-
Notas de la versión de NetScaler
-
Compilación 17.42
-
-
Implementar una instancia de NetScaler VPX
-
Optimice el rendimiento de NetScaler VPX en VMware ESX, Linux KVM y Citrix Hypervisors
-
Mejore el rendimiento de SSL-TPS en plataformas de nube pública
-
Configurar subprocesos múltiples simultáneos para NetScaler VPX en nubes públicas
-
Instalar una instancia de NetScaler VPX en un servidor desnudo
-
Instalar una instancia de NetScaler VPX en Citrix Hypervisor
-
Instalación de una instancia NetScaler VPX en la nube de VMware en AWS
-
Instalación de una instancia NetScaler VPX en servidores Microsoft Hyper-V
-
Instalar una instancia de NetScaler VPX en la plataforma Linux-KVM
-
Requisitos previos para instalar dispositivos virtuales NetScaler VPX en la plataforma Linux-KVM
-
Aprovisionamiento del dispositivo virtual NetScaler mediante OpenStack
-
Aprovisionamiento del dispositivo virtual NetScaler mediante Virtual Machine Manager
-
Configuración de dispositivos virtuales NetScaler para que usen la interfaz de red SR-IOV
-
Configuración de dispositivos virtuales NetScaler para que usen la interfaz de red PCI Passthrough
-
Aprovisionamiento del dispositivo virtual NetScaler mediante el programa virsh
-
Administración de las máquinas virtuales invitadas de NetScaler
-
Aprovisionamiento del dispositivo virtual NetScaler con SR-IOV en OpenStack
-
-
Implementar una instancia de NetScaler VPX en AWS
-
Configurar las funciones de IAM de AWS en la instancia de NetScaler VPX
-
Implementación de una instancia independiente NetScaler VPX en AWS
-
Servidores de equilibrio de carga en diferentes zonas de disponibilidad
-
Implementar un par de alta disponibilidad de VPX en la misma zona de disponibilidad de AWS
-
Alta disponibilidad en diferentes zonas de disponibilidad de AWS
-
Implementar un par de alta disponibilidad VPX con direcciones IP privadas en distintas zonas de AWS
-
Implementación de una instancia NetScaler VPX en AWS Outposts
-
Proteja AWS API Gateway mediante el firewall de aplicaciones web de Citrix
-
Configurar una instancia de NetScaler VPX para utilizar la interfaz de red SR-IOV
-
Configurar una instancia de NetScaler VPX para utilizar redes mejoradas con AWS ENA
-
Implementar una instancia de NetScaler VPX en Microsoft Azure
-
Arquitectura de red para instancias NetScaler VPX en Microsoft Azure
-
Configuración de varias direcciones IP para una instancia independiente NetScaler VPX
-
Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC
-
Configurar una instancia de NetScaler VPX para usar redes aceleradas de Azure
-
Configure los nodos HA-INC mediante la plantilla de alta disponibilidad de NetScaler con Azure ILB
-
Instalación de una instancia NetScaler VPX en la solución Azure VMware
-
Configurar una instancia independiente de NetScaler VPX en la solución Azure VMware
-
Configurar una instalación de alta disponibilidad de NetScaler VPX en la solución Azure VMware
-
Configurar el servidor de rutas de Azure con un par de alta disponibilidad de NetScaler VPX
-
Configurar GSLB en una configuración de alta disponibilidad activa en espera
-
Configuración de grupos de direcciones (IIP) para un dispositivo NetScaler Gateway
-
Scripts de PowerShell adicionales para la implementación de Azure
-
Implementación de una instancia NetScaler VPX en Google Cloud Platform
-
Implementar un par de VPX de alta disponibilidad en Google Cloud Platform
-
Implementar un par de alta disponibilidad VPX con direcciones IP privadas en Google Cloud Platform
-
Instalar una instancia de NetScaler VPX en VMware Engine de Google Cloud
-
Compatibilidad con escalado VIP para la instancia NetScaler VPX en GCP
-
-
Automatizar la implementación y las configuraciones de NetScaler
-
Actualización y degradación de un dispositivo NetScaler
-
Consideraciones de actualización para configuraciones con directivas clásicas
-
Consideraciones sobre la actualización de archivos de configuración personalizados
-
Consideraciones sobre la actualización: Configuración de SNMP
-
Compatibilidad con actualización de software en servicio para alta disponibilidad
-
Soluciones para proveedores de servicios de telecomunicaciones
-
Equilibrio de carga del tráfico de plano de control basado en protocolos de diámetro, SIP y SMPP
-
Utilización del ancho de banda mediante la funcionalidad de redirección de caché
-
-
Autenticación, autorización y auditoría del tráfico de aplicaciones
-
Cómo funciona la autenticación, la autorización y la auditoría
-
Componentes básicos de la configuración de autenticación, autorización y auditoría
-
Autorización del acceso de los usuarios a los recursos de aplicaciones
-
NetScaler como proxy del servicio de federación de Active Directory
-
NetScaler Gateway local como proveedor de identidad de Citrix Cloud
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
Configuración de autenticación, autorización y auditoría para protocolos de uso común
-
Solución de problemas relacionados con la autenticación y la autorización
-
-
-
-
Configuración de la expresión de directiva avanzada: Introducción
-
Expresiones de directivas avanzadas: trabajo con fechas, horas y números
-
Expresiones de directivas avanzadas: análisis de datos HTTP, TCP y UDP
-
Expresiones de directivas avanzadas: análisis de certificados SSL
-
Expresiones de directivas avanzadas: direcciones IP y MAC, rendimiento, ID de VLAN
-
Expresiones de directivas avanzadas: funciones de Stream Analytics
-
Ejemplos de tutoriales de directivas avanzadas para reescritura
-
-
-
Protecciones de nivel superior
-
Protección basada en gramática SQL para cargas útiles HTML y JSON
-
Protección basada en gramática por inyección de comandos para carga útil HTML
-
Reglas de relajación y denegación para gestionar ataques de inyección HTML SQL
-
Compatibilidad con palabras clave personalizadas para la carga útil HTML
-
Compatibilidad con firewall de aplicaciones para Google Web Toolkit
-
Comprobaciones de protección XML
-
-
-
Administrar un servidor virtual de redirección de caché
-
Ver estadísticas del servidor virtual de redirección de caché
-
Habilitar o inhabilitar un servidor virtual de redirección de caché
-
Resultados directos de directivas a la caché en lugar del origen
-
Realizar una copia de seguridad de un servidor virtual de redirección de caché
-
Habilitar la comprobación de estado TCP externa para servidores virtuales UDP
-
-
Traducir la dirección IP de destino de una solicitud a la dirección IP de origen
-
-
Descripción general del cluster
-
Administración del clúster de NetScaler
-
Grupos de nodos para configuraciones detectadas y parcialmente rayadas
-
Desactivación de la dirección en el plano posterior del clúster
-
Eliminar un nodo de un clúster implementado mediante la agregación de vínculos de clúster
-
Supervisión de la configuración del clúster mediante SNMP MIB con enlace SNMP
-
Supervisión de los errores de propagación de comandos en una implementación de clúster
-
Compatibilidad con logotipos preparados para IPv6 para clústeres
-
Enlace de interfaz VRRP en un clúster activo de un solo nodo
-
Casos de configuración y uso de clústeres
-
Migración de una configuración de HA a una configuración de clúster
-
Interfaces comunes para cliente y servidor e interfaces dedicadas para backplane
-
Conmutador común para cliente y servidor y conmutador dedicado para placa posterior
-
Supervisar servicios en un clúster mediante la supervisión de rutas
-
-
Configurar NetScaler como un solucionador de stubs con reconocimiento de seguridad no validante
-
Compatibilidad con tramas gigantes para DNS para gestionar respuestas de grandes tamaños
-
Configurar el almacenamiento en caché negativo de los registros DNS
-
-
Estado de servicio y servidor virtual de equilibrio de carga
-
Insertar atributos de cookie a las cookies generadas por ADC
-
Proteja una configuración de equilibrio de carga contra fallos
-
Administrar el tráfico de clientes
-
Configurar servidores virtuales de equilibrio de carga sin sesión
-
Reescritura de puertos y protocolos para la redirección HTTP
-
Insertar la dirección IP y el puerto de un servidor virtual en el encabezado de solicitud
-
Utilizar una IP de origen especificada para la comunicación de back-end
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Gestionar el tráfico de clientes en función de la velocidad de tráfico
-
Utilizar un puerto de origen de un rango de puertos especificado para la comunicación de back-end
-
Configurar la persistencia IP de origen para la comunicación back-end
-
-
Configuración avanzada de equilibrio de carga
-
Aumenta gradualmente la carga en un nuevo servicio con un inicio lento a nivel de servidor virtual
-
Proteger aplicaciones en servidores protegidos contra los picos de tráfico
-
Habilitar la limpieza de las conexiones de servicios y servidores virtuales
-
Habilitar o inhabilitar la sesión de persistencia en los servicios TROFS
-
Habilitar la comprobación de estado TCP externa para servidores virtuales UDP
-
Mantener la conexión de cliente para varias solicitudes de cliente
-
Insertar la dirección IP del cliente en el encabezado de solicitud
-
Utilizar la dirección IP de origen del cliente al conectarse al servidor
-
Configurar el puerto de origen para las conexiones del lado del servidor
-
Establecer un límite en el número de solicitudes por conexión al servidor
-
Establecer un valor de umbral para los monitores enlazados a un servicio
-
Establecer un valor de tiempo de espera para las conexiones de clientes inactivas
-
Establecer un valor de tiempo de espera para las conexiones de servidor inactivas
-
Establecer un límite en el uso del ancho de banda por parte de los clientes
-
Conservar el identificador de VLAN para la transparencia de VLAN
-
-
Configurar monitores en una configuración de equilibrio de carga
-
Configurar el equilibrio de carga para los protocolos de uso común
-
Caso de uso 3: Configurar el equilibrio de carga en modo de Direct Server Return
-
Caso de uso 6: Configurar el equilibrio de carga en modo DSR para redes IPv6 mediante el campo TOS
-
Caso de uso 7: Configurar el equilibrio de carga en modo DSR mediante IP sobre IP
-
Caso de uso 8: Configurar el equilibrio de carga en modo de un brazo
-
Caso de uso 9: Configurar el equilibrio de carga en modo en línea
-
Caso de uso 10: Equilibrio de carga de los servidores del sistema de detección de intrusiones
-
Caso de uso 11: Aislamiento del tráfico de red mediante directivas de escucha
-
Caso de uso 12: Configurar Citrix Virtual Desktops para el equilibrio de carga
-
Caso de uso 13: Configurar Citrix Virtual Apps and Desktops para equilibrar la carga
-
Caso de uso 14: Asistente de ShareFile para equilibrar la carga Citrix ShareFile
-
Caso práctico 15: Configurar el equilibrio de carga de capa 4 en el dispositivo NetScaler
-
-
Configurar para obtener el tráfico de datos NetScaler FreeBSD desde una dirección SNIP
-
-
Compatibilidad con protocolos TLSv1.3 tal como se define en RFC 8446
-
Matriz de compatibilidad de certificados de servidor en el dispositivo ADC
-
Compatibilidad con plataformas basadas en chip SSL Intel Coleto
-
Compatibilidad con el módulo de seguridad de hardware Thales Luna Network
-
-
-
-
Configuración de un túnel de CloudBridge Connector entre dos centros de datos
-
Configuración de CloudBridge Connector entre el centro de datos y la nube de AWS
-
Configuración de un túnel de CloudBridge Connector entre un centro de datos y Azure Cloud
-
Configuración del túnel CloudBridge Connector entre Datacenter y SoftLayer Enterprise Cloud
-
Diagnóstico y solución de problemas de túnel CloudBridge Connector
-
-
Puntos a tener en cuenta para una configuración de alta disponibilidad
-
Sincronizar archivos de configuración en una configuración de alta disponibilidad
-
Restricción del tráfico de sincronización de alta disponibilidad a una VLAN
-
Configuración de nodos de alta disponibilidad en distintas subredes
-
Limitación de las conmutaciones por error causadas por monitores de ruta en modo no INC
-
Configuración del conjunto de interfaces de conmutación por error
-
Administración de mensajes de latido de alta disponibilidad en un dispositivo NetScaler
-
Quitar y reemplazar un NetScaler en una configuración de alta disponibilidad
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Notas de la versión de NetScaler 13.1-17.42
Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen para la versión de NetScaler, compilación 13.1-17.42.
Notas
Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad.
Novedades
Las mejoras y los cambios que están disponibles en las compilaciones 13.1-17.42.
Administración de bots
Compatibilidad con direccionamiento IPv6
La administración de bots de NetScaler ahora admite el direccionamiento del protocolo de Internet versión 6 (IPv6) para las técnicas de detección de bots.
[ NSBOT-690 ]
NetScaler Gateway
Propagación de bits DF para EDT en NetScaler Gateway
El dispositivo NetScaler Gateway ahora admite la aplicación de bits DF para la función EDT Path Maximum Transmission Unit Discovery (PMTUD). La función de descubrimiento de MTU de ruta ayuda a determinar dinámicamente la unidad de transmisión máxima (MTU) al establecer una sesión de EDT. La aplicación de bits DF evita la fragmentación de EDT que puede provocar una degradación del rendimiento o la imposibilidad de establecer una sesión.
En versiones anteriores, NetScaler Gateway admitía MTUD de ruta EDT, pero no admitía la aplicación de bits DF.
[ CGOP-18438 ]
Web App Firewall NetScaler
Soporte mejorado para el aprendizaje de múltiples infracciones de scripts de sitios (XSS)
El proceso de aprendizaje de NetScaler Web App Firewall ahora se ha mejorado para reducir los falsos positivos en los ataques de scripts de sitios.
Con el aprendizaje habilitado, puede aprender todas las infracciones en una solicitud y, potencialmente, aplicar relajación a todas las etiquetas/atributos/patrones a la vez. Anteriormente, solo podía denunciar una infracción a la vez y debía repetir el proceso para varias infracciones.
Por ejemplo, si hay 15 etiquetas personalizadas en una carga útil, cada una de las cuales resulta en una infracción, puede aplicar una relajación para la primera infracción y ejecutar la solicitud para marcar otra etiqueta personalizada como infracción. El proceso debe repetirse para aplicar una relajación a todas las etiquetas personalizadas una por una.
[ NSWAF-7545 ]
Equilibrio de carga
Opción para habilitar o inhabilitar miembros del grupo de servicios LB y GSLB Autoscale
Ahora puede habilitar o inhabilitar directamente miembros específicos de un grupo de servicios de Autoscale LB o GSLB (basado en DNS). Por lo tanto, la administración de un grupo de servicios de Autoscale LB o GSLB (basado en DNS) ahora es más fácil.
Anteriormente, tenía que habilitar o inhabilitar todo un grupo de servicios LB o GSLB Autoscale para habilitar o inhabilitar a un miembro individual. Solo los grupos de servicios que no son de escalabilidad automática tenían la opción de habilitar o inhabilitar a un miembro individual.
[ NSLB-8109 ]
Redes
Mejoras en las estadísticas de ISSU
Las dos mejoras siguientes se agregan a las estadísticas de ISSU:
- Se ha agregado una opción
dumpsession
(Dump Session
) a la operaciónshow migration
para mostrar la lista de conexiones existentes que el nodo principal anterior está sirviendo actualmente. La operación show migration con la opcióndumpsession
debe ejecutarse solo en el nuevo nodo principal. - La operación show migration (sin ninguna opción) ahora muestra la siguiente información adicional relacionada con la operación de migración ISSU:
- Número total de conexiones que se procesan como parte de la operación de migración de ISSU
- Número de conexiones restantes que se están procesando como parte de la operación de migración de ISSU
Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13-1/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.
[ NSNET-23577 ]
Supervisar el uso de puertos en un dispositivo NetScaler para conexiones back-end mediante SNMP
Puede usar la alarma SNMP PORT-ALLOC-EXCEED
para supervisar el uso de puertos en un dispositivo NetScaler para conexiones back-end.
PORT-ALLOC-EXCEED
La alarma SNMP incluye los normal-threshold
parámetros high-threshold
y, que especifican el total de puertos asignados a las direcciones IP propiedad de NetScaler como porcentajes. Por ejemplo, si el parámetro high-threshold
se establece en 90, el dispositivo NetScaler genera y envía mensajes de captura cuando ocurre el siguiente evento:
- cuando el porcentaje de asignación de puertos supera el 90 por ciento en cualquiera de las direcciones IP propiedad de NetScaler para las conexiones back-end
Las alertas SNMP le ayudan a decidir si necesita más direcciones IP propiedad de NetScaler si los puertos libres disponibles están a punto de agotarse.
[ NSNET-21719 ]
Compatibilidad con el protocolo GENEVE
Un dispositivo NetScaler ahora admite el protocolo Generic Network Virtualization Encapsulation (GENEVE) como se define en RFC 8926.
La virtualización de servidores y la arquitectura de computación en la nube han aumentado la demanda de redes de capa 2 aisladas en un centro de datos. El límite de VLAN de 4094 ha demostrado ser inadecuado y se introdujeron protocolos de encapsulación como VXLAN y NVGRE para superar esta limitación.
Estos protocolos difieren principalmente en la implementación del plano de control. El protocolo GENEVE no define las especificaciones para el plano de control. El protocolo deja que la implementación defina las especificaciones del plano de control.
El protocolo GENEVE es una tecnología de encapsulación que tiene como objetivo crear redes superpuestas de capa 2 sobre la infraestructura de capa 3 mediante la encapsulación de tramas de capa 2 en paquetes UDP. Cada VLAN se identifica mediante un identificador único de 24 bits denominado VNID. Solo dentro del mismo ID de segmento (VNID) pueden comunicarse entre sí.
Un dispositivo NetScaler admite la encapsulación GENEVE en el puerto UDP 6081.
[ NSNET-21717 ]
Configure el acceso SSH al host de Linux que ejecuta un dispositivo NetScaler BLX en modo dedicado
De forma predeterminada, el acceso SSH a un host Linux que ejecuta el dispositivo NetScaler BLX en modo dedicado no se puede realizar a través de las interfaces dedicadas del dispositivo.
Puede configurar el acceso SSH al host Linux a través de las interfaces dedicadas del dispositivo NetScaler BLX. Esta función es útil en un host Linux de interfaz única que ejecuta un dispositivo NetScaler BLX en modo dedicado.
Puede configurar el acceso SSH directo al host Linux en cualquiera de los siguientes tipos:
- Proporcione acceso SSH en el puerto 9022 de NetScaler IP (NSIP) del dispositivo NetScaler BLX. -
<NetScaler IP address (NSIP)>:9022
- Defina una nueva dirección IP en la subred de NetScaler IP (NSIP) y proporcione acceso SSH en el puerto 22. -
<new IP address on the NetScaler IP address (NSIP) subnet>:22
Además, se puede acceder a todos los demás puertos del host Linux mediante la nueva dirección IP. Por ejemplo, ahora se puede acceder a un servidorrsyslog
que se ejecuta en el host Linux en el puerto 514/UDP en el puerto 514 de la nueva dirección IP.
[ NSNET-21586 ]
Implementación simplificada de un dispositivo NetScaler BLX con puertos DPDK
El procedimiento para implementar un dispositivo NetScaler BLX con puertos DPDK se ha simplificado con las siguientes mejoras:
- El dispositivo NetScaler BLX ahora usa bibliotecas compiladas con la versión 20.11.1 de DPDK. El dispositivo carga automáticamente el módulo kernel VFIO de DPDK en el host Linux.
- El parámetro
dpdk-config
se ha eliminado del archivo de configuración (blx.conf
) de NetScaler BLX. El parámetroworker-processes
existente ahora también se aplica al dispositivo NetScaler BLX con puertos DPDK.worker-processes
especifica la cantidad de motores de paquetes para un dispositivo NetScaler BLX. En otras palabras, ahoraworker-processes
es un parámetro común para el dispositivo NetScaler BLX, independientemente de su modo (compartido, dedicado o DPDK). Siworker-process
no está configurado, el dispositivo NetScaler BLX está configurado con 1 motor de paquetes de forma predeterminada. - El parámetro
interfaces
ahora especifica los puertos NIC compatibles con DPDK además de los puertos NIC que no son DPDK. El dispositivo NetScaler BLX detecta automáticamente los puertos NIC compatibles con DPDK (si los hay) de la lista de puertos especificados en el parámetrointerfaces
. A continuación, el dispositivo vincula los puertos NIC compatibles con DPDK detectados al módulo VFIO DPDK en el host Linux. Después de iniciar el dispositivo NetScaler BLX, los puertos NIC DPDK y no DPDK se agregan automáticamente como parte del dispositivo. - El parámetro
dpdk-non-uio-intf
, que especifica los puertos NIC de Mellanox enlazados a DPDK, se ha eliminado del archivo de configuración (blx.conf
) de NetScaler BLX. El parámetrointerfaces
ahora especifica los puertos NIC Mellanox que se utilizarán como puertos DPDK en el dispositivo NetScaler BLX. Antes de especificar los puertos NIC Mellanox para el dispositivo NetScaler BLX, las bibliotecas DPDK OFED de Mellanox y los módulos del kernel deben instalarse en el host Linux. El dispositivo NetScaler BLX detecta automáticamente los puertos NIC Mellanox especificados y los inicializa en modo DPDK. Después de iniciar el dispositivo NetScaler BLX, los puertos NIC Mellanox enlazados a DPDK se agregan como parte del dispositivo. - Se ha introducido un nuevo parámetro
total-hugepage-mem
en el archivo de configuración (blx.conf
) de NetScaler BLX para configurarhugepages
para DPDK en el host Linux. El parámetrototal-hugepage-mem
especifica el tamaño dehugepages
en MB o GB (por ejemplo, 1024 MB y 2 GB). - Al actualizar un dispositivo NetScaler BLX con puertos DPDK, el módulo de actualización convierte automáticamente las configuraciones existentes al nuevo formato en el archivo de configuración (
blx.conf
) de NetScaler BLX.
[ NSNET-20524 ]
Supervisar los puertos libres disponibles en un dispositivo NetScaler para una nueva conexión back-end
Para la comunicación con los servidores físicos u otros dispositivos del mismo nivel, el dispositivo NetScaler utiliza una dirección IP propiedad de Citrix como dirección IP de origen. El dispositivo NetScaler mantiene un conjunto de sus direcciones IP y selecciona dinámicamente una dirección IP mientras se conecta con un servidor. En función de la subred en la que se coloque el servidor físico, el dispositivo decide qué dirección IP se va a utilizar. Este grupo de direcciones se utiliza para enviar sondeos de tráfico y monitorizar.
Puede mostrar el número total de puertos libres disponibles en las direcciones IP propiedad de NetScaler para una nueva conexión back-end. Esta información le ayuda a decidir si necesita más direcciones IP propiedad de NetScaler si los puertos libres disponibles están a punto de agotarse.
Puede proporcionar la siguiente información para que el dispositivo NetScaler calcule la cantidad total de puertos libres disponibles para una nueva conexión back-end:
- Dirección IP propiedad de Citrix (opcional)
- Dirección IP de destino
- Puerto de destino
- Protocolo TCP o no TCP
[ NSNET-20410 ]
Plataforma
Soporte para configuraciones de NetScaler VPX en el primer arranque del dispositivo NetScaler en el hipervisor KVM
Ahora puede aplicar las configuraciones de NetScaler VPX durante el primer arranque del dispositivo NetScaler en el hipervisor KVM. Por lo tanto, la configuración de un cliente en una instancia VPX se puede configurar en mucho menos tiempo.
[ NSPLAT-21571 ]
Excluir la carpeta nstrace de las particiones administrativas de NetScaler durante la operación de copia
En un dispositivo NetScaler con particiones de administración, se excluye la operación de copia de seguridad de la carpeta nstrace. Esto reduce el tamaño general de la copia de seguridad de NetScaler sin perder datos importantes.
[ NSPLAT-21433 ]
Directivas
Compatibilidad con la notación de subred CIDR en direcciones IPv4 e IPv6 para el conjunto de datos de directivas
Los conjuntos de datos de directivas para direcciones IPv4 e IPv6 ahora permiten que el valor enlazado sea subredes mediante la notación CIDR (por ejemplo, a.b.c.d/n). La notación CIDR especifica la dirección y el rango de la subred. Anteriormente, no había ninguna opción para agregar subredes en los conjuntos de datos de directivas.
Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13-1/appexpert/pattern-sets-data-seta/configuring-data-sets.html
[ NSPOLICY-3828 ]
SSL
Inhabilitar los protocolos no seguros en los servicios SSL front-end en un dispositivo NetScaler
Los análisis de seguridad estándar pueden desencadenar una alerta de protocolos no seguros en los servicios SSL front-end creados de forma predeterminada cuando se inicia un dispositivo NetScaler. Para evitar este tipo de alertas, estos protocolos ahora están inhabilitados de forma predeterminada en los servicios SSL front-end cuando se inician los dispositivos. Algunos ejemplos de protocolos no seguros son SSLv3, TLv1 y TLSv1.1.
Cuando se habilita el perfil SSL predeterminado, se crea un nuevo perfil SSL en el que se inhabilitan estos protocolos. Este nuevo perfil está vinculado a los servicios SSL front-end (ns_default_ssl_profile_internal_frontend_service). Este perfil se puede modificar.
[ NSSSL-9985 ]
Compatibilidad con certificados firmados mediante los algoritmos RSASSA-PSS
Todas las plataformas NetScaler ahora admiten certificados firmados con los algoritmos RSASSA-PSS. Estos algoritmos se admiten en la validación de rutas de certificados X.509.
[ NSSSL-9289 ]
Problemas resueltos
Los problemas que se abordan en la compilación 13.1-17.42.
Autenticación, autorización y auditoría
El dispositivo NetScaler se bloquea si la URL de ADFSPIP se establece en tipo http://
. ADFSPIP solo admite tipos de URL https://
.
[ NSHELP-29838 ]
El dispositivo NetScaler puede bloquearse durante un flujo de IdP SAML, si hay un retraso significativo en el procesamiento de la solicitud.
[ NSHELP-29789 ]
No se pueden reescribir directivas para dispositivos de punto final como /logon/LogonPoint/Resources/List and /cgi/Resources/List
.
[ NSHELP-29488 ]
En casos excepcionales, el dispositivo NetScaler puede bloquearse debido a una posición de registro incorrecta.
[ NSHELP-29267 ]
Un dispositivo NetScaler configurado para autenticarse mediante el proveedor de servicios OAuth no se puede configurar con `client-secrete_post` para autenticarse con IDP tokenEndPoint.
Con esta corrección, el método de autenticación client_secret_basic
se agrega a la función de proveedor de servicios OAuth de ADC cuando se comunica con el extremo de token del IDP.
[ NSHELP-28945 ]
Es posible que un dispositivo NetScaler no responda cuando la autenticación SAML esté en curso y se utilicen certificados X.509 de un tamaño de 1800 bytes o más en la autenticación SAML.
[ NSHELP-28608 ]
La expresión Authentication, authorization and auditing.user.attribute puede dar un valor vacío en el dispositivo NetScaler de varios núcleos cuando la contraseña del usuario se cambia al expirar.
[ NSHELP-28419 ]
El dispositivo NetScaler, cuando se configura como una parte de confianza de OAuth, no agrega la información del campo “correo electrónico” y “nombre de usuario” extraída del token de ID al atributo hash de la sesión de autenticación, autorización y auditoría.
[ NSHELP-28262 ]
Cuando se configuran los metadatos SAML, se observa una pérdida de memoria con los certificados SSL.
[ NSHELP-27846 ]
Cuando un usuario realiza un cierre de sesión de SAML, el cierre de sesión no se produce de inmediato y se muestra el siguiente mensaje de error:
Unsupported mechanisms found in Assertion; Please contact your administrator.
Este error se observa porque el IDP que configuró el cliente utiliza una técnica de codificación de URL diferente para codificar el parámetro del algoritmo de firma en la respuesta. Esta corrección ahora admite la codificación del parámetro del algoritmo de firma en una respuesta SAML mediante varias técnicas de codificación de URL.
[ NSHELP-27621 ]
A veces, si se configura nFactor, se registra una dirección IP incorrecta en el mensaje de cierre de sesión.
[ NSHELP-26692 ]
El dispositivo NetScaler se bloquea si se cumplen las dos condiciones siguientes.
- La OTP de correo electrónico está configurada
- El servidor de correo electrónico no responde o hay un problema de red con el servidor de correo electrónico
[ NSHELP-26137 ]
En una configuración de alta disponibilidad, el dispositivo NetScaler se bloquea cuando se inicia una sincronización forzada.
[ NSAUTH-11876 ]
Intune NAC v2 no es compatible con Android 11 y versiones posteriores.
[ NSAUTH-11872 ]
Los administradores no pueden usar la herramienta de conectividad LDAP o RADIUS si la contraseña contiene un cierto carácter especial o si los argumentos contienen un espacio.
[ NSAUTH-11322 ]
Administración de bots
Cuando el desafío de CAPTCHA está en curso, la administración de bots de NetScaler no respeta el valor configurado establecido por el usuario para los reintentos de CAPTCHA.
[ NSBOT-801 ]
Call Home
El registro de CallHome puede fallar para los dispositivos NetScaler MPX que utilizan licencias agrupadas. El registro no se realiza correctamente porque CallHome utiliza un número de serie incorrecto para registrar los dispositivos en el servidor de soporte de NetScaler.
[ NSHELP-28667 ]
Dispositivo NetScaler SDX
Cuando restaura un dispositivo NetScaler SDX desde la copia de seguridad, la cadena de comandos de la CLI no se restaura.
[ NSHELP-30238 ]
En un dispositivo NetScaler SDX 115xx, la restauración de una VPX asignada con una gran cantidad de núcleos de CPU (de 3 a 5 núcleos) puede fallar si la copia de seguridad del dispositivo contiene tres o más instancias.
[ NSHELP-30135 ]
En un dispositivo NetScaler SDX, el valor predeterminado para activar la alarma en la alerta Hypervisor Disk Usage High
aumenta al 98 por ciento.
[ NSHELP-29688 ]
Cuando el valor de velocidad de la interfaz es superior a 4 Gbps, se devuelve un valor incorrecto debido a un desbordamiento de enteros.
[ NSHELP-29658 ]
En casos excepcionales, el inventario de ADC no se produce en un dispositivo NetScaler SDX.
[ NSHELP-29607 ]
En un dispositivo NetScaler SDX, Management Service no envía notificaciones de syslog o correo electrónico si las fallas de la fuente de alimentación, el voltaje o el disco se producen más de una vez.
[ NSHELP-29443 ]
NetScaler Gateway
Los usuarios no pueden iniciar el plug-in de EPA ni el plug-in de VPN después de actualizar a las versiones del explorador Chrome 98 o Edge 98. Para solucionar este problema, lleve a cabo lo siguiente:
- Para la actualización del complemento de VPN, los usuarios finales deben conectarse mediante el cliente VPN por primera vez para obtener la solución en sus máquinas. En los intentos de inicio de sesión posteriores, los usuarios pueden elegir el explorador o el plug-in para conectarse.
-
Para el caso de uso exclusivo de la EPA, los usuarios finales no tendrán el cliente VPN para conectarse a la puerta de enlace. En este caso, lleve a cabo lo siguiente:
- Conéctese a la puerta de enlace mediante un explorador.
- Espere a que aparezca la página de descarga y descargue el archivo nsepa_setup.exe.
- Después de la descarga, cierre el explorador e instale el archivo nsepa_setup.exe.
- Reinicie el cliente.
[ NSHELP-30641 ]
En una configuración de alta disponibilidad con configuración TCP SYSLOG, un nodo puede bloquearse durante la conmutación por error de alta disponibilidad o durante la operación de configuración clara.
[ NSHELP-29251 ]
En la página del portal de NetScaler Gateway, el icono del enlace proxy de RDP no cambia con el tema del portal RFWebUi.
[ NSHELP-28974 ]
Después de actualizar el dispositivo NetScaler Gateway a la versión 13.0, la configuración de proxy en el perfil de sesión no funciona según lo previsto. La conexión de proxy se omite para el proxy NS no HTTP configurado.
Ejemplo: add vpn sessionAction-proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24
En este ejemplo, -httpProxy funciona según lo previsto, pero -sslProxy no funciona.
[ NSHELP-28640 ]
El dispositivo NetScaler Gateway se bloquea mientras se procesa STA en audio DTLS porque la memoria asignada no se restablece.
[ NSHELP-28432 ]
El dispositivo NetScaler registra los mensajes obsoletos relacionados con el proceso VPND que están en desuso.
[ NSHELP-28163 ]
El acceso a StoreFront a través de un servidor virtual VPN falla si se accede a StoreFront a través de un servidor virtual de equilibrio de carga de respaldo.
[ NSHELP-27852 ]
El dispositivo NetScaler Gateway puede bloquearse al volver a conectarse a una sesión ICA existente.
[ NSHELP-27441 ]
No se puede desvincular una directiva de autorización clásica mediante la interfaz gráfica de usuario. Sin embargo, puede usar la CLI para desvincular la directiva Autenticación, autorización y autorización de auditoría.
Con esta corrección, ahora puede desvincular la directiva de autorización mediante la interfaz gráfica de usuario.
[ NSHELP-27064 ]
Web App Firewall NetScaler
Una actualización a la versión 2.9.12 de la biblioteca XML provoca que los archivos XML relacionados con la firma WAF se rompan durante el análisis.
[ NSWAF-8662 ]
La protección de inyección de comandos JSON aparece Not blocked
en el mensaje ns.log, incluso si el módulo Web App Firewall bloqueó la solicitud HTTP.
[ NSHELP-29709 ]
Se muestra el mensaje de registro de Web App Firewall, BAD URL
para infracciones de atributos de URL de scripts de sitios (XSS), y el término Bad URL
no está claro a qué categoría pertenece (como etiqueta, patrón o atributo).
[ NSHELP-29358 ]
La URL de publicación de huella digital del dispositivo bot puede fallar si la directiva de administración de bots está habilitada en un servidor virtual de equilibrio de carga de tipo SSL.
[ NSHELP-29198 ]
El ID de firma de Web App Firewall 1048 bloquea la carga de la página de NetScaler Gateway.
[ NSHELP-29113 ]
Un dispositivo NetScaler podría bloquearse si se habilitan los siguientes módulos:
- Web App Firewall con comprobaciones de seguridad avanzadas.
- Appqoe.
[ NSHELP-28251 ]
Equilibrio de carga
Cuando un miembro del grupo de servicios DNS de tipo Autoscale está en estado TROFS y si el mismo miembro se agrega nuevamente al grupo, el estado de este miembro no se propaga.
[ NSHELP-29493 ]
La sincronización incremental falla para los comandos add dns action
y add location
con expresiones de directiva que contienen caracteres comodín.
[ NSHELP-29301 ]
Algunos miembros del grupo de servicios no se eliminan de la lista de grupos de servicios de Autoscale cuando hay un conflicto entre los registros DNS resueltos dinámicamente y los miembros enlazados estáticamente. Este problema lleva a la corrupción de la memoria.
[ NSHELP-28949 ]
El estado del grupo de servicios que se muestra en los comandos show y stat es incoherente.
[ NSHELP-28931 ]
En casos excepcionales, es posible que falte la configuración de la base de datos de ubicaciones en el archivo de configuración (ns.conf).
[ NSHELP-28570 ]
Los monitores de tipo SQL u Oracle se bloquean cuando el par envía una solicitud para restablecer la conexión existente.
[ NSHELP-28478 ]
En una implementación habilitada para la persistencia, se almacena un servidor virtual incorrecto durante el guardado del contexto.
[ NSHELP-28342 ]
La configuración de persistencia para un grupo LB se pierde después de una conmutación por error de HA o cuando se reinicia el dispositivo NetScaler.
[ NSHELP-28071 ]
El estado configurado del monitor predeterminado se muestra como inhabilitado incluso cuando el monitor predeterminado está enlazado a un servicio.
[ NSHELP-27669 ]
Otros
El siguiente problema se produce después de actualizar el dispositivo a la versión 12.1 de NetScaler compilación 63.22:
- Es posible que la API de búsqueda de extensiones no funcione después de la actualización.
[ NSHELP-29860 ]
Redes
Un dispositivo NetScaler puede bloquearse si se cumplen todas las condiciones siguientes:
- Se configura una ruta de equilibrio de carga en un dominio de tráfico del dispositivo.
- Se realiza una operación de configuración clara en el dispositivo.
[ NSNET-23847 ]
En una configuración de NAT44 a gran escala, el dispositivo NetScaler podría bloquearse al recibir tráfico SIP por el siguiente motivo:
- El módulo LSN no encuentra el servicio mientras disminuye el recuento de referencias o elimina el servicio.
[ NSHELP-29134 ]
En una implementación NAT44 a gran escala, el dispositivo NetScaler puede bloquearse al recibir tráfico SIP por el siguiente motivo:
- El módulo LSN accedió a la ubicación de memoria de un servicio ya eliminado.
[ NSHELP-28815 ]
En un dispositivo NetScaler con un número par de motores de paquetes (PE), el dispositivo muestra incorrectamente el estado de las interfaces activas como inactivas de un conjunto de interfaces redundantes (canales LR). Este problema no afecta a ninguna funcionalidad del dispositivo NetScaler.
[ NSHELP-28099 ]
Es posible que el dispositivo NetScaler no genere mensajes de captura SNMP coldStart
después de un reinicio en frío.
[ NSHELP-27917 ]
Plataforma
El comando ntpdate
se bloquea y provoca un volcado de memoria.
[ NSHELP-29649 ]
SSL
Un dispositivo NetScaler MPX 7500 se bloquea si se utiliza un conjunto de cifrado EXPORT.
[ NSSSL-11294 ]
En casos excepcionales, es posible que se produzca un bloqueo durante el procesamiento de DTLS en las siguientes plataformas:
- MPX 5900
- MPX/SDX 8900
- MPX/SDX 15000
- MPX/SDX 15000-50G
- MPX/SDX 26000
- MPX/SDX 26000-50
- MPX/SDX 26000-100G
[ NSHELP-29538 ]
En una configuración de alta disponibilidad, el tipo de certificado no se sincroniza correctamente entre los nodos principal y secundario.
[ NSHELP-27589 ]
En una implementación de VPN, el dispositivo NetScaler selecciona una sesión SSL para reutilizar la sesión de la memoria caché para comunicarse con el servidor proxy o back-end. Lo hace sin hacer coincidir el SNI recibido del cliente con el SNI presente en la sesión en caché.
Como resultado, el SNI no se envía o se envía un SNI diferente en función de los datos almacenados en caché.
[ NSHELP-27439 ]
Sistema
Se observa una pérdida de memoria en un dispositivo NetScaler al borrar la memoria asignada para los recursos del Sistema de prevención de intrusiones (IPS).
[ NSHELP-29992 ]
Las operaciones de configuración que asocian perfiles SSL y claves de certificado SSL con un servidor virtual HTTP QUIC pueden fallar en una implementación de clúster de NetScaler.
[ NSHELP-29655 ]
Se produce un error en una segunda solicitud en la misma conexión de cliente si se cumplen las siguientes condiciones:
- clientSideMeasurements está habilitado
- Se recibe la solicitud HEAD.
[ NSHELP-29353 ]
En algunos casos, un dispositivo NetScaler puede bloquearse en las siguientes condiciones:
- Se utilizan tramas jumbo TCP.
- La persistencia se configura en un servidor virtual de equilibrio de carga TCP.
[ NSHELP-29162 ]
Un dispositivo NetScaler se bloquea si se cumplen las siguientes condiciones:
- La opción de medidas del lado del cliente está habilitada en la acción AppFlow.
- Los encabezados de los fragmentos caen en el límite del paquete.
[ NSHELP-29049 ]
Un dispositivo NetScaler restablece una conexión si el tamaño del proceso HTTP (una o varias solicitudes) supera los 128 KB. El problema se produce porque el tamaño del proceso está limitado a 128 KB.
[ NSHELP-28846 ]
Un sistema de prevención de intrusiones (IPS) de NetScaler observa un problema con la directiva de reescritura al insertar o modificar datos si se cumple la siguiente condición:
- El dispositivo NetScaler envía paquetes de datos al servidor IPS antes de que se abra la conexión del servidor back-end.
[ NSHELP-28496 ]
En una configuración de alta disponibilidad, la sincronización de alta disponibilidad de las configuraciones de la partición de administración falla en el nodo secundario por la siguiente razón:
- Problemas de memoria bajos causados por las enormes cargas de configuración en el nodo secundario
[ NSHELP-28409 ]
Cuando un cliente restablece una conexión con varios flujos TCP, no se envía el registro de transacciones del lado del servidor, lo que hace que falten registros L4 para esos flujos de datos.
[ NSHELP-28281 ]
En una conexión TCP, el dispositivo NetScaler puede descartar un paquete FIN, recibido de un servidor, en lugar de reenviarlo al cliente si se cumplen todas las condiciones siguientes:
- El almacenamiento en búfer TCP está habilitado.
- El servidor envía el paquete FIN y el paquete de datos por separado.
[ NSHELP-27274 ]
En una configuración de clúster, el comando set ratecontrol
solo funciona después de reiniciar el dispositivo NetScaler.
[ NSHELP-21811 ]
Cuando un dispositivo NetScaler recibe un paquete TCP desordenado con el indicador FIN establecido, se pueden observar los siguientes problemas:
- El dispositivo NetScaler envía un SACK incorrecto, que indica que el dispositivo recibió un paquete TCP desordenado de 2 bytes en lugar de 1 byte.
- El dispositivo NetScaler no reconoce el paquete TCP FIN al recibir paquetes TCP en orden.
[ NSBASE-15735 ]
Interfaz de usuario
Puede desvincular accidentalmente un certificado SSL porque no se solicita confirmación. Con esta corrección, cuando el usuario hace clic en un certificado vinculado, solicita una confirmación antes de desvincular un certificado.
[ NSUI-17897 ]
La modificación de una regla RNAT basada en ACL, que ya tiene habilitada la conmutación por error de conexión, mediante la GUI de NetScaler puede producir el siguiente error:
Invalid argument value [connfailover]
[ NSHELP-29243 ]
Al configurar o comprobar los certificados SSL mediante la GUI de NetScaler, es posible que aparezca el error Directory doesn't exist
. Este problema se produce cuando existe un nombre de archivo con dos puntos consecutivos (..
) en la carpeta SSL/nsconfig/ssl
.
[ NSHELP-28589 ]
En una configuración de alta disponibilidad, la sincronización de alta disponibilidad podría fallar para un enlace de conjunto de patrones de directivas integrado, si el conjunto de patrones de directivas integrado se modificó en el nodo principal.
[ NSHELP-28460 ]
Al anular la selección de la opción segura para el nodo RPC en la GUI de ADC, aparece el siguiente mensaje de error:
Falta el requisito previo del argumento [validateCert, secure==YES]
[ NSHELP-28239 ]
Cuando el usuario intenta cambiar el tamaño de página de una lista en las vistas del panel lateral, la página se distorsiona.
[ NSHELP-28220 ]
Se introduce incorrectamente un carácter de barra invertida adicional si se utilizan caracteres especiales en los argumentos de algunos comandos SSL, como create ssl rsakey
y create ssl cert
.
[ NSHELP-27378 ]
el comando ping o ping6 con la opción interface (-I) puede fallar con el siguiente error:
interface option not supported
[ NSHELP-26962 ]
Problemas conocidos
Los problemas que existen en la versión 13.1-17.42.
AppFlow
HDX Insight no informa de un error de inicio de aplicación causado por un usuario que intenta iniciar una aplicación o un escritorio a los que el usuario no tiene acceso.
[ NSINSIGHT-943 ]
Autenticación, autorización y auditoría
Un dispositivo NetScaler no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.
[ NSHELP-563 ]
LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de NetScaler.
[ NSAUTH-6106 ]
El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
show adfsproxyprofile <profile name>
Solución temporal:
Conéctese al NetScaler activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>
. Mostraría el estado del perfil de proxy.
[ NSAUTH-5916 ]
La página Configurar servidor LDAP de autenticación de la GUI de NetScaler deja de responder si sigue los pasos siguientes:
- Se abre la opción Probar accesibilidad LDAP.
- Las credenciales de inicio de sesión no válidas se rellenan y envían.
- Las credenciales de inicio de sesión válidas se rellenan y envían.
Solución temporal:
Cierre y abra la opción Probar accesibilidad de LDAP.
[ NSAUTH-2147 ]
Almacenamiento en caché
Es posible que un dispositivo NetScaler se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.
[ NSHELP-22942 ]
Dispositivo NetScaler SDX
En un dispositivo NetScaler SDX, si el CLAG se crea en una NIC Mellanox, la MAC de CLAG cambia cuando se reinicia la instancia VPX. El tráfico a la instancia VPX se detiene tras el reinicio porque la tabla MAC tiene la antigua entrada MAC de CLAG.
[ NSSVM-4333 ]
NetScaler Gateway
En algunos casos, el código de validación del servidor falla cuando se confía en el certificado del servidor. Como resultado, los usuarios finales no pueden acceder a la puerta de enlace.
[ NSHELP-28942 ]
En una configuración de alta disponibilidad de NetScaler Gateway, el nodo secundario podría bloquearse si Gateway Insight está habilitado.
[ NSHELP-28856 ]
La autenticación de certificados de cliente falla para Citrix SSO para macOS si no hay certificados de cliente en el llavero de macOS.
[ NSHELP-28551 ]
A veces, se desactiva la sesión de un usuario en NetScaler Gateway en unos segundos cuando se establece el tiempo de espera por inactividad del cliente.
[ NSHELP-28404 ]
En una configuración de alta disponibilidad, las sesiones de usuario VPN se desconectan si se cumple la siguiente condición:
- Si se realizan dos o más operaciones de failover manual de alta disponibilidad sucesivas cuando la sincronización de alta disponibilidad está en curso.
Solución temporal:
Realice una conmutación por error manual de alta disponibilidad sucesiva solo después de que se haya completado la sincronización de alta disponibilidad (ambos nodos están en estado de sincronización correcta).
[ NSHELP-25598 ]
Gateway Insight no muestra información precisa sobre los usuarios de VPN.
[ NSHELP-23937 ]
El plug-in de VPN no establece un túnel después del inicio de sesión de Windows si se cumplen las siguientes condiciones:
- El dispositivo NetScaler Gateway está configurado para la función Always On
- El dispositivo está configurado para la autenticación basada en certificados con autenticación de dos factores
off
[ NSHELP-23584 ]
A veces, al navegar por los esquemas, aparece el mensaje de error Cannot read property 'type' of undefined
.
[ NSHELP-21897 ]
Si quiere utilizar la funcionalidad Always On VPN antes de iniciar sesión en Windows, se recomienda actualizar a NetScaler Gateway 13.0 o posterior. Esto le permite aprovechar las mejoras adicionales introducidas en la versión 13.0 que no están disponibles en la versión 12.1.
[ CGOP-19355 ]
El error de inicio de la aplicación debido a un tíquet STA no válido no se informa en Gateway Insight.
[ CGOP-13621 ]
El informe Gateway Insight muestra incorrectamente el valor en Local
lugar de SAML
en el campo Tipo de autenticación para los errores de SAML.
[ CGOP-13584 ]
En una configuración de alta disponibilidad, durante la conmutación por error de NetScaler, el recuento de SR aumenta en lugar del recuento de conmutación por error en NetScaler Console.
[ CGOP-13511 ]
Al aceptar conexiones de host local desde el navegador, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés independientemente del idioma seleccionado.
[ CGOP-13050 ]
El texto de Home Page
la aplicación Citrix SSO > Página de inicio está truncado en algunos idiomas.
[ CGOP-13049 ]
Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de NetScaler.
[ CGOP-11830 ]
En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, aparece un cuadro de diálogo de error crítico. Además, la página deja de responder.
[ CGOP-7269 ]
En una implementación de clúster, si ejecuta un comando force cluster sync
en un nodo que no es de CCO, el archivo ns.log contiene entradas de registro duplicadas.
[ CGOP-6794 ]
Equilibrio de carga
En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.
[ NSLB-7679 ]
El formato ServiceGroupName de la captura entityofs
del grupo de servicios es el siguiente:
<service(group)name>?<ip/DBS>?<port>
En el formato de captura, el grupo de servicios se identifica mediante una dirección IP o un nombre y puerto de DBS. El signo de interrogación (?
) se utiliza como separador. NetScaler envía la captura con el signo de interrogación (?
). El formato aparece igual en la GUI de NetScaler Console. Este es el comportamiento esperado.
[ NSHELP-28080 ]
Otros
Cuando se produce una sincronización forzada en una configuración de alta disponibilidad, el dispositivo ejecuta el comando set urlfiltering parameter
en el nodo secundario.
Como resultado, el nodo secundario omite cualquier actualización programada hasta la siguiente hora programada mencionada en el parámetro TimeOfDayToUpdateDB
.
[ NSSWG-849 ]
Un dispositivo NetScaler puede reiniciarse debido al estancamiento de la CPU de administración si se produce un problema de conectividad con el proveedor externo de filtrado de URL.
[ NSHELP-22409 ]
Redes
Es posible que un dispositivo NetScaler BLX con DPDK no se reinicie si se cumplen todas las condiciones siguientes:
- El dispositivo NetScaler BLX se asigna con un número bajo de
hugepages
. Por ejemplo, 1G. - El dispositivo NetScaler BLX se asigna con una gran cantidad de procesos de trabajo. Por ejemplo, 28.
El problema se registra como un mensaje de error en /var/log/ns.log
:
BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x
Nota: x es un número <= número de procesos de trabajo.
Solución temporal:
Asigne un número elevado de hugepages
y, a continuación, reinicie el dispositivo.
[ NSNET-25173 ]
Es posible que un dispositivo NetScaler BLX con DPDK no se reinicie si se cumple la siguiente condición:
- Al dispositivo NetScaler BLX se le asigna una gran cantidad de
hugepages
. Por ejemplo, 16 GB.
El problema se registra como un mensaje de error en /var/log/ns.log
:
EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files
Solución temporal:
Use una de las siguientes soluciones para este problema:
- Aumente el límite de archivos abiertos en el host Linux mediante el uso del comando
ulimit
o la modificación del archivolimits.conf
. - Reduzca el número de
hugepages
asignadas.
[ NSNET-24727 ]
Un dispositivo NetScaler BLX en modo DPDK puede tardar un poco más en reiniciarse debido a la funcionalidad de facilidad de DPDK.
[ NSNET-24449 ]
Tras una actualización de la versión 13.0 61.x del dispositivo NetScaler BLX a la versión 13.0 64.x, se pierde la configuración del archivo de configuración BLX. El archivo de configuración de BLX se restablece a los valores predeterminados.
[ NSNET-17625 ]
Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e)
de Intel en un dispositivo NetScaler BLX con DPDK:
- Disable
- Enable
- Restablecer
[ NSNET-16559 ]
En un host Linux basado en Debian (Ubuntu versión 18 y posteriores), un dispositivo NetScaler BLX siempre se implementa en modo compartido independientemente de la configuración del archivo de configuración BLX()/etc/blx/blx.conf
. Este problema se produce porque mawk
, que está presente de forma predeterminada en los sistemas Linux basados en Debian, no ejecuta algunos de los comandos awk
presentes en el archivo blx.conf
.
Solución temporal:
Instale gawk
antes de instalar un dispositivo NetScaler BLX. Puede ejecutar el siguiente comando en la CLI del host de Linux para instalar gawk
:
- apt-get install gawk
[ NSNET-14603 ]
La instalación de un dispositivo NetScaler BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:
The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable
Solución temporal:
Ejecute los siguientes comandos en la CLI del host Linux antes de instalar un dispositivo NetScaler BLX:
- dpkg — agregar arquitectura i386
- actualización apt-get
- apt-get dist-upgrade
- apt-get install libc6:i386
[ NSNET-14602 ]
En algunos casos de conexiones de datos FTP, el dispositivo NetScaler solo realiza operaciones NAT y no procesamiento TCP en los paquetes para la negociación TCP MSS. Como resultado, la MTU de interfaz óptima no está configurada para la conexión. Esta configuración de MTU incorrecta provoca la fragmentación de los paquetes y afecta al rendimiento de la CPU.
[ NSNET-5233 ]
Cuando se cambia un límite de memoria de la partición de administración en el dispositivo NetScaler, el límite de memoria intermedia TCP se establece automáticamente en el nuevo límite de memoria de la partición de administración.
[ NSHELP-21082 ]
Plataforma
La conmutación por error de alta disponibilidad no funciona en las nubes de AWS y GCP. La CPU de administración puede alcanzar su capacidad del 100% en las nubes de AWS y GCP, y en NetScaler VPX en las instalaciones. Ambos problemas se producen cuando se cumplen las siguientes condiciones:
- Durante el primer arranque del dispositivo NetScaler, no guarda la contraseña solicitada.
- Posteriormente, reinicie el dispositivo NetScaler.
[ NSPLAT-22013 ]
Cuando actualiza de compilaciones 13.0/12.1/11.1 a una versión 13.1 o baja de una compilación 13.1 a 13.0/12.1/11.1, algunos paquetes python no se instalan en los dispositivos NetScaler. Este problema se ha solucionado en las siguientes versiones de NetScaler:
- 13.1-4.x
- 13.0—82.31 y posteriores
- 12.1—62.21 y posteriores
Los paquetes python no se instalan cuando se degrada la versión de NetScaler de la versión 13.1-4.x a cualquiera de las siguientes versiones:
- Cualquier compilación 11.1
- 12.1—62.21 y anteriores
- 13.0-81.x y anteriores
[ NSPLAT-21691 ]
En una configuración de clúster en un dispositivo NetScaler SDX, hay una discordancia de CLAG MAC en el segundo nodo y CLIP si se cumplen las siguientes condiciones:
- El CLAG se crea en una NIC Mellanox.
- Agrega otra instancia VPX al clúster y a la configuración de CLAG.
Como resultado, el tráfico a la instancia VPX se detiene.
[ NSPLAT-21049 ]
En una configuración de clúster en un dispositivo NetScaler SDX, el primer nodo se cae debido a una discordancia de direcciones MAC en la tabla CLIP y MAC, si se cumplen las siguientes condiciones:
- El CLAG se crea en una NIC Mellanox.
- Quita el segundo nodo del clúster.
[ NSPLAT-21042 ]
Cuando elimina una configuración de Autoscale o un conjunto de escala de VM de un grupo de recursos de Azure, elimine la configuración de perfil de nube correspondiente de la instancia de NetScaler. Utilice el comando rm cloudprofile
para borrar el perfil.
[ NSPLAT-4520 ]
En una configuración de alta disponibilidad en Azure, al iniciar sesión en el nodo secundario a través de la GUI, aparece la pantalla de usuario por primera vez (FTU) para la configuración del perfil en la nube de Autoscale. Solución alternativa: omita la pantalla e inicie sesión en el nodo principal para crear el perfil de nube. Configure siempre el perfil de nube en el nodo principal.
[ NSPLAT-4451 ]
La conmutación por error de alta disponibilidad para la instancia de NetScaler VPX en la nube de GCP y AWS falla cuando la contraseña de un nodo RPC contiene un carácter especial.
[ NSHELP-28600 ]
Directivas
Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es mayor que el tamaño de búfer TCP predeterminado configurado.Solución temporal: establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.
[ NSPOLICY-1267 ]
SSL
En un clúster heterogéneo de dispositivos NetScaler SDX 22000 y NetScaler SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.
Solución temporal:
- En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo:
set ssl vserver <name> -SSL3 DISABLED
. - Guarde la configuración.
[ NSSSL-9572 ]
No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.
[ NSSSL-6478 ]
Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo NetScaler no devuelve ningún error.
[ NSSSL-6213 ]
El siguiente mensaje de error incorrecto aparece cuando se quita una clave de HSM sin especificar Key Vault como el tipo de HSM. ERROR: Actualización de crl inhabilitada
[ NSSSL-6106 ]
La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).
[ NSSSL-4427 ]
Aparece Warning: No usable ciphers configured on the SSL vserver/service,
, un mensaje de advertencia incorrecto, si intenta cambiar el protocolo o el cifrado SSL en el perfil SSL.
[ NSSSL-4001 ]
Un tíquet de sesión caducado se respeta en un nodo que no es de CCO y en un nodo de alta disponibilidad después de una conmutación por error de alta disponibilidad.
[ NSSSL-3184 ]
Sistema
El valor MAX_CONCURRENT_STREAMS se establece en 100 de forma predeterminada si el dispositivo no recibe el marco de configuración max_concurrent_stream del cliente.
[ NSHELP-21240 ]
Los contadores mptcp_cur_session_without_subflow disminuyen incorrectamente a un valor negativo en lugar de cero.
[ NSHELP-10972 ]
Se observa un problema al generar los informes PCI DSS en la GUI de NetScaler (Navegación: Sistema > Informes > Generar informe PCI DSS).
[ NSBASE-16225 ]
La IP del cliente y la IP del servidor se invierten en el registro SkipFlow de HDX Insight cuando se configura el tipo de transporte LogStream para Insight
[ NSBASE-8506 ]
El dispositivo NetScaler descarta paquetes que contienen encabezados HTTP personalizados con un punto (“. “) en el campo del nombre del encabezado. Esta acción se produce porque el parámetro allowOnlyWordCharactersAndHyphen
está habilitado de forma predeterminada en el perfil HTTP predeterminado.
Solución temporal: Inhabilite allowOnlyWordCharactersAndHyphen
en el perfil HTTP predeterminado. Sin embargo, Citrix recomienda mantenerla habilitada.
[ NSBASE-16722 ]
Interfaz de usuario
Para la función Reescritura de MQTT, no puede eliminar una expresión mediante el Editor de expresiones en la GUI.
Solución temporal:
Use el comando de acción add o edit de tipo MQTT a través de la CLI.
[ NSUI-18049 ]
En la GUI de NetScaler, el enlace Help
presente debajo de la ficha Dashboard
no funciona.
[ NSUI-14752 ]
El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.
Solución temporal:
Configure los conectores cloudbridge agregando perfiles IPsec, túneles IP y reglas PBR mediante la GUI o CLI de NetScaler.
[ NSUI-13024 ]
Si crea una clave ECDSA mediante la interfaz gráfica de usuario, no se muestra el tipo de curva.
[ NSUI-6838 ]
La carga y adición de un archivo de lista de revocación de certificados (CRL) produce un error en la configuración de una partición de administración.
[ NSHELP-20988 ]
Al revertir la versión 13.0-71.x de un dispositivo NetScaler a una versión anterior, es posible que algunas API de NITRO no funcionen debido a los cambios en los permisos de archivo.
Solución temporal:
Cambie el permiso de /nsconfig/ns.conf
a 644.
[ NSCONFIG-4628 ]
Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo NetScaler, es posible que los usuarios del sistema no inicien sesión en el dispositivo NetScaler degradado.
-
Actualice el dispositivo NetScaler a una de las compilaciones:
- 13.0 52.24 compilación
- 12.1 57,18 compilación
- 11.1 65.10 compilación
- Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
- Rebaja la versión del dispositivo NetScaler a cualquier versión anterior.
Para mostrar la lista de estos usuarios del sistema mediante la CLI: En el símbolo del sistema, escriba:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
Solución temporal:
Para solucionar este problema, utilice una de las siguientes opciones independientes:
- Si el dispositivo NetScaler aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo NetScaler con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
- Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
- Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.
Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html
[ NSCONFIG-3188 ]
Compartir
Compartir
En este artículo
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.