Authentication, Authorization sowie AuditingC- und NSC_TMAS-Cookies. Das NSC_TMAS-Authentifizierungscookie wird während der nFactor-Authentifizierung verwendet und das NSC_Authentication-, Authorization- und AuditingC-Cookie wird für die authentifizierte Sitzung verwendet. HttpOnlyflag in einem Cookie schränkt den Cookiezugriff über die JavaScript-Dokumentcookieoption ein. Dies hilft dabei, Cookie-Diebstahl aufgrund von Cross-Site Scripting verhindern.

    [CGOP-14004]

Lastausgleich

  • Automatisch verzögerter TROFS-Status konfigurieren

    Sie können die korrekte Übertragung von Mitgliedern in einer Dienstgruppe in den TROFS-Status konfigurieren, wenn IP-Adressen aus der DNS-Antwort entfernt werden. Wenn automatisch verzögertes TROFS aktiviert ist, wartet NetScaler auf den höchsten Antwort-Timeout auf allen Monitoren, die an die Servicegruppe angeschlossen sind, bevor die Mitglieder in den TROFS-Status versetzt werden.

    Weitere Informationen finden Sie unter Automatische domänenbasierte Dienstgruppenskalierung konfigurieren.

    [NSLB-9371]

Netzwerke

  • DPDK-Unterstützung für NetScaler BLX-Appliances auf Linux-Hosts mit AMD-Prozessoren

    NetScaler BLX-Appliances auf Linux-Hosts mit AMD-Prozessoren unterstützen jetzt DPDK. Die Appliance erkennt automatisch die angegebenen DPDK-kompatiblen NIC-Ports auf dem Linux-Host. Die Appliance initialisiert sie dann im DPDK-Modus. Nach dem Start der NetScaler BLX-Appliance werden die DPDK-Ports als dedizierte Ports zur Appliance hinzugefügt.

    Anstatt einen oder mehrere DPDK-kompatible NIC-Ports in der Datei “blx.conf” anzugeben, müssen Sie alle DPDK-kompatiblen NIC-Ports angeben, die Teil derselben IOMMU-Gruppe sind. Andernfalls werden die DPDK-kompatiblen NIC-Ports als dedizierte Nicht-DPDK-Ports zur NetScaler BLX-Appliance hinzugefügt.

    [NSNET-19219]

Plattform

  • Verbesserte Leistung für Shared-Core-Instanzen in GCP

    In einer NetScaler VPX-Instanz ist der CPU-Ertragsparameter standardmäßig für die Shared-Core-Instanzen in GCP aktiviert. Dies bietet eine bessere Leistung in GCP für die Shared-Core-Instanzen. Weitere Informationen zu Shared-Core-Maschinentypen auf GCP finden Sie in der Google Cloud-Dokumentation.

    In einem ADC HA-Setup mit Shared-Core-Instanzen in GCP wird bei der Anmeldung die folgende Warnmeldung angezeigt:

    Für eine hohe Leistung und hohe Verfügbarkeit empfehlen wir, auf der Google Cloud Platform von einem Computer mit gemeinsam genutztem Kern zu einem Allzweck- oder rechen-/speicheroptimierten Instanztypen zu wechseln.

    [NSPLAT-23748]

  • Unterstützung für die NetScaler VPX-Instanz auf der Azure Dv5-Serie

    Die NetScaler VPX-Instanz in der Azure Cloud kann jetzt auf den virtuellen Maschinen der Azure Dv5-Serie ausgeführt werden.

    [ NSPLAT-22730 ]

  • Unterstützung für NetScaler MPX 16000 Plattform

    Dieses Release unterstützt die NetScaler MPX 16000-Plattform. Diese Plattform verfügt über zwei 16-Kern-Prozessoren und 128 GB (16 x 8 GB DIMM) Speicher. Die Appliance bietet insgesamt acht 25G SFP+-Ports und vier 100G QSFP28-Ethernet-Ports.
    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-hardware-platforms/mpx/netscaler-hardware-platforms/mpx-16000.html.

    [NSPLAT-25436]

  • Unterstützung für NetScaler SDX 16000 Plattform

    Dieses Release unterstützt die NetScaler SDX 16000-Plattform. Diese Plattform verfügt über zwei 16-Kern-Prozessoren und 256 GB (16 x 16 GB DIMM) Speicher. Die Appliance bietet insgesamt acht 25G SFP+-Ports und vier 100G QSFP28-Ethernet-Ports.
    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-16000.html.

    [NSPLAT-21608]

SSL

  • Unterstützung für wiederkehrende Benachrichtigungen bis zum Ablauf des Zertifikats

    Die NetScaler-Appliance sendet jetzt eine Benachrichtigung pro Tag, bis das Zertifikat abläuft. Bisher wurde nur eine Benachrichtigung an einer bestimmten Anzahl von Tagen vor Ablauf des Zertifikats gesendet.

    [NSSSL-11874]

System

  • SNMP-Alarm zur Warnung bei einem Ausfall der Syslog-Verbindung

    Ein neuer SNMP-Alarm “syslogConnectionDropped” wurde in die NetScaler-Appliance eingeführt, der vor einem Ausfall der Netzwerkverbindung zu einem externen Syslog-Server warnt.

    [NSBASE - 16823]

Benutzeroberfläche

  • Wenn Sie eine oder mehrere Lizenzdateien mit unterschiedlichen Subscription Advantage-Daten hochladen, kann NetScaler Console sie nicht zu einem einzigen Pool zusammenführen. Daher kann eine NetScaler-Instanz die Kapazität nicht auschecken, wenn sie das Limit einer Lizenzdatei überschreitet.

    [NSCONFIG-6590, NSHELP-30854]

Behobene Probleme

Die Probleme, die in Build 13.1-37.38 behoben wurden.

AppFlow

  • Wenn AppFlow konfiguriert ist, setzt die NetScaler-Appliance eine TCP-Verbindung zurück, wenn die Appliance eine leere HTTP-Chunked-Antwort vom Back-End-Server empfängt.

    Dieses Problem tritt auf, wenn der Parameter “clientSideMeasurements” für die zugehörige AppFlow-Aktion aktiviert ist.

    [NSHELP-32250]

Authentifizierung, Autorisierung und Prüfung

  • Die NO_AUTHN-Authentifizierungsaktion bleibt nach dem Neustart einer NetScaler-Appliance nicht bestehen, wenn die Appliance über die Standard Edition-Lizenz verfügt.

    [NSHELP-32522]

  • In einem NetScaler Gateway GSLB-Setup wird möglicherweise eine Proxyverbindungsschleife zwischen den GSLB-Sites erkannt, wenn die folgenden Bedingungen erfüllt sind:

    • Alle GSLB-Sites haben nicht dieselbe Version.
    • NetScaler Gateway ist mit erweiterter Authentifizierung konfiguriert.

    [NSHELP-32487]

  • Die NetScaler-Appliance löscht das Zeichensatzsuffix im Content-Type-Header und sendet Content-Type: application/x-www-form-urlencoded, wenn Sie beide der folgenden Optionen konfiguriert haben.

    • Formularbasierte SSO-Authentifizierung
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [NSHELP-31977]

  • Möglicherweise treten beim Abmelden Probleme auf, wenn die SAML-Authentifizierung konfiguriert ist.

    [NSHELP-31962]

  • Single Sign-On (SSO) schlägt fehl, wenn SSO für den Datenverkehr aktiviert ist, der nicht über das für die Verarbeitung von SSO erforderliche Trägertoken verfügt.

    [NSHELP-31362]

Zwischenspeichern

  • Eine NetScaler-Appliance stürzt ab, wenn der zwischengespeicherte Inhalt den Clients zur Verfügung gestellt wird.

    [NSHELP-31760]

  • Eine NetScaler-Appliance könnte abstürzen, wenn die Parameterwerte “Max_Age” und “s_maxage” im Cache-Kontrollblock nicht dynamisch gesetzt werden.

    [NSHELP-27758]

NetScaler SDX-Appliance

  • Wenn ein Benutzer in einer GUI der NetScaler SDX-Appliance ein Fehlerobjekt für eine Ereignisregel hinzufügte, waren die Eingabefelder anfällig für Cross-Site-Scripting-Angriffe und machten die Seitensicherheit anfällig für gespeichertes Cross-Site Scripting. Um dieses Problem zu vermeiden, werden die Eingabefelder jetzt bereinigt, um sicherzustellen, dass die Benutzereingabe gültig ist.

    [NSHELP-32600]

NetScaler Gateway

  • Die NetScaler-Appliance stürzt ab, wenn eine oder beide Gateway Insight- und Web Insight-Funktionen aktiviert sind.

    [NSHELP-33345, NSHELP-33347]

  • Manchmal funktioniert der RDP-Proxy nicht, wenn ein Verbindungsbroker vorhanden ist.

    [NSHELP-33063]

  • Anwendungen können möglicherweise nicht über NetScaler Gateway gestartet werden, da der Port in der NetScaler Gateway-Appliance erschöpft ist.

    [NSHELP-32418]

  • Die für den clientlosen VPN-Zugriff konfigurierte NetScaler Gateway-Appliance stürzt möglicherweise bei der Verarbeitung einer Dummy-Sitzung ab.

    [NSHELP-32399]

  • Die NetScaler Gateway-Appliance stürzt möglicherweise ab, wenn HDX Insight aktiviert ist.

    [NSHELP-32120]

  • Wenn UDP-Sitzungen gestartet werden, scheinen auch nach dem Schließen der Sitzungen veraltete Verbindungen zu existieren. Dies sind jedoch keine wirklich veralteten Verbindungen, sondern ein Problem mit dem Zähler.

    [NSHELP-32009]

  • Wenn sich ein Benutzer an der NetScaler-Appliance anmeldet und Citrix Workspace nicht installiert ist, verweist der Link zum Herunterladen von Citrix Workspace fälschlicherweise auf Citrix Receiver.

    [NSHELP-31877]

  • In den Gateway-Insight-Authentifizierungsfehlerdatensätzen wird der Benutzername als “Anonym” angezeigt, wenn NOAUTH als erster Faktor konfiguriert ist und die Authentifizierung mit dem zweiten Faktor aufgrund ungültiger Anmeldeinformationen fehlschlägt. Dieses Problem tritt nur auf, wenn die Konfiguration mithilfe des nFactor-Visualizers durchgeführt wird, da der erste Faktor in nFactor Visualizer standardmäßig als NOAUTH konfiguriert ist.

    [NSHELP-31795]

  • Der Befehl “show vpn icaconnection” zeigt die Seriennummern der ICA-Verbindungen nicht korrekt an. Dieses Problem tritt auf, weil die Seriennummer willkürlich zurückgesetzt wird, wenn der Befehl “show vpn icaconnection” ausgeführt wird.

    [CGOP-22205]

NetScaler Web App Firewall

  • Eine eigenständige NetScaler-Appliance oder der sekundäre Modus in einem HA-Setup können abstürzen, wenn Sie ein Signaturobjekt für die NetScaler Web App Firewall auf den folgenden Softwareversionen konfigurieren:

    • 13.0 Build 88.5 und höher
    • 13.1 Build 33.41 und höher

    [NSHELP-33250]

  • In einer NetScaler-Appliance tritt ein Speicherverlust auf, wenn Sie für cookieHijackingAction “block”, “log” oder “stats” einstellen.

    [NSHELP-33187]

  • Wenn Sie in der NetScaler Web App Firewall den Content-Typ-Header mit einem Protokoll (application/pkcs7-signature) bereitstellen, wird der Header fälschlicherweise analysiert. Infolgedessen blockiert die Firewall die gültigen Anfragen.

    [NSHELP-32844]

  • Einige der Entspannungsregeln werden bei der Wiederherstellung eines WAF-Profils nicht importiert.

    [NSHELP-32729]

  • Manchmal dauert es lange, bis die NetScaler Web App Firewall die Befehlseinschleusung erkennt. Infolgedessen startet Pitboss die NetScaler-Appliance neu.

    [NSHELP-32654]

  • Legitime Cookies werden im Protokoll platziert, während doppelte Protokolle über Cookie-Verstöße angezeigt werden.

    [NSHELP-32369]

Lastausgleich

  • In bestimmten Szenarien zeigen Server, die an eine Dienstgruppe gebunden sind, einen ungültigen Cookie-Wert an. Sie können den richtigen Cookie-Wert in den Ablaufverfolgungsprotokollen sehen.

    [NSHELP-21196]

Sonstiges

  • Die NetScaler-Appliance legt die Puffergröße für die Webserver-Logging-Funktion auf einen falschen Standardwert von 3 MB statt 16 MB fest.

    [ NSHELP-32429 ]

Netzwerke

  • In einem NetScaler BLX-Cluster-Setup schlagen die folgenden Operationen fehl, ohne dass eine Fehlermeldung angezeigt wird:

    • Konfiguration auf Force Basic-Ebene löschen (“clear config -force basic”)
    • Konfiguration auf Force Extended-Ebene löschen (“clear config -force extended”)
    • Konfiguration auf Force Extended+-Ebene löschen (“clear config -force extended+”)

    [NSNET-27132]

  • In einem Hochverfügbarkeits-Setup kann der primäre Knoten aufgrund einer Speicherbeschädigung abstürzen, während eine große Anzahl von LSN-Sitzungen gelöscht wird.

    [NSHELP-32467]

  • Die NetScaler-Appliance kann abstürzen, wenn alle der folgenden Bedingungen erfüllt sind:

    • Bei TTL-basierter ACL wird ein Timeout erreicht
    • Die NetScaler-Appliance hat eine große Anzahl von konfigurierten ACLs.

    [NSHELP-31307]

Plattform

  • Wenn Sie die Mellanox-Schnittstelle auf einer NetScaler MPX-Appliance deaktivieren, wird der Peer-Switch, der mit der Schnittstelle verknüpft ist, im Status Link Up angezeigt, anstatt sich im Link-Down-Zustand zu befinden.

    [NSPLAT-24422]

  • Die NetScaler VPX-Instanz löscht Pakete von einem Client, wenn beide der folgenden Bedingungen erfüllt sind:

    • Die VPX-Instanz wird auf VMware Cloud on AWS unter Verwendung eines VMXNET3-Adapters gehostet.
    • Der VMXNET3-Adapter kann den RSS-Hash für das Paket nicht generieren.

    [NSHELP-33150]

Richtlinien

  • In einer NetScaler-Appliance funktionieren die Content Switching-Richtlinien, die mithilfe des NSPEPI-Tool von klassischen Richtlinien zu erweiterten Richtlinien migriert wurden, möglicherweise nicht, wenn die folgenden Bedingungen erfüllt sind:

    • Die Richtlinien sind an den Content Switching-Vserver gebunden.
    • Der Parameter “caseSensitive” ist auf OFF gesetzt.

    [NSHELP-31951]

SSL

  • Eine NetScaler-Appliance kann während eines TLS 1.3-Handshakes abstürzen, wenn ein virtueller Server für die Verwendung privater Schlüssel konfiguriert ist, die in Azure Key Vault gespeichert sind.

    [NSHELP-32451]

  • Eine NetScaler-Appliance stürzt ab, wenn die folgenden Bedingungen erfüllt sind:

    • Ein Client sendet einem anderen Client Hallo, bevor der Handshake abgeschlossen ist.
    • Die Anfrage enthält einige spezielle Chiffren im ersten Client-Hello.

    [NSHELP-32422]

  • Die NetScaler-GUI, auf die über eine Cluster-IP-Adresse (CLIP) zugegriffen wird, zeigt keine Serverzertifikatsbindungen an einen virtuellen SSL-Server an.

    [NSHELP-31602]

  • Die OCSP-Antwortüberprüfung schlägt möglicherweise beim Abfangen von SSL fehl, wenn im Standardzertifikatspaket kein gültiges CA-Zertifikat vorhanden ist. Der Fehler tritt auf, weil die OCSP-Antwortüberprüfung fälschlicherweise mit dem Standardzertifikatspaket anstelle des konfigurierten Zertifikatpakets durchgeführt wurde.

    [NSHELP-30594]

System

  • Wenn ein NetScaler Console-Server großen HTTP-Verkehr mit eindeutigen URLs empfängt, verbraucht er viel Arbeitsspeicher. Infolgedessen kann auf den NetScaler Console-Server nicht mehr zugegriffen werden.

    [NSHELP-32922]

  • In einer NetScaler-Appliance führt das Headermodifizierungs-Framework zu einer Speicherbeschädigung. Dieser Zustand tritt auf, wenn die Cookies, die von der NetScaler-Appliance verbraucht werden sollen, in einer bestimmten Reihenfolge gelöscht werden, bevor sie weitergeleitet werden.

    [NSHELP-32799]

  • Die VPN-Authentifizierung schlägt fehl, wenn die PATCH-Methode in der HTTP-Anfrage verwendet wird. Dieses Problem tritt auf, weil die HTTP-PATCH-Methode als unbekannte Authentifizierungsmethode erkannt wird.

    [ NSHELP-32214 ]

  • Wenn Sie die Funktion zur Inhaltsüberprüfung verwenden, funktioniert Rewrite-Header-Insertion mit Payload möglicherweise nicht ordnungsgemäß.

    [NSHELP-30088]

Benutzeroberfläche

  • Auf der Management Service-Lizenzseite werden die gepoolten Lizenzinformationen nicht aktualisiert, wenn Sie den Lizenzknoten aufrufen oder ihn aktualisieren. Stattdessen werden die gepoolten Lizenzinformationen nur aktualisiert, wenn Sie sich ab- und erneut anmelden.

    [NSHELP-33203]

  • Wenn ein Benutzer die Bindung in einer Content Switching-Richtlinie betrachtet, werden die Details des virtuellen Content Switching-Servers nicht in derselben Zeile unter Bindungen anzeigen angezeigt.

    [NSHELP-33149]

  • Wenn ein Benutzer eine Verkehrsrichtlinie an einen virtuellen Content Switching- oder Load Balancing-Server bindet, werden die Bindungsdetails nicht in der GUI angezeigt.

    [NSHELP-32751]

  • Das Upgrade oder Downgrade einer NetScaler-Appliance auf einen der folgenden Builds mithilfe der NetScaler-GUI schlägt möglicherweise fehl:

    • Version 13.1 Build 30.52
    • Version 13.1 Build 27.59

    [NSHELP-32673]

  • Der folgende Fehler wird angezeigt, wenn ein virtueller Server mit DNS- und DNS_TCP-Protokoll erstellt oder bearbeitet wird, der auf einer benutzerdefinierten Partition mithilfe der NetScaler-GUI gehostet wird:

    Error: Invalid object name [lbvserver_scpolicy_binding]

    [NSHELP-32534]

  • Die folgenden Probleme treten in der NetScaler-GUI auf:

    • Wenn ein Serverzertifikat mithilfe der NetScaler-GUI an einen virtuellen SSL-Server gebunden ist, wird die Zertifikatsbindung nicht in der GUI angezeigt. Die CA-Zertifikatsbindungen werden wie gewohnt auf der GUI angezeigt.
    • Wenn Sie für die integrierten Responderrichtlinien auf die Schaltfläche Ausblenden klicken, werden auch die manuell erstellten Responderrichtlinien ausgeblendet.

    In einem Cluster-Setup treten die folgenden zusätzlichen Probleme in der NetScaler-GUI auf:

    • Das Binden einer Verschlüsselungsgruppe an einen internen Dienst schlägt mit einem Fehler fehl.
    • Die integrierten Rewrite-Aktionen sind in der GUI nicht versteckt.

    [NSHELP-32499]

  • In einer NetScaler-Appliance mit Admin-Partitionen geht die Parametereinstellung “ns” innerhalb der Partition nach einem Neustart verloren. Dieser Zustand tritt aufgrund der falschen integrierten Konfiguration auf.

    [NSHELP-32486]

  • Auf der Anmeldeseite der NetScaler-Appliance wird möglicherweise nicht der gültige Benutzername angezeigt, nachdem sich der Benutzer angemeldet hat.

    [NSHELP-31759]

  • In einem Hochverfügbarkeits-Setup gehen die verschlüsselten Konfigurationen nach der HA-Konfigurationssynchronisierung auf dem sekundären Knoten verloren.

    [NSHELP-30897]

Bekannte Probleme

Die Probleme, die in Version 13.1-37.38 bestehen.

AppFlow

  • HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

    [ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Prüfung

  • Eine NetScaler-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

    [ NSHELP-563 ]

  • Die DUO-Authentifizierung schlägt fehl, wenn die Content Security Policy (CSP) -Funktion auf der NetScaler-Appliance aktiviert ist.

    [ NSAUTH-12687 ]

  • Administratoren können keine benutzerdefinierte Protokollierung für Authentifizierungsfehler durchführen, die auf ungültige Anmeldeinformationen zurückzuführen sind. Dieses Problem tritt auf, weil die NetScaler-Responder-Richtlinien Fehler bei Anmeldefehlern nicht erkennen.

    [ NSAUTH-11151 ]

  • Das ADFS-Proxyprofil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxyprofil wird fälschlicherweise leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven NetScaler im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Es würde den Status des Proxyprofils anzeigen.

    [ NSAUTH-5916 ]

  • Die Seite „Authentifizierungs-LDAP-Server konfigurieren“ auf der NetScaler-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

    • Die Option LDAP-Erreichbarkeit testen ist geöffnet.
    • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
    • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

    Problemumgehung: Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

    [ NSAUTH-2147 ]

NetScaler SDX-Appliance

  • Paketverluste werden auf einer VPX-Instanz angezeigt, die auf einer NetScaler SDX-Appliance gehostet wird, wenn die folgenden Bedingungen erfüllt sind:

    • Der Durchsatzzuweisungsmodus ist Burst.
    • Es besteht ein großer Unterschied zwischen dem Durchsatz und der maximalen Burstkapazität.

    [ NSHELP-21992 ]

NetScaler Gateway

  • Der Citrix Secure Access-Client, Version 21.7.1.2 und höher, kann für Benutzer ohne Administratorrechte nicht auf neuere Versionen aktualisiert werden. Dieses Problem tritt nur auf, wenn das Citrix Secure Access-Client-Upgrade von einer NetScaler-Appliance aus durchgeführt wird.

    [NSHELP-32793]

  • Wenn Benutzer auf dem Citrix Secure Access-Bildschirm für Windows auf die Registerkarte Startseite klicken, wird auf der Seite der Fehler “Verbindung verweigert” angezeigt.

    [NSHELP-32510]

  • Auf einem Mac-Gerät, das Chrome verwendet, stürzt die VPN-Erweiterung beim Zugriff auf zwei FQDNs ab.

    [NSHELP-32144]

  • In einigen Fällen führen leere Proxyeinstellungen in NetScaler Gateway Version 13.0 oder 13.1 dazu, dass Citrix SSO falsche Proxyeinstellungen erstellt.

    [NSHELP-31970]

  • Die Debug-Protokollierungssteuerung für den Citrix Secure Access Client ist jetzt unabhängig von NetScaler Gateway und kann über die Plugin-Benutzeroberfläche sowohl für den Computer als auch für den Benutzertunnel aktiviert oder deaktiviert werden.

    [NSHELP-31968]

  • Direkte Verbindungen zu Ressourcen außerhalb des von Citrix Secure Access eingerichteten Tunnels schlagen möglicherweise fehl, wenn es zu einer erheblichen Verzögerung oder Überlastung kommt.

    [NSHELP-31598]

  • Die benutzerdefinierte EPA-Fehlerprotokollmeldung wird nicht im NetScaler Gateway-Portal angezeigt. Stattdessen wird die Meldung „Interner Fehler“ angezeigt.

    [NSHELP-31434]

  • Manchmal funktioniert die automatische Windows-Anmeldung nicht, wenn sich ein Benutzer im Always-On-Dienstmodus am Windows-Computer anmeldet. Der Maschinentunnel geht nicht in den Benutzertunnel über und die Meldung „Verbindung wird hergestellt… „wird in der Benutzeroberfläche des VPN-Plug-ins angezeigt.

    [NSHELP-31357, CGOP-21192]

  • Wenn Always on konfiguriert ist, schlägt der Benutzertunnel aufgrund der falschen Versionsnummer (1.1.1.1) in der Datei aoservice.exe fehl.

    [NSHELP-30662]

  • Benutzer können keine Verbindung zur NetScaler Gateway-Appliance herstellen, nachdem sie den Profilparameter ‘networkAccessOnVPNFailure’ von fullAccess in onlyToGateway geändert haben.

    [NSHELP-30236]

  • Die Gateway-Startseite wird nicht sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat Um dieses Problem zu beheben, wird der folgende Registrierungswert eingeführt.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Typ: DWORD

    Standardmäßig wird dieser Registrierungswert nicht festgelegt oder hinzugefügt. Wenn der Wert von “SecureChannelResetTimeoutSeconds” 0 ist oder nicht hinzugefügt wird, funktioniert der Fix zur Behandlung der Verzögerung nicht. Dies ist das Standardverhalten. Der Administrator muss diese Registrierung auf dem Client einrichten, um das Update zu aktivieren (das heißt, die Homepage wird sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat).

    [NSHELP-30189]

  • Der Windows VPN-Client berücksichtigt die Warnung “SSL-Benachrichtigung zum Schließen” des Servers nicht und sendet die Anmeldeanforderung für die Übertragung über dieselbe Verbindung.

    [ NSHELP-29675 ]

  • Möglicherweise stellen Sie einige interne IP-Adressen von Citrix in der Datei rdx.js fest.

    [NSHELP-28682]

  • Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

    [ NSHELP-28551 ]

  • Manchmal wird ein Benutzer innerhalb weniger Sekunden bei NetScaler Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

    [ NSHELP-28404 ]

  • Das VPN-Plug-In richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

    • Das NetScaler Gateway-Gerät ist für die Always-On-Funktion konfiguriert
    • Die Appliance ist für die zertifikatsbasierte Authentifizierung konfiguriert, wobei die Zwei-Faktor-Authentifizierung “aus” ist.

    [NSHELP-23584]

  • Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung „Eigenschaft ‘Typ’ von undefined kann nicht gelesen werden“ angezeigt.

    [NSHELP-21897]

  • In einem NetScaler-Cluster-Setup können HDX Insight und Gateway Insight nicht gleichzeitig aktiviert werden.

    [CGOP-22849]

  • Wenn Sie die Funktion Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf NetScaler Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und in Version 12.1 nicht verfügbar sind.

    [CGOP-19355]

  • Ein Fehler beim Start der Anwendung aufgrund eines ungültigen STA-Tickets wird in Gateway Insight nicht gemeldet.

    [ CGOP-13621 ]

  • Der Gateway Insight-Bericht zeigt fälschlicherweise den Wert „Lokal“ statt „SAML“ im Feld Authentifizierungstyp für SAML-Fehler an.

    [CGOP-13584]

  • In einem Hochverfügbarkeitssetup erhöht sich während des NetScaler-Failovers die SR-Anzahl anstelle der Failover-Anzahl in der NetScaler Console.

    [CGOP-13511]

  • Wenn eine ICA-Verbindung von einem MAC-Receiver Version 19.6.0.32 oder Citrix Virtual Apps and Desktops Version 7.18 gestartet wird, ist die HDX Insight-Funktion deaktiviert.

    [CGOP-13494]

  • Wenn die EDT Insight-Funktion aktiviert ist, können Audiokanäle manchmal aufgrund von Netzwerkdiskrepanzen ausfallen.

    [CGOP-13493]

  • Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS unabhängig von der ausgewählten Sprache Inhalte in englischer Sprache an.

    [ CGOP-13050 ]

  • Der Text “Homepage” in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

    [ CGOP-13049 ]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die NetScaler-GUI hinzufügen oder bearbeiten.

    [CGOP-11830]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem schwerwiegenden Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [CGOP-7269]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Abonnentensitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Das ist ein seltener Fall.

    [ NSLB-7679 ]

  • Das ServiceGroupName-Format im Trap entityofsfür die Dienstgruppe lautet wie folgt: <service(group)name>?<ip/DBS>?<port>

    Im Trap-Format wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen („? „) wird als Separator verwendet. Der NetScaler sendet den Trap mit dem Fragezeichen (?). Das Format wird in der NetScaler Console-GUI identisch angezeigt. Dies ist das erwartete Verhalten.

    [NSHELP-28080]

Sonstiges

  • Wenn eine erzwungene Synchronisation in einem Hochverfügbarkeits-Setup stattfindet, führt die Appliance den Befehl „set urlfiltering parameter“ auf dem sekundären Knoten aus.
    Daher überspringt der sekundäre Knoten jedes geplante Update bis zur nächsten geplanten Zeit, die im Parameter “TimeOfDayToUpdateDB” angegeben ist.

    [NSSWG-849]

  • Die AlwaysOnAllow-Listenregistrierung funktioniert nicht wie erwartet, wenn der Registrierungswert größer als 2000 Byte ist.

    [NSHELP-31836]

  • Eine NetScaler-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter für URL-Filterung auftritt.

    [NSHELP-22409]

Netzwerke

  • In einer NetScaler BLX-Appliance mit DPDK-Unterstützung werden markierte VLANs für DPDK Intel i350 NIC-Ports nicht unterstützt. Dies wird beobachtet, da es sich um ein bekanntes Problem mit dem DPDK-Treiber handelt.

    [NSNET-25299]

  • Eine NetScaler BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn alle der folgenden Bedingungen erfüllt sind:

    • Der NetScaler BLX-Appliance ist eine geringe Anzahl von “hugepages” zugewiesen. Zum Beispiel 1G.
    • Der NetScaler BLX-Appliance ist eine hohe Anzahl von Arbeitsprozessen zugewiesen. Zum Beispiel 28.

    Das Problem wird als Fehlermeldung in “/var/log/ns.log” protokolliert:

    • “BLX-DPDK:DPDK Mempool konnte nicht für PE-x initialisiert werden”

    Hinweis: x ist eine Zahl <= Anzahl der Worker-Prozesse.

    Workaround: Weisen Sie eine hohe Anzahl von “hugepages” zu und starten Sie die Appliance anschließend neu.

    [NSNET-25173]

  • Der Neustart einer NetScaler BLX-Appliance im DPDK-Modus kann aufgrund der DPDK-Easiness-Funktionalität etwas länger dauern.

    [NSNET-24449]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer NetScaler BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Aktivieren
    • Zurücksetzen

    [NSNET-16559]

  • Die Installation einer NetScaler BLX-Appliance kann auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehlschlagen:

    „Die folgenden Pakete haben unerfüllte Abhängigkeiten: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19), aber es ist nicht installierbar“

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine NetScaler BLX-Appliance installieren:

    • dpkg –add-architecture i386
    • apt-get aktualisieren
    • apt-get dist-upgrade
    • apt-get installiert libc6:i386

    [NSNET-14602]

  • In einigen Fällen von FTP-Datenverbindungen führt die NetScaler Appliance nur den NAT-Vorgang und keine TCP-Verarbeitung der Pakete für die TCP-MSS-Aushandlung durch. Infolgedessen ist die optimale Schnittstellen-MTU für die Verbindung nicht eingestellt. Diese falsche MTU-Einstellung führt zur Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

    [NSNET-5233]

  • Wenn ein Speicherlimit für die Admin-Partition in der NetScaler Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

    [NSHELP-21082]

Plattform

  • Wenn Sie eine Autoscale-Einstellung oder eine VM-Skalierungsgruppe aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der NetScaler-Instanz. Verwenden Sie den Befehl „rm cloudprofile“, um das Profil zu löschen.

    [ NSPLAT-4520 ]

  • In einem Hochverfügbarkeits-Setup in Azure wird bei der Anmeldung am sekundären Knoten über die GUI der FTU-Bildschirm (First Time User) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt.
    Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich am primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil sollte immer auf dem primären Knoten konfiguriert werden.

    [ NSPLAT-4451 ]

  • Auf der NetScaler SDX 8015/8400/8600-Plattform sehen Sie möglicherweise einen erhöhten Speicherverbrauch auf Xen Server.
    Problemumgehung: Führen Sie den folgenden Befehl auf dem Xen Server aus und starten Sie dann die Appliance neu.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024 m, max:1024 m”

    [NSHELP-32260]

Richtlinien

  • Verbindungen können hängen bleiben, wenn die Größe der verarbeiteten Daten die konfigurierte Standard-TCP-Puffergröße überschreitet.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

SSL

  • Auf einem heterogenen Cluster von NetScaler SDX 22000- und NetScaler SDX 26000-Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten, z. B. für virtuelle Server, Dienste, Dienstgruppen und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application-Entitäten mit derselben Client-ID und demselben Client-Schlüssel erstellen. Die NetScaler Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben. FEHLER: CRL Refresh ist deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird auf einer Cluster-IP-Adresse fälschlicherweise als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird die falsche Warnmeldung „Warnung: Keine verwendbaren Chiffren konfiguriert auf dem SSL vserver/service“ angezeigt.

    [NSSSL-4001]

  • Ein abgelaufenes Sitzungsticket wird auf einem Nicht-CCO-Knoten und auf einem HA-Knoten nach einem HA-Failover berücksichtigt.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

  • Ein hoher RTT-Wert wird für eine TCP-Verbindung beobachtet, wenn die folgende Bedingung erfüllt ist:

    • ein hohes maximales Überlastungsfenster (>4 MB) ist eingestellt
    • Der TCP-NILE-Algorithmus ist aktiviert

    Damit eine NetScaler-Appliance den NILE-Algorithmus zur Überlastungskontrolle verwenden kann, müssen die Bedingungen den Schwellenwert für langsamen Start überschreiten, der mit dem maximalen Überlastungsfenster verknüpft ist.

    Bis das maximal konfigurierte Überlastungsfenster erreicht ist, akzeptiert NetScaler also weiterhin Daten und hat am Ende eine hohe RTT.

    [NSHELP-31548]

  • Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 gesetzt, wenn die Appliance den max_concurrent_stream-Einstellungsframe nicht vom Client empfängt.

    [NSHELP-21240]

  • Die mptcp_cur_session_without_subflow-Zähler dekrementieren fälschlicherweise auf einen negativen Wert statt auf Null.

    [NSHELP-10972]

  • In seltenen Fällen initiiert NetScaler möglicherweise einen HTTP/2-GoAway-Frame mit einem internen Fehler auf einer HTTP/2-Client-Verbindung, wenn alle der folgenden Bedingungen erfüllt sind:

    • Der Client oder der Backend-Server versucht, den letzten WebSocket- oder Connect-Stream auf der HTTP/2-Client-Verbindung zu schließen.
    • Multiplexing ist aktiviert.

    Der Fehler hat keine Auswirkungen auf die laufenden Transaktionen auf der HTTP/2-Client-Verbindung.

    Workaround: Deaktivieren Sie das Verbindungsmultiplexing für das zugehörige HTTP/2-Profil mit dem folgenden Befehl:

    set httpProfile <name> [-conMultiplex ( ENABLED | DISABLED )]

    [NSBASE - 17449]

  • Wenn Sie in einer Clusterbereitstellung den Befehl „Force Cluster Sync“ auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

    [NSBASE-16304, NSGI-1293]

  • Wenn Sie NetScaler Console auf einem Kubernetes-Cluster installieren, funktioniert sie nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

    Workaround : Starten Sie den Management-Pod neu.

    [NSBASE - 15556]

  • Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

    [NSBASE-8506]

Benutzeroberfläche

  • Für die MQTT-Rewrite-Funktion können Sie einen Ausdruck nicht mit dem Ausdruckseditor in der GUI löschen.

    Problemumgehung: Verwenden Sie den Befehl Aktion hinzufügen oder bearbeiten vom Typ MQTT über die CLI.

    [NSUI-18049]

  • In der NetScaler-GUI ist der Link „Hilfe“ auf der Registerkarte „Dashboard“ defekt.

    [NSUI-14752]

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht mehr oder kann keinen CloudBridge-Connector konfigurieren.

    Problemumgehung: Konfigurieren Sie Cloudbridge Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der NetScaler-GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Wenn Sie einen ECDSA-Schlüssel mit der GUI erstellen, wird der Kurventyp nicht angezeigt.

    [NSUI-6838]

  • In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

    • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

    Problemumgehung: Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Status “Synchronisierung erfolgreich”).

    [ NSHELP-25598 ]

  • In einem Hochverfügbarkeits-Setup von NetScaler BLX-Appliances reagiert der primäre Knoten möglicherweise nicht mehr und blockiert CLI- oder API-Anfragen.

    Problemumgehung: Starten Sie den Primärknoten neu.

    [NSCONFIG-6601]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer NetScaler Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der herabgestuften NetScaler Appliance anmelden.

    1. Aktualisieren Sie die NetScaler Appliance auf einen der Builds
      • 13.0 52.24 bauen
      • 12.1 57.18 gebaut
      • Version 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Passwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration, und
    3. Führen Sie ein Downgrade der NetScaler Appliance auf einen beliebigen älteren Build durch.

    Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie
    in der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Umgehung: Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die NetScaler Appliance noch nicht herabgestuft wurde (Schritt 3 in den oben genannten Schritten), führen Sie ein Downgrade der NetScaler Appliance mithilfe einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds durch.
    • Jeder Systemadministrator, dessen Passwort auf dem aktualisierten Build nicht geändert wurde, kann sich bei dem heruntergestuften Build anmelden und die Passwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter So setzen Sie das Root-Administratorkennwort (nsroot) zurück.

    [NSCONFIG-3188]

Versionshinweise für die Version 13.1-37.38 von NetScaler
April 15, 2024
Beitrag von: 
C
April 15, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.