ADC

Versionshinweise für NetScaler 13.1—4.44 Version

March 17, 2024

Beitrag von:

In diesem Dokument mit den Versionshinweisen werden die Erweiterungen und Änderungen, behobenen und bekannten Probleme beschrieben, die für das NetScaler Release Build 13.1-4.44 bestehen.

Hinweise

Dieses Dokument mit den Versionshinweisen enthält keine sicherheitsrelevanten Fixes. Eine Liste der sicherheitsrelevanten Fixes und Empfehlungen finden Sie im Security Bulletin.
Der Citrix Secure Access-Client (früher bekannt als NetScaler Gateway-Plug-in für Windows), Build 21.9.1.2 und höher, enthält den Fix für https://support.citrix.com/article/CTX341455. Das NetScaler Gateway Plug-in für Windows Build 21.9.1.2 ist im NetScaler Build 13.1—4.44 enthalten.
Build 13.1-4.44 und neuere Builds beheben die unter beschriebenen Sicherheitslücken https://support.citrix.com/article/CTX330728.
Build 4.44 ersetzt Build 4.43.
Dieser Build enthält auch eine Lösung für das folgende Problem: NSHELP-29519.

Was ist neu

Die Erweiterungen und Änderungen, die in Build 13.1—4.44 verfügbar sind.

Authentifizierung, Autorisierung und Prüfung

Traversal von der Root-Domäne zur Tree-Domäne für Kerberos-SSO-Authentifizierung wird unterstützt

Das Überqueren von der Stammdomäne zur Baumdomäne wird jetzt während der Kerberos-SSO-Authentifizierung für den Backend-Server von der NetScaler-Appliance unterstützt. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/aaa-tm/single-sign-on-types/kerberos-single-sign-on/setup-citrix-adc-single-sign-on.html.

[ NSAUTH-9836 ]

Bot-Verwaltung

Umfassung der Protokollierung für die NetScaler Bot-Verwaltung

Wenn eingehender Datenverkehr als Bot identifiziert wird, können Sie mit der NetScaler-Appliance jetzt die ausführliche Bot-Protokollierungsfunktion für die Protokollierung zusätzlicher HTTP-Header-Details wie Domänenadresse, URL, Benutzer-Agent-Header und Cookie-Header konfigurieren. Die Protokolldetails werden dann zur Überwachung und Fehlerbehebung an den ADM-Server gesendet. Die ausführliche Protokollnachricht wird nicht in der Datei ns.log gespeichert.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/bot-management/bot-detection.html

[NSBOT-273]

NetScaler SDX-Appliance

Verbesserungen der Clusterbildungsseite auf einer NetScaler SDX-Appliance

Die folgenden Änderungen werden in der GUI auf der Seite Add Node to Cluster vorgenommen. Das System fordert den Benutzer nun auf, eine SNIP-Adresse hinzuzufügen, während ein neuer Knoten zu einem Cluster hinzugefügt wird. Diese Verbesserungen beheben die Sicherheitsprobleme bei der strengen Überprüfung der Quell-IP-Adresse.

Ein optionales Feld für SNIP ist jetzt verfügbar.
Es wird auch eine Schaltfläche Add bereitgestellt, um SNiPs dynamisch zu erstellen und gleichzeitig einen Knoten zur Cluster-IP-Adresse (CLIP) hinzuzufügen.

[NSSVM-4170]

Ein NetScaler SDX-Administrator kann jetzt einen Benutzer entsperren, bevor das Sperrintervall abläuft. Lockout ist nicht anwendbar, wenn sich ein Benutzer über die Konsole beim Management Service anmeldet. Das Sperrintervall wird ebenfalls von Sekunden auf Minuten geändert. Mindestwert = 1 Minute. Maximalwert = 30 Minuten.

So entsperren Sie einen Benutzer über die GUI:

Navigieren Sie zu Konfiguration > System > Benutzerverwaltung > Benutzer.
Wähle den zu entsperrenden Benutzer aus.
Klicken Sie auf EntsperrenSo entsperren Sie einen Benutzer über die CLI:

Geben Sie in der Befehlszeile Folgendes ein:

set systemuser id=`<ID>` unlock=true
<!--NeedCopy-->

[NSSVM-4144]

NetScaler Gateway

Unterstützung für weitere Sprachen

Das NetScaler Gateway-Benutzerportal ist jetzt in den Sprachen Russisch, Koreanisch und Chinesisch (traditionell) verfügbar.

[CGOP-17095]

OAuth-OpenID Connect-Authentifizierungsunterstützung für Gateway Insight

NetScaler Gateway Insight meldet jetzt OAuth-OpenID Connect authentifizierungsbezogene Ereignisse (erfolgreiche Benutzeranmeldungen und fehlgeschlagene Benutzeranmeldungen).

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-application-delivery-management-software/current-release/analytics/gateway-insight.html

[CGOP-16907]

NetScaler Web App Firewall

Extraktion der Client-IP-Adresse mithilfe eines erweiterten Richtlinienausdrucks

Die NetScaler-Appliance verwendet einen erweiterten Richtlinienausdruck, um die Client-IP-Adresse aus einem HTTP-Anforderungsheader, einem Anforderungstext und einer Anforderungs-URL Der extrahierte Wert wird dann an den ADM-Server gesendet, um Audit-Protokollierung, Sicherheitsinformationen und die Berechnung der Client-Geolokalisierung zu erhalten.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/bot-management/bot-detection.html

[NSWAF-7260]

Option für BOT TPS-Erkennungsmechanismus aktivieren

Die Option “Aktivieren” ist jetzt für jede TPS-Bot-Erkennungsregel in der Bot-Profilkonfiguration verfügbar. Standardmäßig ist der Wert ON.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/bot-management/bot-detection.html

[ NSHELP-25777 ]

Lastausgleich

Unterstützung für die HTTP-zu-HTTPS-Umleitung auf virtuellen Content Switching

Die virtuellen Content Switching-Server des Diensttyps SSL unterstützen jetzt die Umleitung des HTTP-Datenverkehrs. Zwei neue Parameter: HttpsRedirectUrl und RedirectFromPort werden dem Befehl add cs vserver hinzugefügt. Der gesamte HTTP-Verkehr, der an dem im Parameter RedirectFromPort angegebenen Port ankommt, wird an die im Parameter HttpsRedirectUrl angegebene URL umgeleitet. Wenn HttpsRedirectUrl nicht konfiguriert ist, wird der HTTP-Verkehr auf den Wert des Host-Headers in der eingehenden HTTP-Anforderung umgeleitet.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/ssl/how-to-articles/ssl-config-https-vserver-to-accept-http-traffic.html

[NSLB-8224]

Unterstützung für die Synchronisierung des Befehls save config mit Remote-GSLB-Sites

Sie können den Befehl save ns config jetzt mit Remote-GSLB-Sites synchronisieren. Um diese Funktion zu aktivieren, wird dem Befehl set gslb parameter ein neuer Parameter GSLBSyncSaveConfigCommand hinzugefügt. Nachdem Sie GSLBSyncSaveConfigCommand aktiviert haben , wird der Befehl save ns config als ein weiterer GSLB-Befehl behandelt und mit Remote-GSLB-Sites synchronisiert. Sie müssen die Option AutomaticConfigSync zum Synchronisieren des Befehls save ns config aktivieren.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/global-server-load-balancing/synchronizing-configuration-in-gslb-setup/real-time-synchronization.html

[NSLB-7831]

Unterstützung für sichere Script-Argumente für Benutzermonitore

Ein neuer Parameter, -secureargs, wird dem Befehl add lb monitor hinzugefügt. Dieser Parameter speichert die Skript-Argumente in einem verschlüsselten Format statt im Nur-Text-Format. Mit diesem Parameter können Sie sensible Daten in Bezug auf die Skripte für den Benutzermonitor sichern, z. B. Citrix empfiehlt Ihnen, den Parameter -secureargs anstelle des Parameters -scriptargs für sensible Daten im Zusammenhang mit den Skripts zu verwenden. Wenn Sie beide Parameter zusammen verwenden möchten, muss das in -scriptname angegebene Skript die Argumente in dieser Reihenfolge akzeptieren: <scriptargs> <secureargs>. Das heißt, Sie müssen die ersten Parameter in <scriptargs> und den Rest der Parameter in <secureargs> angeben, indem Sie die für die Argumente definierte Reihenfolge beibehalten. Sichere Argumente gelten nur für den internen Dispatcher.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/load-balancing/load-balancing-custom-monitors/configure-user-monitor.html

[NSLB-6314]

Netzwerke

Nummerntyp-Datensatzunterstützung für erweiterte ACLs

Die NetScaler-Appliance unterstützt jetzt den Nummerntyp-Datensatz für die erweiterten ACLs. Sie können das Nummerntyp-Dataset zur Angabe des Quellports oder des Zielports oder beides für eine erweiterte ACL-Regel verwenden.

[NSNET-20235]

RHI-Unterstützung für eine VIP-Adresse, die an ein IPSet gebunden ist

Eine NetScaler-Appliance kündigt eine an ein IPSet gebundene VIP-Adresse als Kernelroute an, wenn alle folgenden Bedingungen erfüllt sind:

Bei der VIP-Adresse ist die Option host route aktiviert.
Das IPSet ist an eine Konfiguration gebunden, z. B. virtuelle Multi-IP-Lastausgleichsserver.

[NSNET-20209]

Unterstützung für die NetScaler CPX-Registrierung mit ADM mithilfe von Volume-Mounts

NetScaler CPX unterstützt jetzt die Registrierung bei NetScaler Console mithilfe von Volume-Mounts über Kubernetes ConfigMaps und Secret. NetScaler CPX initiiert die Registrierung beim ADM-Agenten mit den Konfigurationsdetails, die aus den Volume-Mounts abgeleitet sind, die sich im Dateisystem von NetScaler CPX befinden.

[NSNET-19058]

Plattform

Unterstützung für VMware ESX 7.0 Update 2a auf NetScaler VPX-Instanz

Die NetScaler VPX-Instanz unterstützt jetzt das Update 2a von VMware ESX Version 7.0 (Build 17867351).

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/deploying-vpx/supported-hypervisors-features-limitations.html

[NSPLAT-20104]

AMD-Prozessorunterstützung für NetScaler VPX-Instanz auf ESXi

Die NetScaler VPX-Instanz auf dem VMware ESXi-Hypervisor unterstützt jetzt AMD-Prozessoren. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/deploying-vpx/install-vpx-on-esx.html

[NSPLAT-17853]

Unterstützung für NetScaler VPX 5000-Abonnement auf Azure Marketplace

Das NetScaler VPX 5000-Abonnement wird jetzt auf Azure Marketplace unterstützt. Dieser abonnementbasierte Plan bietet die folgenden Lizenzen:

Standard
Erweitert
Premium

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/deploying-vpx/deploy-vpx-on-azure.html#citrix-adc-vpx-licensing

[ NSPLAT-13663 ]

Richtlinien

Unterstützung für IP-Header-Felder in einem erweiterten Richtlinien

Mit dem erweiterten Richtlinienausdruck können Sie jetzt die folgenden Header-Felder aus einem IP-Paket abrufen.

DSCP
ECN
TTL
Version
Identifizierung
Länge des Headers
Kopf-Prüfsumme
Optionen
Payload

[ NSPOLICY-2441 ]

Entfernung veralteter Funktionen ab NetScaler Version 13.1

Zahlreiche veraltete Funktionen wurden jetzt entfernt und sind auf einer NetScaler-Appliance nicht mehr konfigurierbar.

Dazu gehören:

Die Filterfunktion (auch als Content-Filter oder CF bezeichnet) - Aktionen, Richtlinien und Bindung.
Die Funktionen SPDY, sure connect (SC), Priority Queuing (PQ), HTTP Denial of Service (DoS) und HTML Injection.
Klassische Richtlinien für SSL, Content Switching, Cache-Umleitung, Komprimierung und Anwendungsfirewall.
Die Parameter url und domain in Content Switching-Richtlinien.
Klassische Ausdrücke in Persistenzregeln für den Lastausgleich.
Der Parameter pattern in Rewrite-Aktionen.
Der Parameter bypassSafetyCheck in Rewrite-Aktionen.
SYS.EVAL_CLASSIC_EXPR in erweiterten Ausdrücken.
Die Konfigurationseinheit patclass.
HTTP.REQ.BODY ohne Argument in erweiterten Ausdrücken.
Q- und S-Präfixe in erweiterten Ausdrücken.
Der Parameter policyType für die cmp-Parametereinstellung. (CLI-Befehl set cmp parameter.)

Wie bereits dokumentiert, können Sie das Tool nspepi für die Konvertierung verwenden. Sie müssen das Tool auf einer NetScaler-Appliance Version 13.0 oder 12.1 ausführen.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.html

Informationen zur Verwendung der neuesten Version der Tools für die Migration von der klassischen zur erweiterten Konfiguration und von Verkehrsdomänen zu Admin-Partitionen finden Sie unter https://github.com/citrix/ADC-scripts

[ NSPOLICY-186 ]

System

Statistiken für QUIC bridge anzeigen

Der QUIC-Bridge-Befehl stat bietet jetzt eine detaillierte Zusammenfassung der QUIC-Brückenstatistiken.

[NSBASE - 13883]

Entfernung veralteter Funktionen in NetScaler ab 13.1

Die folgenden veralteten Funktionen und ihre Konfigurationen werden nicht mehr unterstützt und von der NetScaler-Appliance entfernt:

Sicher verbinden (SC)
Priority Queueing (PQ)
HTTP-DoS-Schutz (HDOSP)
HTMLInjection

Als Alternative empfiehlt Citrix Ihnen, AppQOE für SureConnect, Priority Queueing und HTTP DoS Protection zu verwenden und clientseitige Messungen für zu verwenden HTMLInjection.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13-1/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.html

[NSBASE - 13780]

Benutzeroberfläche

Batch-API-Unterstützung für NITRO-Aufrufe

Die NetScaler-Appliance unterstützt jetzt die API batchapi. Die API batchapi kann mehrere NITRO-Aufrufe in einer einzigen Anforderung verarbeiten und dadurch den Netzwerkverkehr minimieren. Sie können die folgenden Operationen mit dem ausführen batchapi:

Sie können die Batch-API verwenden, um mehrere heterogene Ressourcen gleichzeitig zu erstellen, zu aktualisieren und zu löschen.
Sie können die Batch-API verwenden, um mehrere heterogene Ressourcen zu erhalten.

[NSCONFIG-4061]

Behobene Probleme

Die Probleme, die in Build 13.1—4.44 behoben werden.

Authentifizierung, Autorisierung und Prüfung

Wenn Sie einen LDAP-Monitor an einen Dienst binden, fällt der Monitor aus, da die NetScaler-Appliance ein falsches Kennwort an das Active Directory sendet.

[ NSHELP-27961 ]

In einem AD mit mehreren Kaskaden wird ein Konto für einen Benutzer nicht gesperrt, wenn ein Benutzer in der letzten Kaskade nicht gefunden wurde.

[ NSHELP-27948 ]

Wenn eine NetScaler-Appliance für die SAML-Authentifizierung konfiguriert ist, gibt die Appliance den Kern ab, wenn ein anderes Zertifikat als RSA verwendet wird.

[ NSHELP-27813 ]

In einigen Fällen kann eine NetScaler-Appliance abstürzen, während die Authentifizierungsanforderung eines bestimmten Benutzers verarbeitet wird, wenn rollenbasierter Zugriff konfiguriert ist.

[ NSHELP-27655 ]

Benutzer können sich nicht über die Citrix Workspace-App anmelden, wenn Azure AD auf dem virtuellen NetScaler-Authentifizierungsserver als OAuth IdP konfiguriert ist.

[ NSHELP-27462 ]

In einigen Fällen schlägt die SAML-Authentifizierung mit der Workspace-App fehl, wenn über StoreFront auf die App zugegriffen wird.

[ NSHELP-27338 ]

In einigen Fällen wird eine HTTP-POST-Anfrage an einen virtuellen Authentifizierungs-, Autorisierungs- und Auditing-TM-Server falsch verarbeitet, wenn die Anforderung kein Authentifizierungscookie enthält. Der POST-Körper geht bei der Verarbeitung verloren.

[ NSHELP-27227 ]

Die NetScaler-Appliance stürzt häufig bei der Verarbeitung von Authentifizierung, Autorisierung und Auditing-TM sowie 401 LB-basiertem Datenverkehr ab.

[ NSHELP-27094 ]

In einigen Fällen stürzt eine NetScaler-Appliance beim Ausführen der Benutzerauthentifizierung für NetScaler Gateway und Authentifizierung, Autorisierung und Überwachung ab - verkehrsverwaltete Bereitstellung.

[ NSHELP-26555 ]

Bei Eingabe eines falschen OTP Email Auth failed. No further action to continue wird eine Fehlermeldung angezeigt.

[ NSHELP-26400 ]

In bestimmten Szenarien schlägt der Befehl Authentifizierung, Autorisierung und Überwachung binden möglicherweise fehl, wenn der Richtlinienname länger als der Name der Intranetanwendung ist.

[NSHELP-25971]

Eine als SAML Identity Provider (IdP) konfigurierte NetScaler-Appliance kürzt den Relay-Status vom Service Provider (SP) ab, wenn sie Anführungszeichen enthält.

[ NSHELP-20131 ]

Die Überprüfung der Netzwerkkonnektivität schlägt aufgrund eines Problems bei der Kennwortentschlüsselung fehl. Die Authentifizierungsfunktion funktioniert jedoch einwandfrei.

[ NSAUTH-10216 ]

Bot-Verwaltung

Im Bot-Erkennungsmechanismus “Transaction Per Second” (TPS) gibt der Back-End-Anwendungsserver während des Abrufs der Antwort nach der CAPTCHA-Herausforderung eine 304-Antwort zurück.

[NSBOT-626]

Zwischenspeichern

In einem HochverfügbarkeitsSetup schlägt die HA-Synchronisierung für die Cacheparametereinstellung memLimit während eines HA-Failovers fehl.

[ NSHELP-28428 ]

In einem Hochverfügbarkeits-Setup stürzt der primäre Knoten ab, nachdem er auf einen NULL-Zeiger anstelle eines zwischengespeicherten Objekts zugegriffen hat.

[ NSHELP-26967 ]

NetScaler SDX-Appliance

Auf einer NetScaler SDX-Appliance schlägt die Instanzwiederherstellung möglicherweise fehl, wenn die Instanz mit Softwareversion 13.0-76.x oder früher erstellt wurde.

[ NSHELP-28429 ]

In einer NetScaler SDX-Appliance meldet der Management Service eine falsche Datennutzung von ADC-Instanzen.

[ NSHELP-28208 ]

Auf einer NetScaler SDX-Appliance können Sie die CLI-Eingabeaufforderung in der Management Service-Konsole nicht ändern.

[ NSHELP-28030 ]

Auf einer NetScaler SDX-Appliance meldet der Verwaltungsdienst möglicherweise eine hohe Speicherauslastung von etwa 80% aufgrund erhöhter Jobs und Scheduler, die im Inventar ausgeführt werden.

[ NSHELP-27805 ]

Auf einer NetScaler SDX-Appliance schlägt das Upgrade möglicherweise fehl, wenn die Systemdateien (snmpd.conf und ntp.conf) Wagenrücklaufzeichen enthalten.

[ NSHELP-27713 ]

Auf einer NetScaler SDX-Appliance meldet der Verwaltungsdienst möglicherweise eine hohe Speicherauslastung von etwa 80% aufgrund erhöhter Jobs und Scheduler, die im Inventar ausgeführt werden.

[ NSHELP-27396 ]

NetScaler Gateway

Benutzer können einen Fehler beim Starten der RDP-Sitzung feststellen, wenn ein Upgrade auf die neueste Version durchgeführt wird.

[ NSHELP-29519 ]

Eine Fehlermeldung wird angezeigt, wenn Sie versuchen, die CSS-Attribute in einem benutzerdefinierten Thema zu bearbeiten.

[ NSHELP-28648 ]

Die Anmeldung bei Citrix Workspace schlägt fehl, wenn ResponderRichtlinien, die während der Evaluierung in einen blockierten Zustand geraten können, an den virtuellen Server gebunden sind.

[ NSHELP-27819 ]

Beim Zugriff auf das NetScaler Gateway-Gerät mit dem clientlosen VPN wird möglicherweise ein Core-Dump generiert.

[ NSHELP-27653 ]

Das NetScaler Gateway-Gerät stürzt möglicherweise bei der Verarbeitung vom Server initiierten UDP-Datenverkehr ab.

[ NSHELP-27611 ]

Benutzer können die Postfächer anderer Benutzer sehen, wenn sie sich bei Microsoft Outlook anmelden. Deaktivieren Sie als Problemumgehung das Multiplexing.

[ NSHELP-27538 ]

Eine NetScaler-Appliance kann abstürzen, wenn die EDT-bezogenen Befehle wie clearconfig, kill ica connection oder stop dtls listenervon der Appliance verarbeitet werden.

[ NSHELP-27398 ]

Das NetScaler Gateway-Gerät stürzt möglicherweise während der Verarbeitung von UDP-Datenverkehr ab.

[ NSHELP-27317 ]

Das NetScaler Gateway-Gerät stürzt ab, wenn eine Syslog-Richtlinie an einen virtuellen Server gebunden ist und die entsprechende Syslog-Aktion geändert wird.

[ NSHELP-27171 ]

Die NetScaler-Protokolle werden möglicherweise mit der Protokollnachricht überflutet GwInsight: Func=ns_sslvpn_send_app_launch_fail_record Appflow policy evaluation has failed, wenn Gateway Insight aktiviert ist.

[ NSHELP-26750 ]

Das NetScaler Gateway-Gerät stürzt ab, wenn Sie versuchen, die Konfiguration zu löschen, wenn beide der folgenden Bedingungen erfüllt sind:

Ein SSL-Profil und ein Zertifikatschlüsselpaar sind an den Standard-TCP-Monitor gebunden.
Derselbe Standard-TCP-Monitor ist an eine Syslog-Aktion gebunden.

[ NSHELP-26685 ]

Wenn Sie den FQDN als Proxy auf der Seite NetScaler Gateway-Verkehrsprofil erstellen eingeben, wird die Meldung Invalid Proxy Value angezeigt.

[ NSHELP-26613 ]

Beim Erstellen eines RDP-Clientprofils über die NetScaler GUI wird eine Fehlermeldung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

Ein standardmäßiger Pre-Shared Key (PSK) ist konfiguriert.
Sie versuchen, den Gültigkeitszeitgeber für RDP-Cookies im Feld RDP-Cookie-Gültigkeit (Sekunden) zu ändern.

[ NSHELP-25694 ]

Die SNMP-OID sendet einen falschen Satz aktueller Verbindungen zum virtuellen VPN-Server.

[ NSHELP-25596 ]

Die Citric ADC Appliance stürzt ab, wenn mehrere VPN-Plug-In-Clients X.509-Zertifikate der Größe 1800 Byte oder mehr zum Einrichten eines Tunnels verwenden.

[ NSHELP-25195 ]

Wenn Sie einen virtuellen VPN-Server umbenennen, der an einen STA-Server gebunden ist, erscheint der Status des STA-Servers DOWN, wenn Sie den Befehl show ausführen.

[ NSHELP-24714 ]

In seltenen Fällen kann das NetScaler Gateway-Gerät abstürzen, wenn die Intranet-IP-Adresse (IIP) aktiviert ist und Server-initiierte Verbindungen zur IIP-Adresse bestehen.

[ NSHELP-23819 ]

Die Befehlsausgabe von show tunnel global enthält erweiterte Richtliniennamen. Zuvor wurden in der Ausgabe die erweiterten Richtliniennamen nicht angezeigt.

Beispiel:

Neue Ausgabe:

> show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0

Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy
Priority: 1
Global bindpoint: REQ_DEFAULT

Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy
Priority: 100
Global bindpoint: RES_DEFAULT
Done
>
<!--NeedCopy-->

Vorherige Ausgabe:

> show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

Advanced Policies:

Global bindpoint: REQ_DEFAULT
Number of bound policies: 1

Done
<!--NeedCopy-->

[ NSHELP-23496 ]

Wenn Sie die RADIUS-Buchhaltung für das ICA-Start-/Stopp-Ereignis konfiguriert haben, wird die Sitzungs-ID in der RADIUS-Buchhaltungsanforderung für den ICA-Start als alle Nullen angezeigt.

[ NSHELP-22576 ]

NetScaler Web App Firewall

In einem NetScaler-Clustersetup stürzt einer der Knoten ab, wenn ein oder mehrere Knoten von NetScaler Version 12.0, 12.1 oder 13.0 Build 52.x oder früheren Builds aktualisiert werden. Der Absturz tritt aufgrund einer Inkompatibilität im Cookie-Format und der Größe des Web App Firewall auf.

[NSWAF-7689]

In der Web App Firewall teilt der Parameter Cookie-transformation die antwortseitigen Cookie-Werte, wenn er ein Komma als Trennzeichen enthält.

[ NSHELP-28411 ]

Eine NetScaler-Appliance kann abstürzen, wenn Verstöße gegen die Befehlseinschleusung in einer bestimmten Reihenfolge beobachtet werden und die folgenden Bedingungen erfüllt sind:

In der Anfrage sind mehrere Cookies enthalten
URLDecodeRequestCookies Funktion ist ausgeschaltet

[ NSHELP-28365 ]

Eine NetScaler-Appliance zeigt möglicherweise eine hohe Speicherauslastung, wenn HTTP-Antworten analysiert werden, bei denen das Samesite-Attribut und die Web Application Firewall-Funktion aktiviert sind.

[ NSHELP-27722 ]

Die Cookie-Hijacking-Funktion bietet eingeschränkte Unterstützung für den Internet Explorer-Browser, da Internet Explorer-Browser die SSL-Verbindungen nicht wiederverwenden. Aufgrund der Einschränkung werden mehrere Weiterleitungen für eine Anfrage gesendet, die schließlich zu einem Fehler MAX REDIRECTS EXCEEDED im Internet Explorer-Browser führt.

[ NSHELP-27193 ]

Nach einem Upgrade auf NetScaler Version 13.0 Build 76.29 und aktivierter Funktion zum Hochladen von Dateien auf der Appliance wird das folgende Problem beobachtet:

SQL- und Cross-Site-Scripting-Schutzprüfungen blockieren den Datei-Upload-Prozess für alle Webanwendungen.

[ NSHELP-27140 ]

Lastausgleich

In einem GSLB-Setup wird der Status der Remote-Dienste nicht aktualisiert, nachdem die Statistiken auf der GSLB-Site gelöscht wurden. Löschen Sie als Problemumgehung die Statistiken erneut auf derselben GSLB-Site. Der Status der Remote-Dienste wird dann aktualisiert.

[ NSHELP-28169 ]

In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten abstürzen, wenn die folgenden Bedingungen erfüllt sind:

Die Menge an physischem Speicher auf beiden Knoten unterscheidet sich voneinander.
Die Datensitzungen werden nicht ordnungsgemäß synchronisiert.

[ NSHELP-26503 ]

In einem Clustersetup wird die IP-Adresse des GSLB-Dienstes nicht in der GUI angezeigt, wenn über virtuelle GSLB-Serverbindungen zugegriffen wird. Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

[ NSHELP-20406 ]

Sonstiges

Eine NetScaler-Appliance fügt zusätzliche L2-Informationen hinzu, wenn ein Tunnel oder virtuelle Server vom Typ des Dienstes (TOS) erstellt werden.

[ NSHELP-27825 ]

Netzwerke

Nachdem eine NetScaler BLX-Appliance (Version 13.0 Build 82.x), die auf einem Debian-basierten Linux-Host ausgeführt wird, aktualisiert wurde, funktioniert SSH im freigegebenen Modus nicht wie vorgesehen.

[NSNET-23020]

Nachdem eine NetScaler BLX-Appliance auf Version 13.1 Build 4.x aktualisiert wurde, blockiert die Webanwendungsfirewall möglicherweise fälschlicherweise eine Anforderung, die keinen Inhaltstyp-Header hat.

[NSNET-21415]

In einer NetScaler BLX-Appliance funktioniert NSVLAN, das mit non-dpdk getaggten Schnittstellen gebunden ist, möglicherweise nicht wie erwartet. NSVLAN, das mit nicht als non-dpdk getaggten Schnittstellen gebunden ist, funktioniert gut.

[NSNET-18586]

In einer NetScaler-Appliance verwendet die interne Treiberschicht möglicherweise einen falschen Datenpuffer, was zu einer Datenbeschädigung führt, was wiederum zum Absturz der Appliance führt.

[ NSHELP-27858 ]

Behobenes Problem:

NetScaler CPX, das als Beiwagen bereitgestellt und mit mehreren Netzwerken verbunden war, konnte nicht die richtige Quell-IP-Adresse für das Zielsubnetz auswählen.

[ NSHELP-27810 ]

In einem Hochverfügbarkeits-Setup schlägt die HA-Synchronisierung für WAF-Profil- und Standortdateikonfigurationen möglicherweise fehl.

[ NSHELP-27546 ]

Paketschleifen werden in einer Lastausgleichskonfiguration beobachtet, wenn alle folgenden Bedingungen erfüllt sind:

Der virtuelle Server ist so konfiguriert, dass er Port 80 abhört, und der Parameter Verbindungsfailover (connfailover) ist auf zustandslos gesetzt.
Der virtuelle Server erhält zwei Anforderungspakete mit:
- Quellport = 80
- Zielport = andere Nummer als 80
- Ziel-IP-Adresse = IP-Adresse (VIP) des virtuellen Servers

[ NSHELP-22431 ]

Plattform

Failed to create target instance Eine Fehlermeldung wird auf der GCP-Konsole angezeigt, auch wenn Sie keine Zielinstanzen erstellen. Dieses Problem tritt auf, wenn Sie nicht die IAM-Berechtigung compute.targetInstances.get in Ihrem GCP-Dienstkonto haben. Ab dieser Version erstellt NetScaler VPX Zielinstanzen nur für VMs, die die VIP-Skalierungsfunktion verwenden.

[NSPLAT-20952]

Die NetScaler-Appliance generiert Falschpakete pro Sekunde (PPS) Ratenbegrenzungswarnungen, noch bevor die NetScaler-Appliance ihr PPS-Limit für die Lizenz erreicht.

[ NSHELP-26935 ]

Richtlinien

Die NS-Variable mit globalem Umfang funktioniert nicht für HTTP/2-Verkehr.

[ NSHELP-27095 ]

SSL

Wenn in einem Clustersetup zwei installierte Zertifikate Aussteller eines Serverzertifikats mit der OCSP AIA-Erweiterung sind, ist die Appliance nicht mehr erreichbar, wenn Sie das Serverzertifikat entfernen.

[ NSHELP-28058 ]

In einem Hochverfügbarkeits-Setup schlägt die automatische CRL-Aktualisierung zeitweise fehl, wenn beide der folgenden Bedingungen erfüllt sind:

Dateien werden vom primären Knoten zum sekundären Knoten synchronisiert.
Die CRL-Datei wird gleichzeitig vom CRL-Server heruntergeladen.

[ NSHELP-27435 ]

Auf einer NetScaler-Appliance wird am nächsten Tag eine Benachrichtigung über den Ablauf eines falschen Zertifikats protokolliert, wenn ein Zertifikatschlüsselpaar mit aktiviertem -ExpiryMonitor hinzugefügt wird.

[ NSHELP-27348 ]

In einer Clusterdatenbank wird die Bindung nicht ordnungsgemäß aktualisiert, wenn Sie eine SSL-Richtlinie mehrmals und mit unterschiedlichen Prioritäten an einen virtuellen Server am Hallo-Bindpunkt des Clients binden. Infolgedessen tritt ein Fehler auf, wenn Sie die Richtlinie entfernen, auch nachdem Sie sie vom virtuellen Server entfernt haben.

[ NSHELP-27301 ]

Die NetScaler-Appliance stürzt während des Neustarts ab, wenn Sie den Namen des integrierten Zertifikats (ns-server-certificate) in der Konfigurationsdatei ändern.

[ NSHELP-26858 ]

In einem Clustersetup können Sie die folgenden Probleme feststellen:

Fehlender Befehl für das standardmäßige Zertifikatschlüsselpaar, das an die internen SSL-Dienste auf dem CLIP bindet. Wenn Sie jedoch von einem älteren Build upgraden, müssen Sie möglicherweise das Standard-Zertifikatschlüsselpaar an die betroffenen internen SSL-Dienste auf dem CLIP binden.
Konfigurationsdiskrepanz zwischen dem CLIP und den Knoten für den standardmäßigen set-Befehl für die internen Dienste.
Fehlender Standard-Verschlüsselungsbindungsbefehl an die SSL-Entitäten in der Ausgabe des Befehls show running config, der auf einem Knoten ausgeführt wird. Die Auslassung ist nur ein Anzeigeproblem und hat keine funktionalen Auswirkungen. Die Bindung kann mit dem Befehl show ssl <entity> <name> angezeigt werden.

[ NSHELP-25764 ]

System

Eine NetScaler-Appliance kann mit einer ICAP OPTIONS-Antwort abstürzen. Das Problem tritt auf, wenn der erlaubte Header-Wert einen anderen Wert als 204 enthält.

[ NSHELP-27879 ]

Im AppFlow stimmt die Anzahl der Layer 4-Byte für Flow-Datensätze nicht mit den virtuellen HTTP-Server-Transaktionen überein. Der Zählwert ist niedriger als der Wert für die Byteanzahl des virtuellen Layer 7-Servers.

[ NSHELP-27495 ]

Der TcpCurClientConn-Zähler zeigt einen großen Wert an, wenn die NetScaler Appliance auf der NetScaler Console registriert ist.

[ NSHELP-27463 ]

Eine NetScaler-Appliance kann abstürzen, wenn die AppFlow-Funktion deaktiviert und wieder aktiviert ist.

[ NSHELP-27236 ]

In einem seltenen Fall sendet eine NetScaler-Appliance möglicherweise falsche TCP-SACK-Folgennummern an den Client, wenn sie vom Backend-Server weitergeleitet wird. Das Problem tritt auf, wenn die Option TCP Selective ACK (SACK) in einem TCP-Profil aktiviert ist.

[ NSHELP-24875 ]

Eine NetScaler-Appliance kann abstürzen, wenn eine Richtlinie mit dem Ausdruck HTTP.REQ.* an den RESPONSE-Bindpunkt des virtuellen HTTP_QUIC-Servers gebunden ist. Das Problem tritt nicht auf, wenn Sie dieselbe Richtlinie zusammen mit einem virtuellen Server vom Typ HTTP oder SSL an einen virtuellen HTTP_QUIC-Server binden.

[NSBASE - 14612]

Benutzeroberfläche

In der GUI des KomprimierungsRichtlinien-Managers kann eine KomprimierungsRichtlinie nicht an ein HTTP-Protokoll gebunden werden, indem ein relevanter Verbindungspunkt und Verbindungstyp angegeben wird.

[NSUI-17682]

Wenn Sie mithilfe des Befehls den Inhalt einer Datei von einer ADC-Instanz abrufen show systemfile, wird in der ADC-Konsole eine Fehlermeldung über einen Downloadfehler angezeigt. Das Problem tritt auf, wenn der Dateiinhalt mit NULL Byte beginnt.

[ NSHELP-28227 ]

Die admautoregd-SYSLOG-Flut führt zu einer Fehlklassifizierung und Fehldiagnose der Kundenressourcendefinition (CRD) aufgrund eines internen Systemproblems (Python-Binärdatei fehlt).

Fix: Um die Überwachung des Prozesses admautoregd nach 30 Minuten zu beenden, wenn die Python-Binärdatei immer noch fehlt.

[ NSHELP-28185 ]

Es kann zu einem Konfigurationsverlust kommen, wenn eine mit KEK konfigurierte VPX-Instanz auf AWS auf NetScaler Version 13.0 Build 76.x oder höher aktualisiert wird. Alle vertraulichen Daten, die mit KEK verschlüsselt wurden, schlagen fehl, wenn die Konfiguration nach einem Neustart geladen wird.

[ NSHELP-28010 ]

Ein zusätzliches Backslash-Zeichen wird falsch eingeführt, wenn Sonderzeichen innerhalb von Argumenten in einigen SSL-Befehlen wie create ssl rsakey und create ssl cert verwendet werden.

[ NSHELP-27378 ]

In einem Hochverfügbarkeits-Setup schlägt die HA-Synchronisierung oder HA-Propagierung möglicherweise fehl, wenn eine der folgenden Bedingungen erfüllt ist:

Das RPC-Knotenkennwort hat Sonderzeichen.
Das RPC-Knotenkennwort hat 127 Zeichen (maximal zulässige Zeichen).

[ NSHELP-27375 ]

Das Tool nsconfigaudit kann abstürzen, wenn die Größe der Eingabekonfigurationsdatei sehr groß ist.

[ NSHELP-27263 ]

Sie können einen Dienst oder eine Dienstgruppe nicht über die NetScaler GUI an einen virtuellen Lastausgleichsserver mit Priorität binden.

[ NSHELP-27252 ]

Die Berichtsfunktion funktioniert möglicherweise nicht mehr, wenn die Systemuhr auf einer NetScaler-Appliance aktualisiert wird.

[ NSHELP-25435 ]

In einer NetScaler VPX Appliance schlägt ein festgelegter Kapazitätsvorgang möglicherweise nach dem Hinzufügen eines Lizenzservers fehl. Das Problem tritt auf, weil die Initialisierung der Flexera-bezogenen Komponenten aufgrund der großen Anzahl unterstützter Lizenzen für das Ein- und Auschecken vom Typ “Typ” (CICO) länger dauert, um zu initialisieren.

[ NSHELP-23310 ]

Der Aufruf botprofile_logexpression_binding für NITRO API GET gibt keine Antwort zurück, wenn der Logausdruck an ein Bot-Profil gebunden ist.

[NSCONFIG-5490]

Wenn Sie in einer Clusterkonfiguration ein Web App Firewall-Profil mit feinkörnigen Regeln und dann mit non-fine-graned-Regeln an dieselbe URL binden, werden die feinkörnigen Regeln in der Datenbank entfernt. Infolgedessen werden nur die nicht feinkörnigen Regeln auf der Cluster-IP-Adresse angezeigt.

[NSCONFIG-5389]

Bekannte Probleme

Die Probleme, die in Release 13.1—4.44 bestehen.

AppFlow

HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

[ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Prüfung

Eine falsche Abmelde-URL (/cgi/tmlogout) wird zurückgegeben, wenn ein virtueller VPN-Server als SAML-SP konfiguriert ist. Das Problem tritt auf, weil die falsche Abmelde-URL in den SAML-Metadaten generiert wird.

[ NSHELP-28726 ]

In einigen Fällen wird in einer NetScaler-Appliance ein Speicherleck beobachtet, wenn die SSO-Funktionalität mit einem Proxyserver verwendet wird.

[ NSHELP-27744 ]

In einem seltenen Szenario kann der sekundäre Knoten in einem Hochverfügbarkeits-Setup abstürzen, wenn die folgende Bedingung erfüllt ist.

aaa groups oder aaa users, oder beide sind auf der NetScaler-Appliance konfiguriert.

[ NSHELP-26732 ]

Eine NetScaler-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]

Das DualAuthPushOrOTP.xml LoginSchema wird im Bildschirm des Anmeldeschema-Editors der NetScaler GUI nicht ordnungsgemäß angezeigt.

[ NSAUTH-6106 ]

Das ADFS-Proxyprofil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxyprofil wird fälschlicherweise leer angezeigt, wenn der folgende Befehl ausgegeben wird. show adfsproxyprofile <profile name>

Workaround:

Stellen Sie eine Verbindung zum primären aktiven NetScaler im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Es würde den Status des Proxyprofils anzeigen.

[ NSAUTH-5916 ]

Die Seite „Authentifizierungs-LDAP-Server konfigurieren“ auf der NetScaler-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

Die Option LDAP-Erreichbarkeit testen ist geöffnet.
Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

Workaround:

Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

[ NSAUTH-2147 ]

Zwischenspeichern

Eine NetScaler-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

[NSHELP-22942]

NetScaler SDX-Appliance

Auf einer NetScaler SDX-Appliance schlägt das Erstellen einer ADC-Instanz mit Softwareversion 12.0 XVA-Image fehl. Infolgedessen ist die Instanz nicht erreichbar.

[ NSHELP-28408 ]

NetScaler Gateway

Manchmal kann der DNS-Resolver nach dem Trennen des VPN die Hostnamen nicht auflösen, da die DNS-Suffixe während der VPN-Trennung entfernt werden.

[ NSHELP-28848 ]

Nachdem Sie das NetScaler Gateway-Gerät auf Version 13.0 aktualisiert haben, funktioniert die Proxykonfiguration im Sitzungsprofil nicht wie beabsichtigt. Die Proxyverbindung wird für den konfigurierten Nicht-HTTP-NS-Proxy umgangen.

Beispiel: add vpn sessionAction -proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24

In diesem Beispiel funktioniert -httpProxy wie beabsichtigt, aber -sslProxy funktioniert nicht.

[ NSHELP-28640 ]

Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

[ NSHELP-28551 ]

Manchmal wird ein Benutzer innerhalb weniger Sekunden bei NetScaler Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

[ NSHELP-28404 ]

Das Windows-Plug-In kann während der Authentifizierung abstürzen.

[ NSHELP-28394 ]

Die NetScaler-Appliance stürzt ab, wenn eine der folgenden Bedingungen eintritt:

Die Syslog-Aktion wird mit dem Domänennamen konfiguriert und Sie löschen die Konfiguration über die GUI oder der CLI.
Die Hochverfügbarkeitssynchronisierung erfolgt auf dem sekundären Knoten.

Workaround:

Erstellen Sie eine Syslog-Aktion mit der IP-Adresse des Syslog-Servers anstelle des Domänennamens des Syslog-Servers.

[ NSHELP-25944 ]

Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

[ NSHELP-23937 ]

Das VPN-Plug-in richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

Das NetScaler Gateway-Gerät ist für die Always-On-Funktion konfiguriert
Die Appliance ist für zertifikatbasierte Authentifizierung mit Zwei-Faktor-Authentifizierung konfiguriert off

[NSHELP-23584]

Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung Cannot read property 'type' of undefined angezeigt.

[NSHELP-21897]

Ein Fehler beim Anwendungsstart aufgrund eines ungültigen STA-Ticket wird in Gateway Insight nicht gemeldet.

[ CGOP-13621 ]

Im Gateway Insight-Bericht wird fälschlicherweise der Wert Local statt SAML im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

[CGOP-13584]

In einem Hochverfügbarkeitssetup erhöht sich während des NetScaler-Failovers die SR-Anzahl anstelle der Failover-Anzahl in der NetScaler Console.

[CGOP-13511]

Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS unabhängig von der ausgewählten Sprache Inhalte in englischer Sprache an.

[ CGOP-13050 ]

Der Text Home Page auf der Seite Citrix SSO-App > Home ist für einige Sprachen abgeschnitten.

[ CGOP-13049 ]

Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die NetScaler-GUI hinzufügen oder bearbeiten.

[CGOP-11830]

Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem schwerwiegenden Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

[CGOP-7269]

Wenn Sie in einer Clusterbereitstellung den Befehl force cluster sync auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

[CGOP-6794]

NetScaler Web App Firewall

Die Web App Firewall-Signatur-ID 1048 verhindert das Laden der NetScaler Gateway-Seite.

[ NSHELP-29113 ]

Lastausgleich

In einem Hochverfügbarkeitssetup werden Abonnentensitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Das ist ein seltener Fall.

[ NSLB-7679 ]

Die GSLB-Dienstgruppe kann aufgrund eines fehlenden ENUM-Werts in fehlgeschlagenen Befehlen keine Überwachungsaktualisierungen verarbeiten.

[ NSHELP-29050 ]

Die NetScaler-Appliance reagiert möglicherweise nicht auf eine GSLB-Domänenabfrage mit einer erwarteten GSLB-Dienst-IP-Adresse, wenn der virtuelle GSLB-Server wie folgt konfiguriert ist: Persistenztyp: Quell-IP-Adresse Load-Balancing-Algorithmus: Statische Nähe Backup-Lastausgleichsmethode: Round Fahrzeit (RTT)

[ NSHELP-28668 ]

Die primären und sekundären VPX-Standorte sind nach der Konfiguration der GSLB-Dienstgruppe mit aktivierter Autoscale abgestürzt.

Problemumgehung: Fügen Sie keine virtuellen Dummy-Server hinzu, z. B. den virtuellen Content Switching-Server, wenn Sie einen GSLB Service hinzufügen oder einen IP-Port an eine GSLB-Dienstgruppe binden.

[ NSHELP-28530 ]

Eine NetScaler-Appliance in einem HA-Setup verliert die Konnektivität, da der NSB-Speicher nach dem Senden der HTTP-Antwort während der HTTP-Sondenüberwachung nicht freigegeben wird.

[ NSHELP-28466 ]

Das ServiceGroupName-Format im entityofs Trap für die Dienstgruppe lautet wie folgt: <service(group)name>?<ip/DBS>?<port>

Im Trap-Format wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Trennzeichen verwendet. Der NetScaler sendet den Trap mit dem Fragezeichen (?). Das Format wird in der NetScaler Console-GUI identisch angezeigt. Dies ist das erwartete Verhalten.

[NSHELP-28080]

Sonstiges

Wenn eine erzwungene Synchronisierung in einem Hochverfügbarkeitssetup stattfindet, führt die Appliance den Befehl set urlfiltering parameter im sekundären Knoten aus. Infolgedessen überspringt der sekundäre Knoten jede geplante Aktualisierung bis zur nächsten geplanten Zeit, die im Parameter TimeOfDayToUpdateDB erwähnt wird.

[NSSWG-849]

Der Musterabgleich für URL-Satz schlägt für IDNA2008-Standarddomänen fehl.

[ NSHELP-28902 ]

Wenn die MAC-basierte Weiterleitung (MBF) für VXLAN aktiviert ist, wurde die statusbehaftete TCP-Sitzung nicht eingerichtet.

[ NSHELP-27125 ]

Eine NetScaler-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter für URL-Filterung auftritt.

[NSHELP-22409]

Netzwerke

Eine NetScaler BLX-Appliance im DPDK-Modus kann abstürzen, wenn ein Web Application Firewall-Profil mit erweiterten Sicherheitsschutzprüfungen konfiguriert ist.

Workaround:

Entfernen Sie die Konfiguration des erweiterten Sicherheitsschutzes für WAF.

[NSNET-22654]

Nach einem Upgrade von NetScaler BLX Appliance 13.0 61.x Build auf 13.0 64.x Build gehen die Einstellungen in der BLX-Konfigurationsdatei verloren. Die BLX-Konfigurationsdatei wird dann auf die Standardeinstellungen zurückgesetzt.

[NSNET-17625]

Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer NetScaler BLX-Appliance mit DPDK nicht unterstützt:

Deaktivieren
Aktivieren
Zurücksetzen

[NSNET-16559]

Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine NetScaler BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (/etc/blx/blx.conf) immer im freigegebenen Modus bereitgestellt. Dieses Problem tritt auf, weil mawk, standardmäßig auf Debian-basierten Linux-Systemen vorhanden, einige der in der Datei blx.conf vorhandenen awk-Befehle nicht ausführt.

Workaround:

Installieren Sie gawk vor der Installation einer NetScaler BLX Appliance. Sie können den folgenden Befehl in der Linux-Host-CLI zur Installation ausführen gawk:

apt-get install gawk

[NSNET-14603]

Die Installation einer NetScaler BLX-Appliance kann auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehlschlagen:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Workaround:

Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine NetScaler BLX-Appliance installieren:

-  dpkg --add-architecture i386
-  apt-get update
-  apt-get dist-upgrade
-  apt-get install libc6:i386
<!--NeedCopy-->

[NSNET-14602]

In einigen Fällen von FTP-Datenverbindungen führt die NetScaler Appliance nur den NAT-Vorgang und keine TCP-Verarbeitung der Pakete für die TCP-MSS-Aushandlung durch. Infolgedessen ist die optimale Schnittstellen-MTU für die Verbindung nicht eingestellt. Diese falsche MTU-Einstellung führt zur Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

[NSNET-5233]

Bei einer groß angelegten NAT-Bereitstellung von zwei NetScaler-Appliances in einem Hochverfügbarkeits-Setup funktioniert IPSec ALG möglicherweise nicht ordnungsgemäß, wenn für die Hochverfügbarkeitskonfiguration die Option stayprimary oder staysecondarygesetzt ist.

[NSNET-1646]

Wenn ein Speicherlimit für Administratorpartitionen in der NetScaler-Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

[NSHELP-21082]

Wenn in einem Hochverfügbarkeits-Setup (HA) Gratuitous ARP (GARP) deaktiviert ist, leitet der Upstream-Router den Datenverkehr nach einem HA-Failover möglicherweise nicht an die neue Primärstufe weiter.

[ NSHELP-20796 ]

Plattform

Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den NetScaler-Appliances installiert. Dieses Problem wurde für die folgenden NetScaler-Versionen behoben:

13.1-4.x
13.0—82.31 und höher
12.1—62.21 und höher

Die Python-Pakete werden nicht installiert, wenn Sie die NetScaler-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

Beliebiger 11.1-Build
12.1-62,21 und früher
13.0-81.x und früher

[NSPLAT-21691]

Die Provisioning einer VPX-Instanz mit Version 12.0 XVA schlägt auf einer NetScaler SDX-Appliance mit Version 13.1 fehl.

Nur VPX-Versionen 12.1 und höher werden unterstützt. Aktualisieren Sie die VPX-Version, bevor Sie das SBI auf Version 13.1 aktualisieren.

[NSPLAT-21442]

Wenn Sie eine Autoscale-Einstellung oder eine VM-Skalierungsgruppe aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der NetScaler-Instanz. Verwenden Sie den Befehl rm cloudprofile, um das Profil zu löschen.

[ NSPLAT-4520 ]

In einem Hochverfügbarkeits-Setup in Azure wird bei der Anmeldung am sekundären Knoten über die GUI der FTU-Bildschirm (First Time User) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt. Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich am primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil sollte immer auf dem primären Knoten konfiguriert werden.

[ NSPLAT-4451 ]

Die NetScaler VPX-Instanzen, die den VMXNET3-Treiber verwenden, stürzen möglicherweise zufällig ab, wenn die Instanz auf einem der folgenden NetScaler-Builds ausgeführt wird:

NetScaler 13.1 erstellen 4.x
NetScaler 13.1 Build 9.x

[ NSHELP-29120 ]

Richtlinien

Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße. Workaround: Stellen Sie die TCP-Puffergröße auf eine maximale Datengröße ein, die verarbeitet werden muss.

[ NSPOLICY-1267 ]

SSL

Auf einem heterogenen Cluster von NetScaler SDX 22000- und NetScaler SDX 26000-Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

Workaround:

Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten, z. B. für virtuelle Server, Dienste, Dienstgruppen und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
Speichern Sie die Konfiguration.

[NSSSL-9572]

Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:

-  add azure application
-  add azure keyvault
-  add ssl certkey with hsmkey option
<!--NeedCopy-->

[NSSSL-6484]

Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[NSSSL-6478]

Sie können mehrere Azure Application-Entitäten mit derselben Client-ID und demselben Client-Schlüssel erstellen. Die NetScaler Appliance gibt keinen Fehler zurück.

[NSSSL-6213]

Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben. FEHLER: crl refresh disabled

[NSSSL-6106]

Die automatische Aktualisierung des Sitzungsschlüssels wird auf einer Cluster-IP-Adresse fälschlicherweise als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[NSSSL-4427]

Eine falsche Warnmeldung Warning: No usable ciphers configured on the SSL vserver/service, wird angezeigt, wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern.

[NSSSL-4001]

Ein abgelaufenes Sitzungsticket wird auf einem Nicht-CCO-Knoten und auf einem HA-Knoten nach einem HA-Failover berücksichtigt.

[NSSSL-3184]

Eine NetScaler-Appliance stürzt während der Verarbeitung einer HTTP-Anforderung ab, wenn die Richtlinienaktion für eine Richtlinie auf Forwardfestgelegt ist, die bereits an den Anforderungsbindepunkt gebunden ist.

[ NSHELP-29115 ]

System

Ein TCP-Fensterleck wird beobachtet, wenn eine NetScaler-Appliance HTTP/2-Header-Frames verarbeitet.

[ NSHELP-28475 ]

Wenn ein Client eine Verbindung mit mehreren TCP-Streams zurücksetzt, wird der serverseitige Transaktionsdatensatz nicht gesendet, was dazu führt, dass L4-Datensätze für diese Datenströme fehlen.

[ NSHELP-28281 ]

In einem Clustersetup funktioniert der Befehl set ratecontrol erst nach dem Neustart der NetScaler-Appliance.

Workaround:

Verwenden Sie den Befehl nsapimgr_wr.sh -ys icmp_rate_threshold=<new value>.

[ NSHELP-21811 ]

Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 gesetzt, wenn die Appliance den max_concurrent_stream-Einstellungsframe nicht vom Client empfängt.

[NSHELP-21240]

Die mptcp_cur_session_without_subflow-Zähler dekrementieren fälschlicherweise auf einen negativen Wert statt auf Null.

[NSHELP-10972]

Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

[NSBASE-8506]

Benutzeroberfläche

In der NetScaler GUI ist der Help-Link unter der Dashboard-Registerkarte defekt.

[NSUI-14752]

Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht mehr oder kann keinen CloudBridge-Connector konfigurieren.

Workaround:

Konfigurieren Sie Cloudbridge-Konnektoren, indem Sie IPsec-Profile, IP-Tunnel und PBR-Regeln über die NetScaler-GUI oder CLI hinzufügen.

[NSUI-13024]

Wenn Sie einen ECDSA-Schlüssel mit der GUI erstellen, wird der Kurventyp nicht angezeigt.

[NSUI-6838]

Das folgende Problem tritt auf, wenn ein Vorgang ausgeführt wird, der die Datei ns.conf liest. Beispiel: show ns saved config.

Der HTTPD-Prozess kann einfrieren, wodurch auf die GUI und die NITRO-API nicht mehr zugegriffen werden kann.

[ NSHELP-28249 ]

In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

Workaround:

Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Erfolgsstatus Sync).

[ NSHELP-25598 ]

Das Hochladen und Hinzufügen einer Zertifikatsperrlistendatei (CRL) schlägt in einer Admin-Partitionseinrichtung fehl.

[NSHELP-20988]

Wenn Sie ein Downgrade einer NetScaler-Appliance Version 13.0-71.x auf einen früheren Build durchführen, funktionieren einige NITRO-APIs aufgrund der Änderungen an den Dateiberechtigungen möglicherweise nicht.

Workaround:

Ändern Sie die Berechtigung für /nsconfig/ns.conf auf 644.

[NSCONFIG-4628]

Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer NetScaler Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der herabgestuften NetScaler Appliance anmelden.

Aktualisieren Sie die NetScaler-Appliance auf einen der Builds:
- 13.0 52.24 bauen
- 12.1 57.18 gebaut
- Version 11.1 65.10
Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Passwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration, und
Führen Sie ein Downgrade der NetScaler Appliance auf einen beliebigen älteren Build durch.

Um die Liste dieser Systembenutzer über die CLI anzuzeigen: Geben Sie an der Eingabeaufforderung Folgendes ein:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Workaround:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

Wenn die NetScaler-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die NetScaler-Appliance mithilfe einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herab.
Jeder Systemadministrator, dessen Passwort auf dem aktualisierten Build nicht geändert wurde, kann sich bei dem heruntergestuften Build anmelden und die Passwörter für andere Systembenutzer aktualisieren.
Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

Weitere Informationen finden Sie unter Zurücksetzen des Root-Administratorkennworts.

[NSCONFIG-3188]

Jeder der folgenden NetScaler-Upgradevorgänge kann zu Anmeldefehlern für Benutzerkonten des lokalen Systems führen:

von NetScaler 13.0-83.x Build bis NetScaler 13.1-4.x Build
vom NetScaler 12.1-63.x Build zum NetScaler 13.1-4.x-Build
von NetScaler 12.1-63.x Build bis NetScaler 13.0-82.x Build

Dieses Problem tritt nur bei Benutzerkonten des lokalen Systems auf, die eine der folgenden Bedingungen erfüllen:

Das Benutzerkennwort wurde für das lokale Systemkonto im NetScaler-Build (13.0-83.x oder 12.1-63.x) geändert, bevor der Aktualisierungsvorgang durchgeführt wurde.
Das lokale Systembenutzerkonto wurde vor dem Ausführen des Upgrade-Vorgangs zum NetScaler-Build (13.0-83.x oder 12.1-63.x) hinzugefügt.

Workaround:

Ein Systemadministrator kann das Kennwort für die Benutzerkonten des lokalen Systems zurücksetzen, bei denen das Problem mit dem Anmeldefehler auftritt.

Weitere Informationen finden Sie unter Zurücksetzen des Root-Administratorkennworts.

[NSCONFIG-5650]

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Versionshinweise für NetScaler 13.1—4.44 Version

March 17, 2024

Beitrag von:

March 17, 2024

Beitrag von: