Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Versionshinweise für NetScaler 13.1—48.47

March 17, 2024
Beitrag von: 
C

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die NetScaler-Version Build 13.1—48.47 bestehen.

Hinweise

  • Dieses Dokument mit den Versionshinweisen enthält keine sicherheitsrelevanten Fixes. Eine Liste mit sicherheitsrelevanten Fixes und Hinweisen finden Sie im Citrix Security Bulletin.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.1—48.47 verfügbar sind.

Lastausgleich

  • Erweiterung des Load Balancing-Verfahrens mit statischer Nähe

    Wenn Sie derzeit die statische Proximity-Load-Balancing-Methode konfigurieren und mehrere Server an unterschiedlichen Standorten vorhanden sind, wird ein Server auf der Grundlage der Client-IP-Adresse anstelle der NetScaler-Loopback-IP-Adresse ausgewählt. Infolgedessen kann die Reaktionszeit in einigen Fällen höher sein. Der Parameter proximityFromSelf wird den Lastausgleichsparametern und dem Lastausgleichsprofil hinzugefügt, um die Antwortzeit zu reduzieren, indem ein Server ausgewählt wird, der sich näher am NetScaler als am Client befindet. Weitere Informationen finden Sie unter Statische Nähe für den NetScaler-Standort.

    [NSLB-9530]

  • Die vollständige GSLB-Synchronisierung wird nicht ausgelöst, wenn sich der HA-Status ändert

    Die vollständige GSLB-Synchronisierung wird nicht mehr ausgelöst, wenn sich der HA-Status entweder am Haupt-GSLB-Site oder an den untergeordneten Standorten ändert. Zuvor wurde die vollständige Synchronisation mit den untergeordneten Standorten auch dann ausgelöst, wenn die HA-Knoten synchron waren und während des HA-Statusübergangs keine GSLB-Konfigurationsänderungen vorgenommen wurden. Da die vollständige GSLB-Synchronisierung nicht initiiert wird, werden inkrementelle Konfigurationsänderungen nach der Änderung des HA-Status jetzt schneller mit den untergeordneten Standorten synchronisiert.

    [NSLB-9477]

  • Oracle ECV Monitor unterstützt die neuesten Oracle-Authentifizierungsprotokolle
    Der NetScaler Oracle ECV Monitor unterstützt jetzt alle Oracle-Versionen bis 21c und alle kennwortbasierten Authentifizierungsprotokolle.

    Weitere Informationen finden Sie unter Oracle ECV Monitor.

    [NSHELP-9819]

NetScaler Web App Firewall

  • Erweiterung der Ratenbegrenzungsfunktion

    Sie können jetzt die Art des Datenverkehrs einschränken und zusätzliche Bedingungen in der BOT-Ratenbegrenzungsfunktion hinzufügen, indem Sie den Ratenlimittyp und die Parameter für die Ratenbegrenzung verwenden. Weitere Informationen finden Sie unter Bot-Erkennung.

    [NSWAF-9535]

Netzwerke

  • Eine einheitliche Konfigurationsdatei für NetScaler-Konfigurationen, dynamische Routing-Konfigurationen und die Konfiguration des Hardware-Sicherheitsmoduls

    Die NetScaler Appliance unterstützt jetzt eine einheitliche Konfigurationsdatei (unified.conf), die die NetScaler-Konfigurationen (ns.conf), dynamischen Routing-Konfigurationen (zebos.conf) und die Hardware Security Module (HSM) -Konfigurationen (chrystoki.conf) enthält.

    Die vereinheitlichte Konfigurationsdatei bietet eine einzige Ansicht verschiedener Konfigurationstypen. Diese vereinheitlichte Konfigurationsdatei dient nur zu Anzeigezwecken und kann nicht zum Anwenden von Konfigurationen in einer anderen NetScaler-Appliance verwendet werden.

    Der vollständige Pfad der einheitlichen Konfigurationsdatei in der NetScaler Appliance lautet: „/nsconfig/unified.conf“. Sie können über die Shell-Eingabeaufforderung auf die einheitliche Konfigurationsdatei zugreifen. Die einheitliche Konfigurationsdatei wird nur für eigenständige NetScaler Appliances und Hochverfügbarkeits-Setups unterstützt.

    [NSNET-27559]

  • VMware VMXNET3-Netzwerkports als DPDK-Ports, Unterstützung für NetScaler BLX-Appliances

    Eine NetScaler BLX-Appliance in einer Linux-Host-VM, die auf einer VMware-Virtualisierungsplattform ausgeführt wird, unterstützt jetzt VMXNET3-Netzwerkports als DPDK-Ports.

    [NSNET-27244]

Plattform

  • Unterstützung für den IMDSv2-Modus der AWS EC2-Instance

    Der Modus Instance Metadata Service Version 2 (IMDSv2) für die AWS EC2-Instance wird jetzt in der NetScaler Appliance unterstützt. IMDSv1 und IMDSv2 sind zwei Modi, die für den Zugriff auf Instance-Metadaten von einer laufenden AWS EC2-Instance verfügbar sind, und IMDSv2 ist sicherer als IMDSv1. Zuvor wurde IMDSv2 von NetScaler nicht unterstützt. Wenn die AWS EC2-Instance den IMDSv2-Modus verwendete, überschrieb die NetScaler-Appliance daher nach einem Kaltstart die statische Standardroute.

    [ NSPLAT-21205 ]

System

  • Unterstützung von Responder-Richtlinien für das Proxyprotokoll auf einem virtuellen Server vom Typ tcPRN
    NetScaler unterstützt jetzt die Responder-Richtlinien für das Proxyprotokoll auf einem virtuellen Server vom Typ tcp.rn

    Bisher wurde die Responder-Richtlinie für das Proxyprotokoll nur auf einem virtuellen Server vom Typ http.rn unterstützt.

    Weitere Informationen finden Sie unter Proxy-Protokoll.

    [NSHELP-33193]

Benutzeroberfläche

  • HTML-Tags in NetScaler-GUI-Richtlinienausdrücken

    HTML-Tags werden jetzt in der NetScaler-GUI beim Erstellen von Richtlinienausdrücken unterstützt.

    [NSUI-18918]

  • CVE-Filterkategorie auf der Ansichtsseite “Filterkriterien der Signatur anzeigen”

    CVE wird als eine der Kategorien in der Liste Filterkriterien anzeigen der Seite Signaturansicht hinzugefügt. Verwenden Sie CVE als Filteroption, um nur die protokollbezogenen Details im Fenster Gefilterte Ergebnisse auf der rechten Seite anzuzeigen.

    [NSUI-18512, NSCXLCM-616]

Behobene Probleme

Die Probleme, die in Build 13.1—48.47 behoben wurden.

Authentifizierung, Autorisierung und Prüfung

  • In einer NetScaler-Clusterbereitstellung können Sie eine Zuweisungsaktion nicht an eine Authentifizierungsrichtlinie binden.

    [NSHELP-33974]

  • Wenn NetScaler als SAML-Dienstanbieter konfiguriert ist, schlägt die SAML-Assertion-Validierung möglicherweise aufgrund eines Parsing-Problems im Tag saml:statusCode fehl.

    [NSHELP-33574]

  • Wenn Sie ein Sitzungsprofil auf der Seite Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Sitzungsrichtlinien und Profile > Sitzungsprofile bearbeiten, ist die Option „Single Sign-On to Web Applications“ auf ON gesetzt, auch wenn sie bei der Erstellung des Sitzungsprofils auf AUS gesetzt war.

    [NSHELP-33067]

  • Die Verschlüsselung oder Entschlüsselung des OTP-Geheimnisses schlägt möglicherweise bei Attributen mit mehreren Werten fehl.

    [NSHELP-31057]

Lastausgleich

  • Wenn ein NetScaler, der als ADNS-Server konfiguriert ist, eine Anfrage über das UDP- oder TCP-Protokoll empfängt, sendet er die Antwort auf der Grundlage der Konfiguration. Wenn jedoch mehrere Abfragen über dieselbe TCP- oder UDP-Sitzung gesendet werden, wird nur die Antwort auf die erste Anfrage korrekt gesendet. Die DNS-Richtlinie löst UNDEF für nachfolgende Abfragen auf derselben Verbindung aus.

    [NSLB-10103]

  • Der NetScaler stürzt möglicherweise ab, wenn die folgende Reihenfolge von Bedingungen erfüllt ist:

    1. GSLB-Dienste sind in der Reihenfolge ihrer Priorität an virtuelle GSLB-Server gebunden.
    2. Die GSLB-Lastausgleichsmethode für virtuelle Server entspricht der Backup-Lastenausgleichsmethode.
    3. Alle GSLB-Dienste sind vom virtuellen GSLB-Server getrennt.
    4. Der virtuelle GSLB-Server wurde entfernt.

    [NSHELP-34694]

  • Paketverluste treten in NetScaler aufgrund einer Verzögerung bei der Erfassung von Statistiken auf. Die Verzögerung wird verursacht, weil mehrere Dienstgruppen an dieselbe Dienst-IP-Adresse an verschiedenen Ports gebunden sind.

    [NSHELP-34171, NSCXLCM-319]

  • Der Befehl „show server name“ zeigt den Dienststatus als unbekannt an, obwohl der Dienst an den Server gebunden ist.

    [NSHELP-33668]

  • Der NetScaler stürzt möglicherweise ab und gibt den Kern aus, wenn eine große Anzahl von Autoscale-GSLB-Dienstgruppen konfiguriert ist.

    [NSHELP-33545]

  • Die NetScaler Appliance löst aufgrund einer falschen Berechnung der Serveranzahl eine falsche SNMP-Warnung für eine hohe Serververbindung aus.

    [NSHELP-31582]

NetScaler Gateway

  • Ein NetScaler mit aktiviertem ICA-Proxy auf NetScaler Gateway kann in einer Double-Hop-DMZ-Bereitstellung abstürzen.

    [NSHELP-33369]

  • Wenn in einer NetScaler-Clusterbereitstellung der Parameter ICA Only auf ON gesetzt ist, kann NetScaler Gateway Benutzersitzungen zeitweise nicht trennen, selbst wenn die Einstellung für das erzwungene Timeout aktiviert ist.

    [NSHELP-33014]

  • RDP-Lesezeichen, die für bestimmte Benutzer hinzugefügt wurden, werden für andere Benutzer angezeigt, die diese URLs nicht mit einem Lesezeichen versehen haben.

    [NSHELP-29904]

  • Beim Löschen der Konfigurationen mithilfe der GUI oder CLI stürzt eine NetScaler Appliance möglicherweise ab, wenn die mit Secure Token Authority (STA) verbundenen Entitäten gelöscht werden.

    [CGOP-23152]

NetScaler SDX-Appliance

  • In seltenen Fällen stürzt ein NetScaler SDX möglicherweise ab und ist aufgrund von Junk-Werten in einigen Feldern, z. B. der IP-Adresse, nicht erreichbar.

    [NSHELP-34925]

NetScaler Web App Firewall

  • Die NetScaler Appliance stürzt möglicherweise aufgrund ungültiger HTTP-Header-Informationen ab. Dieses Problem tritt auf, wenn die folgenden Bedingungen erfüllt sind:

    • Eine SQL/XSS-Verletzung tritt im Hauptteil der HTTP-Anfrage auf.
    • Die ausführliche Protokollierung ist auf „patternPayloadHeader“ eingestellt.

    [NSHELP-35297]

  • NetScaler meldet eine größere Anzahl von Web Application Firewall-Anforderungszählern als die Gesamtzahl der Anforderungszähler, da der Anforderungszähler für XML-Anfragen zweimal erhöht wird.

    [ NSHELP-34591 ]

  • In seltenen Fällen verbraucht NetScaler möglicherweise mehr Speicher, wenn das Post-Body-Limit auf einen höheren Wert gesetzt ist.

    [NSHELP-34507]

Netzwerke

  • Wenn Sie NetScaler CPX nach dem Speichern der Konfiguration neu starten, kann NetScaler CPX nicht gestartet werden.

    [NSNET-28691]

  • Die NetScaler Appliance verwirft möglicherweise die empfangenen Pakete aufgrund eines internen Timerproblems, um die veralteten temporären IPv6-Zuordnungen auf der Appliance zu bereinigen.

    [NSHELP-34607]

  • Bei der Konfiguration von BGP wird die VTYSH-Befehlszeile weder automatisch vervollständigt noch Befehlsvorschläge angezeigt, wenn Sie nach Eingabe des Redistribute-Befehls die Tabulatortaste drücken.

    [NSHELP-34332]

  • Im Layer-3-Modus mit aktivierter PMTU verwirft die NetScaler Appliance die ICMP-Pakete, die mit „Fragmentierung erforderlich, aber DF-Bit gesetzt“ für ESP-Verkehr gekennzeichnet sind, anstatt sie weiterzuleiten.

    [NSHELP-34318]

  • In einem großen NAT-Setup (LSN) stürzt die NetScaler Appliance möglicherweise aufgrund eines internen Problems bei der Verarbeitung von LSN-Warteschlangen ab.

    [NSHELP-33499]

Plattform

  • Die NetScaler Appliance stürzt ab, wenn VRID an einen LA-Kanal gebunden ist, für den keine Mitgliedsschnittstellen konfiguriert sind.

    [ NSPLAT-26707 ]

  • Wenn NetScaler VPX auf Azure Accelerated Networking verwendet, können die Single-Root-I/O-Virtualisierungsschnittstellen (SR-IOV) von Azure Accelerated Networking dynamisch getrennt und wieder verbunden werden, während NetScaler ausgeführt wird. Aufgrund des dynamischen NIC-Entfernens und erneuten Anfügens reagiert NetScaler in bestimmten Szenarien möglicherweise nicht.

    [NSHELP-34515, NSCXLCM-171, NSCXLCM-908]

  • Wenn Sie versuchen, eine NetScaler SDX-Appliance herunterzufahren, wird die Appliance neu gestartet, anstatt sie beim ersten Versuch herunterzufahren. Dieses Verhalten kann auftreten, wenn die Appliance einen Core-Dump generiert, während sie versucht, herunterzufahren.

    [NSHELP-33276, NSHELP-33192]

Richtlinien

  • In einem HA-Setup kann der REGEX_REPLACE-Ausdruck in eine Schleife geraten, wenn er mit der Option ALL und einer leeren Ersatzzeichenfolge konfiguriert ist, was zu einem Failover führt.

    [NSHELP-34640]

SSL

  • In einem Cluster-Setup können Sie einem internen SSL-Dienst kein Standard- oder benutzerdefiniertes Profil anhängen.

    [NSSSL-12763]

  • Die Validierung von quersignierten Zertifikaten schlägt fehl, wenn es eine lange Kette gibt und eines der Zwischenzertifikate in der Kette ein kreuzsigniertes Stammzertifikat ist.

    [NSHELP-34615]

  • Eine NetScaler-Appliance, die Intel Coleto- oder Intel Lewisburg-Chips enthält, kann während der Back-End-Neuverhandlungsphase abstürzen, wenn der Peer-Server eine andere Chiffre aushandelt als die, die er ursprünglich ausgehandelt hat.

    [NSHELP-34324]

  • Eine NetScaler-Appliance, die Intel Coleto- oder Intel Lewisburg-Chips enthält, kann abstürzen, wenn beim Schlüsselaustausch die DH 512-Chiffre verwendet wird.

    [ NSHELP-34094 ]

  • In einem Cluster-Setup, das nur benutzerdefinierte Verschlüsselungen enthält, die an interne Dienste gebunden sind, ist die DEFAULT-Verschlüsselungsgruppe auch an die internen Dienste gebunden, wenn Sie das Cluster-Setup von Version 13.0 auf Version 13.1 aktualisieren.

    [NSHELP-33883]

System

  • Das SYSLOG-Auditmodul einer NetScaler-Appliance stürzt möglicherweise ab und gibt mehrere Kerndateien aus, nachdem die Appliance auf einen Build nach dem 13.0—88.16-Build aktualisiert wurde.

    [NSHELP-33505]

  • Eine NetScaler-Appliance stürzt möglicherweise ab, wenn sie eine 1xx-HTTP-Antwort (z. B. „100 Continue“) von den Back-End-Servern empfängt, wenn in der AppQoE-Konfiguration der Parameter RetryOnTimeout konfiguriert ist.

    [NSHELP-33438]

  • Die Zeitstempel in Syslog-Meldungen sind während der Sommerzeit falsch.

    [NSHELP-30137]

Benutzeroberfläche

  • Sie können das HTTP-Profil nicht auswählen, während Sie einen virtuellen HTTP_QUIC-Server mit der GUI erstellen. Dieses Problem tritt auf, weil das HTTP-Profil für die Erstellung eines virtuellen HTTP_QUIC-Servers deaktiviert ist.

    [ NSUI-18816 ]

  • Auf der GUI können Sie keine erweiterte Authentifizierungsrichtlinie erstellen, die einer E-Mail-Aktion zugeordnet ist. Dies liegt daran, dass beim Erstellen der Authentifizierungsrichtlinie die Option E-Mail nicht in der Dropdownliste des Felds Aktionstyp aufgeführt ist.

    [NSHELP-35065]

  • In einem Cluster-Setup schlägt das Hinzufügen der Pattern-Set-Dateien mithilfe von CLI oder GUI fehl.

    [NSHELP-34996]

  • Eine Benutzeranmeldung an einer nicht standardmäßigen Partition kann fehlschlagen, wenn die GUI oder die NITRO-API verwendet wird.

    [NSHELP-34849]

  • Der HTTPD-Daemon stürzt möglicherweise ab, wenn er bei der Verarbeitung einer HTTP-GET-Anfrage für NITRO-API-Bulk-Bindungen auf eine Ausnahme stößt.

    [NSHELP-34399]

  • Die Sicherungs- und Wiederherstellungsfunktion einer NetScaler Appliance erstellt möglicherweise kein ordnungsgemäßes Backup der Appliance, wenn sie 6 oder mehr Admin-Partitionen enthält.

    [NSHELP-34370]

  • In der NetScaler-GUI können Sie keine Load-Balancing-Richtlinie an virtuelle Server vom Typ UDP und SSL binden, da diese Optionen auf der LB Policy Manager-Seite nicht unter Protokoll aufgeführt sind.

    [NSHELP-33724]

  • Der folgende Fehler wird auf der NetScaler-Benutzeroberfläche angezeigt, wenn ein großer Unterschied zwischen der gespeicherten und der laufenden Konfiguration besteht:

    „Fehler beim Abrufen der Konfiguration“

    [NSHELP-32752]

  • Wenn Sie die Admin-Partitionsfunktion auf NetScaler konfigurieren und kontinuierlich Konfigurationsbefehle innerhalb der sekundären Knotenpartition ausführen, schlägt das Speichern der Konfigurationen auf der sekundären Knotenpartition mithilfe des Befehls save ns config möglicherweise fehl.

    [NSHELP-31663]

  • Auf der NetScaler-GUI werden auf dem Konfigurationsbildschirm „Gespeicherte und laufende Konfiguration“ (System > Diagnose) fälschlicherweise HTML-Tags anstelle von Klartext angezeigt.

    [NSHELP-27169]

  • Das Hinzufügen eines Netzprofils für einen DTLS-Lastenausgleichsdienst schlägt möglicherweise fehl, wenn Sie die NetScaler-GUI verwenden.

    [NSHELP-23676]

Bekannte Probleme

Die Probleme, die in Version 13.1—48.47 bestehen.

Authentifizierung, Autorisierung und Prüfung

  • Die NetScaler Appliance stürzt möglicherweise ab, wenn der virtuelle Authentifizierungsserver in einer nicht standardmäßigen Partition verwendet wird.

    [NSHELP-32054, NSCXLCM-640]

  • Ein NetScaler stürzt ab, wenn die folgenden Bedingungen erfüllt sind:

    • Die 401-basierte Zertifikatsauthentifizierung erfolgt über einen virtuellen Lastausgleichsserver.
    • Es gibt keine Authentifizierungsrichtlinie, die an einen virtuellen Authentifizierungsserver gebunden ist.
    • Die Debug-Protokollierung ist aktiviert.

    [ NSAUTH-13259 ]

  • Administratoren können keine benutzerdefinierte Protokollierung für Authentifizierungsfehler durchführen, die auf ungültige Anmeldeinformationen zurückzuführen sind. Dieses Problem tritt auf, weil die NetScaler-Responder-Richtlinien Fehler bei Anmeldefehlern nicht erkennen.

    [ NSAUTH-11151 ]

  • Das ADFS-Proxyprofil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxyprofil wird fälschlicherweise leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven NetScaler im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Es würde den Status des Proxyprofils anzeigen.

    [ NSAUTH-5916 ]

  • Die Seite „Authentifizierungs-LDAP-Server konfigurieren“ auf der NetScaler-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

    • Die Option LDAP-Erreichbarkeit testen ist geöffnet.
    • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
    • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

    Problemumgehung: Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

    [ NSAUTH-2147 ]

Bot-Verwaltung

  • Die NetScaler Appliance stürzt möglicherweise ab, wenn die BOT-Richtlinie eine Protokollaktion mit komplexen Richtlinienregeln verwendet.

    [NSHELP-34999]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Abonnentensitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Das ist ein seltener Fall.

    [ NSLB-7679 ]

  • In seltenen Fällen kann es vorkommen, dass eine NetScaler-Appliance abstürzt und einen Core-Dump generiert, wenn die folgenden Bedingungen erfüllt sind:

    • Die TCP-basierte DNS-Monitorprobe wird zur Überwachung eines Back-End-Dienstes verwendet.
    • Der Appliance geht der Arbeitsspeicher aus.

    [NSHELP-35289]

  • Das ServiceGroupName-Format im Trap entityofsfür die Dienstgruppe lautet wie folgt: <service(group)name>?<ip/DBS>?<port>

    Im Trap-Format wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen („? „) wird als Separator verwendet. Der NetScaler sendet den Trap mit dem Fragezeichen (?). Das Format wird in der NetScaler ADM-GUI gleich angezeigt. Dies ist das erwartete Verhalten.

    [NSHELP-28080]

Sonstiges

  • Wenn eine erzwungene Synchronisation in einem Hochverfügbarkeits-Setup stattfindet, führt die Appliance den Befehl „set urlfiltering parameter“ auf dem sekundären Knoten aus.
    Daher überspringt der sekundäre Knoten jedes geplante Update bis zur nächsten geplanten Zeit, die im Parameter “TimeOfDayToUpdateDB” angegeben ist.

    [NSSWG-849]

  • Wenn sich ein Cluster-Setup im Leerlauf befindet, kann Node-to-Node-Messaging (NNM) eine Verzögerung von 20 Millisekunden für Ping-Pakete mit einer bestimmten sndbuf-Größe hinzufügen (Ping-Befehl mit Option -S).

    [NSHELP-34774]

  • Die AlwaysOnAllow-Listenregistrierung funktioniert nicht wie erwartet, wenn der Registrierungswert größer als 2000 Byte ist.

    [NSHELP-31836]

  • Eine NetScaler-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter für URL-Filterung auftritt.

    [NSHELP-22409]

NetScaler Gateway

  • Auf einem Mac-Gerät, das Chrome verwendet, stürzt die VPN-Erweiterung beim Zugriff auf zwei FQDNs ab.

    [NSHELP-32144]

  • Die benutzerdefinierte EPA-Fehlerprotokollmeldung wird nicht im NetScaler Gateway-Portal angezeigt. Stattdessen wird die Meldung „Interner Fehler“ angezeigt.

    [NSHELP-31434]

  • Manchmal funktioniert die automatische Windows-Anmeldung nicht, wenn sich ein Benutzer im Always-On-Dienstmodus am Windows-Computer anmeldet. Der Maschinentunnel geht nicht in den Benutzertunnel über und die Meldung „Verbindung wird hergestellt… „wird in der Benutzeroberfläche des VPN-Plug-ins angezeigt.

    [NSHELP-31357, CGOP-21192, NSCXLCM-612]

  • Benutzer können keine Verbindung zur NetScaler Gateway-Appliance herstellen, nachdem sie den Always-On-Profilparameter networkAccessOnVPNFailure von fullAccess in onlyToGateway geändert haben.

    [NSHELP-30236]

  • Das VPN-Plug-In richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

    • Das NetScaler Gateway-Gerät ist für die Always-On-Funktion konfiguriert
    • Die Appliance ist für die zertifikatsbasierte Authentifizierung konfiguriert, wobei die Zwei-Faktor-Authentifizierung ausgeschaltet ist

    [NSHELP-23584]

  • Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung „Eigenschaft ‘Typ’ von undefined kann nicht gelesen werden“ angezeigt.

    [NSHELP-21897]

  • In einem NetScaler-Cluster-Setup können HDX Insight und Gateway Insight nicht gleichzeitig aktiviert werden.

    [CGOP-23570]

  • Die Windows-Betriebssystemoption ist nicht in der Dropdownliste des Ausdruckseditors für Vorauthentifizierungsrichtlinien und Authentifizierungsaktionen auf der NetScaler-GUI aufgeführt. Wenn Sie den Windows-Betriebssystem-Scan jedoch bereits auf einem früheren NetScaler-Build mithilfe der GUI oder der CLI konfiguriert haben, hat das Upgrade keine Auswirkungen auf die Funktionalität. Sie können die CLI verwenden, um bei Bedarf Änderungen vorzunehmen.

    Workaround:

    Verwenden Sie die CLI-Befehle für die Konfiguration.

    • Verwenden Sie den folgenden Befehl, um die erweiterte EPA-Aktion in der nFactor-Authentifizierung zu konfigurieren.
      add authentication epaAction adv_win_scan -csecexpr "sys.client_expr("sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]")
    • Verwenden Sie die folgenden Befehle, um eine klassische Vorauthentifizierungsaktion zu konfigurieren.
      add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]') EXISTS" win_scan_action

    [CGOP-22966]

  • Wenn Sie die Funktion Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf NetScaler Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und in Version 12.1 nicht verfügbar sind.

    [CGOP-19355]

  • Der Gateway Insight-Bericht zeigt fälschlicherweise den Wert „Lokal“ statt „SAML“ im Feld Authentifizierungstyp für SAML-Fehler an.

    [CGOP-13584]

  • In einem Hochverfügbarkeitssetup wird während eines NetScaler-Failovers die SR-Anzahl anstelle der Failover-Anzahl in NetScaler ADM erhöht.

    [CGOP-13511]

  • Wenn die EDT Insight-Funktion aktiviert ist, können Audiokanäle manchmal aufgrund von Netzwerkdiskrepanzen ausfallen.

    [CGOP-13493]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die NetScaler-GUI hinzufügen oder bearbeiten.

    [CGOP-11830]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem schwerwiegenden Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [CGOP-7269]

Netzwerke

  • In einer NetScaler BLX-Appliance mit DPDK-Unterstützung werden markierte VLANs für DPDK Intel i350 NIC-Ports nicht unterstützt. Dies wird beobachtet, da es sich um ein bekanntes Problem mit dem DPDK-Treiber handelt.

    [NSNET-25299]

  • Eine NetScaler BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn alle der folgenden Bedingungen erfüllt sind:

    • Der NetScaler BLX-Appliance ist eine geringe Anzahl von “hugepages” zugewiesen. Zum Beispiel 1G.
    • Der NetScaler BLX-Appliance ist eine hohe Anzahl von Arbeitsprozessen zugewiesen. Zum Beispiel 28.

    Das Problem wird als Fehlermeldung in “/var/log/ns.log” protokolliert:

    • “BLX-DPDK:DPDK Mempool konnte nicht für PE-x initialisiert werden”

    Hinweis: x ist eine Zahl <= Anzahl der Worker-Prozesse.

    Workaround: Weisen Sie eine hohe Anzahl von “hugepages” zu und starten Sie die Appliance anschließend neu.

    [NSNET-25173]

  • Der Neustart einer NetScaler BLX-Appliance im DPDK-Modus kann aufgrund der DPDK-Easiness-Funktionalität etwas länger dauern.

    [NSNET-24449]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer NetScaler BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Aktivieren
    • Zurücksetzen

    [NSNET-16559]

  • Die Installation einer NetScaler BLX-Appliance kann auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehlschlagen:

    „Die folgenden Pakete haben unerfüllte Abhängigkeiten: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19), aber es ist nicht installierbar“

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine NetScaler BLX-Appliance installieren:

    • dpkg –add-architecture i386
    • apt-get aktualisieren
    • apt-get installiert libc6:i386

    [NSNET-14602]

  • In einigen Fällen von FTP-Datenverbindungen führt die NetScaler Appliance nur den NAT-Vorgang und keine TCP-Verarbeitung der Pakete für die TCP-MSS-Aushandlung durch. Infolgedessen ist die optimale Schnittstellen-MTU für die Verbindung nicht eingestellt. Diese falsche MTU-Einstellung führt zur Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

    [NSNET-5233]

  • Die NetScaler Appliance generiert nach einem Kaltstart möglicherweise keine „ColdStart“ -SNMP-Trap-Meldungen.

    [NSHELP-27917]

  • Wenn ein Speicherlimit für die Admin-Partition in der NetScaler Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

    [NSHELP-21082]

Plattform

  • Einige Python-Pakete werden nicht installiert, wenn Sie die NetScaler Appliance von Version 13.1-4.x und höheren Versionen auf eine der folgenden Versionen herunterstufen:

    • Beliebiger 11.1-Build
    • 12.1—62.21 und früher
    • 13.0-81.x und früher

    [NSPLAT-21691]

  • Wenn Sie eine Autoscale-Einstellung oder eine VM-Skalierungsgruppe aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der NetScaler-Instanz. Verwenden Sie den Befehl „rm cloudprofile“, um das Profil zu löschen.

    [ NSPLAT-4520 ]

  • In einem Hochverfügbarkeits-Setup in Azure wird bei der Anmeldung am sekundären Knoten über die GUI der FTU-Bildschirm (First Time User) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt.
    Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich am primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil sollte immer auf dem primären Knoten konfiguriert werden.

    [ NSPLAT-4451 ]

  • Wenn das sekundäre NetScaler SDX in einem HA-Setup mit einem gemeinsam genutzten CPU-Kern konfiguriert ist und HA-Heartbeats über VLAN ausgetauscht werden, versucht es erfolglos, zum primären Knoten zu wechseln.

    [NSHELP-32412]

Richtlinien

  • Verbindungen können hängen bleiben, wenn die Größe der verarbeiteten Daten die konfigurierte Standard-TCP-Puffergröße überschreitet.

    Workaround: Stellen Sie die TCP-Puffergröße auf die maximale Datengröße ein, die verarbeitet werden muss.

    [ NSPOLICY-1267 ]

SSL

  • Auf einem heterogenen Cluster von NetScaler SDX 22000- und NetScaler SDX 26000-Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten, z. B. für virtuelle Server, Dienste, Dienstgruppen und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application-Entitäten mit derselben Client-ID und demselben Client-Schlüssel erstellen. Die NetScaler Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL-Aktualisierung deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird auf einer Cluster-IP-Adresse fälschlicherweise als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird die falsche Warnmeldung „Warnung: Keine verwendbaren Chiffren konfiguriert auf dem SSL vserver/service“ angezeigt.

    [NSSSL-4001]

  • Ein abgelaufenes Sitzungsticket wird auf einem Nicht-CCO-Knoten und auf einem HA-Knoten nach einem HA-Failover berücksichtigt.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

  • TLS-Clients, die auf OpenSSL 3.x basieren, beenden einen Handshake vorzeitig, es sei denn, der Server bestätigt die Ankündigung des Clients, RFC 5746 (Renegotiation Indication Extension oder Secure Renegotiation) zu unterstützen. Virtuelle Front-End-Server ignorieren diese Ankündigung, wenn die Neuverhandlung deaktiviert ist, was zu Verbindungsfehlern führt. Mit diesem Fix bestätigen virtuelle Front-End-Server die Ankündigung jetzt auch dann, wenn die Neuverhandlung deaktiviert ist, wodurch die Kompatibilität verbessert wird.

    [NSHELP-35120]

System

  • Webseiten, die HTTP/2 verwenden, werden möglicherweise nicht vollständig geladen, wenn ein HTTP/2-Stream, der die CONNECT-HTTP-Anforderungsmethode verwendet, beendet wird.

    [NSHELP-36407, NSBASE-17449]

  • Der NetScaler kann abstürzen, wenn alle folgenden Bedingungen erfüllt sind:
    • Ereignisse, Auditprotokolle oder Metriken sind im Analyseprofil oder in den AppFlow-Parametern aktiviert.
    • Eine Richtlinie zum Umschreiben auf der Antwortseite ist konfiguriert.

    [ NSHELP-35550 ]

  • Ein NetScaler mit konfigurierter Multifaktor-Authentifizierung stürzt während einer Richtlinienbewertung ab.

    [ NSHELP-33674 ]

  • Die mit einem SSL-Dienst konfigurierte NetScaler-Appliance stürzt ab, wenn die Appliance ein TCP-FIN-Steuerpaket gefolgt von einem TCP-RESET-Steuerpaket empfängt.

    [ NSHELP-31656 ]

  • Ein hoher RTT-Wert wird für eine TCP-Verbindung beobachtet, wenn die folgende Bedingung erfüllt ist:

    • ein hohes maximales Überlastungsfenster (>4 MB) ist eingestellt
    • Der TCP-NILE-Algorithmus ist aktiviert

    Damit eine NetScaler-Appliance den NILE-Algorithmus zur Überlastungskontrolle verwenden kann, müssen die Bedingungen den Schwellenwert für langsamen Start überschreiten, der mit dem maximalen Überlastungsfenster verknüpft ist.

    Bis das maximal konfigurierte Überlastungsfenster erreicht ist, akzeptiert NetScaler also weiterhin Daten und hat am Ende eine hohe RTT.

    [NSHELP-31548]

  • Die mptcp_cur_session_without_subflow-Zähler dekrementieren fälschlicherweise auf einen negativen Wert statt auf Null.

    [NSBASE - 18295]

  • Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

    [NSBASE-8506]

Benutzeroberfläche

  • In der NetScaler-GUI ist der Link „Hilfe“ auf der Registerkarte „Dashboard“ defekt.

    [NSUI-14752]

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht mehr oder kann keinen CloudBridge-Connector konfigurieren.

    Workaround: Konfigurieren Sie CloudBridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der NetScaler-GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Wenn Sie einen ECDSA-Schlüssel mit der GUI erstellen, wird der Kurventyp nicht angezeigt.

    [NSUI-6838]

  • In einem Hochverfügbarkeits-Setup von NetScaler BLX-Appliances reagiert der primäre Knoten möglicherweise nicht mehr und blockiert CLI- oder API-Anfragen.

    Problemumgehung: Starten Sie den Primärknoten neu.

    [NSCONFIG-6601]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer NetScaler Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der herabgestuften NetScaler Appliance anmelden.

    1. Aktualisieren Sie die NetScaler Appliance auf einen der Builds
      • 13.0 52.24 bauen
      • 12.1 57.18 gebaut
      • Version 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Passwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration, und
    3. Führen Sie ein Downgrade der NetScaler Appliance auf einen beliebigen älteren Build durch.

    Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie
    in der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Umgehung: Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die NetScaler Appliance noch nicht herabgestuft wurde (Schritt 3 in den oben genannten Schritten), führen Sie ein Downgrade der NetScaler Appliance mithilfe einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds durch.
    • Jeder Systemadministrator, dessen Passwort auf dem aktualisierten Build nicht geändert wurde, kann sich bei dem heruntergestuften Build anmelden und die Passwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter So setzen Sie das Root-Administratorkennwort (nsroot) zurück.

    [NSCONFIG-3188]

Versionshinweise für NetScaler 13.1—48.47
March 17, 2024
Beitrag von: 
C
March 17, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.