Documentación de productos
ADC
14.1 - Current Release 13.1 13.0 12.1
Ver PDF

Notas de lanzamiento de la versión 13.1-33.54 de NetScaler

March 16, 2024
Contribución de: 
C

Este documento de notas de la versión describe las mejoras y los cambios, los problemas corregidos y conocidos que existen en la versión 13.1-33.54 de NetScaler.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad.
  • Las compilaciones 13.1-33.47 y las versiones posteriores abordan las vulnerabilidades de seguridad descritas en https://support.citrix.com/article/CTX463706.
  • La compilación 33.54 reemplaza a la compilación 33.52, la compilación 33.49 y la compilación 33.47.
  • La compilación 33.54 incluye correcciones para los siguientes problemas: NSHELP-33250, NSHELP-33345 y NSHELP-33063.
  • La compilación 33.52 incluyó una solución para el siguiente problema: NSHELP-32907.
  • La compilación 33.49 incluía correcciones para los siguientes problemas: NSHELP-32709, NSHELP-32697, NSHELP-32410, NSHELP-31790, NSHELP-31478 y NSCONFIG-7098.

Novedades

Las mejoras y cambios que están disponibles en la compilación 13.1-33.54.

Administración de bots

  • Nuevas expresiones relacionadas con BOT

    Se agregan las siguientes expresiones y se pueden usar cuando el perfil BOT está configurado en modo de registro:

    • HTTP.REQ.BOT.IS_SUSPECTED - Devuelve true si se sospecha que el cliente es un BOT.
    • HTTP.REQ.BOT.TYPE.EQ(<bot type>) - Devuelve true si el tipo de BOT del cliente es el mismo que el argumento. Valores posibles de los tipos BOT: CORRECTO, INCORRECTO y DESCONOCIDO.
    • HTTP.REQ.BOT.TYPE.NE(<bot type>) - Devuelve true si el tipo de BOT del cliente no es el mismo que el argumento. Valores posibles de los tipos BOT: CORRECTO, INCORRECTO y DESCONOCIDO.
    • HTTP.REQ.BOT.TYPE.ENUM_NAME - Devuelve el tipo BOT como cadena. Por ejemplo: CORRECTO, INCORRECTO, DESCONOCIDO.
    • HTTP.REQ.BOT.DETECTION_METHODS - Lista de las técnicas de detección con las que se detecta a un cliente como BOT.

    [ NSBOT-842 ]

NetScaler Gateway

  • Cuando se configura SmartControl, se admite la fiabilidad de la sesión incluso si no existe la sesión de autenticación, autorización y auditoría correspondiente. La solicitud de reconexión que recibe el dispositivo NetScaler del dispositivo cliente después de la recuperación de una interrupción de la red se atiende incluso si no existe la sesión de autenticación, autorización y auditoría correspondiente.

    [ CGOP-21040 ]

Web App Firewall NetScaler

  • Nuevo perfil predeterminado de Web App Firewall

    Ahora hay disponible un nuevo perfil predeterminado, denominado core, con protecciones WAF básicas. Las siguientes comprobaciones están habilitadas en el perfil principal:

    • Inyección SQL basada en gramáticas
    • inyección de CMD basada en la gramática
    • XSS
    • BOF
    • Expresiones de bloque

    [ NSWAF-9133 ]

  • Soporte de palabras clave personalizadas para carga JSON

    Puede agregar las palabras clave que quiera y comprobar si estas palabras clave configuradas están presentes en la carga JSON. Si se detectan las palabras clave configuradas en las solicitudes entrantes, puede configurar el dispositivo NetScaler para bloquear las solicitudes, actualizar los registros o aumentar los contadores de registros.

    La ventaja es que puede agregar palabras clave que no están incluidas en las comprobaciones de inyección de SQL e inyección de comandos y, por lo tanto, reducir los falsos positivos.

    [ NSWAF-9076 ]

Plataforma

  • Evite el uso no autorizado de las licencias de NetScaler

    Para cualquier actualización del dispositivo NetScaler a la versión 13.1, el sistema de licencias de NetScaler ahora exige la validación de las licencias de acuerdo con la fecha de caducidad de Customer Success Services. Si esta fecha es anterior a la fecha de elegibilidad de Customer Success Services, la licencia existente no funcionará en la versión actualizada del dispositivo ADC. Este comportamiento puede impedir el uso no autorizado de las licencias.

    Para obtener una lista de los productos de NetScaler y sus fechas de elegibilidad, consulte. https://support.citrix.com/article/CTX111618/citrix-product-customer-success-services-eligibility-dates

    [ NSPLAT-24522 ]

  • Gestionar la eliminación dinámica de NIC en las redes aceleradas de Azure

    Una instancia de NetScaler VPX ahora puede gestionar sin problemas las eliminaciones dinámicas de NIC y la reconexión de las NIC eliminadas en las redes aceleradas de Azure.

    Azure puede eliminar la NIC de función virtual (VF) de virtualización de E/S de raíz única (SR-IOV) de redes aceleradas para sus actividades de mantenimiento de hosts. Cada vez que se elimina una NIC de la máquina virtual de Azure, la instancia de NetScaler VPX muestra el estado de la interfaz como Link Down y el tráfico pasa únicamente a través de la interfaz virtual. Una vez que se vuelve a conectar la NIC eliminada, las instancias VPX utilizan la NIC VF SR-IOV que se ha vuelto a conectar. Este proceso se lleva a cabo sin problemas y no requiere ninguna configuración.

    [ NSPLAT-23300 ]

  • Soporte para Python 3.7

    El dispositivo NetScaler ahora admite Python 3.7 porque Python 2.7 está en desuso.

    Debe actualizar sus scripts de Python actuales para que sean compatibles con Python 3.7.

    [ NSPLAT-20832 ]

SSL

  • Soporte para notificaciones recurrentes hasta la caducidad del certificado

    El dispositivo NetScaler ahora envía una notificación por día hasta que caduque el certificado. Anteriormente, solo se enviaba una notificación un número determinado de días antes de que caducara el certificado.

    [ NSSSL-11874 ]

  • Mayor longitud de la dirección de correo electrónico en una solicitud de creación de certificado

    En un dispositivo NetScaler, el límite de direcciones de correo electrónico en una solicitud de creación de certificado ahora aumenta a 255 caracteres. Anteriormente, el límite era de 39 caracteres.

    [ NSSSL-10917 ]

  • Soporte para Thales Luna HSM en las plataformas basadas en Intel Coleto e Intel Lewisburg

    Thales Luna HSM ahora es compatible con las plataformas basadas en chips SSL NetScaler, Intel Coleto e Intel Lewisburg.

    Los siguientes dispositivos vienen con chips Intel Coleto:

    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 15000
    • MPX/SDX 15000-50G
    • MPX/SDX 26000
    • MPX/SDX 26000-50
    • MPX/SDX 26000-100G

    Las siguientes plataformas vienen con los chips Intel Lewisburg:

    • MPX 9100
    • SDX 9100

    [ NSSSL-9707 ]

Sistema

  • Se agregó un nuevo parámetro en el perfil HTTP

    Se agrega un nuevo parámetro passProtocolUpgrade al perfil HTTP para evitar ataques a los servidores del back-end. Según el estado de este parámetro, el encabezado de actualización se pasa a la solicitud enviada al servidor de fondo o se elimina antes de enviar la solicitud.

    • Si el parámetro passProtocolUpgrade está activado, el encabezado de actualización se pasa al back-end. El servidor acepta la solicitud de actualización y la notifica en su respuesta.
    • Si este parámetro está inhabilitado, se elimina el encabezado de actualización y la solicitud restante se envía al back-end.

    El parámetro passProtocolUpgrade se agrega a los siguientes perfiles:

    • nshttp_default_profile HABILITADO de forma predeterminada
    • nshttp_default_strict_validation INHABILITADO de forma predeterminada
    • nshttp_default_internal_apps INHABILITADO de forma predeterminada
    • nshttp_default_http_quic_profile HABILITADO de forma predeterminada

    Citrix recomienda inhabilitar este parámetro de forma predeterminada. Para obtener más información, consulte la Guía de implementación segura de NetScaler.

    [ NSBASE-17423 ]

  • Soporte de múltiples perfiles de series temporales

    El dispositivo NetScaler ahora admite hasta tres configuraciones de perfiles de series temporales.
    Puede configurar cada perfil de serie temporal para que tenga lo siguiente:

    • Su coleccionista
    • archivo de esquema que contiene el conjunto de contadores requerido para ser exportado por el recopilador de métricas
    • El formato de datos en el que se pueden exportar las métricas.
    • La opción de habilitar o inhabilitar las métricas, los registros de auditoría y los eventos.

    Con la compatibilidad con múltiples perfiles de series temporales, el recopilador de métricas puede exportar simultáneamente un conjunto diferente (según el archivo de esquema configurado) de métricas a diferentes recopiladores en diferentes formatos (AVRO, Prometheus, Influx).

    Para obtener más información, consulte Configuración de la función AppFlow.

    [ NSBASE-16809 ]

  • El syslog no se exporta a través de TCP en un intervalo de tiempo específico. Debido a esta condición, el syslog permanece indefinidamente en el búfer de auditoría, lo que da la impresión de que faltan registros. Este syslog se envía solo cuando el búfer está lleno.

    Con esta corrección, el syslog se exporta a través de TCP cuando el búfer de auditoría está lleno o con un intervalo de cada 20 segundos, lo que ocurra primero.

    [ NSBASE-16698 ]

  • Soporte de descarga de criptomonedas para QUIC

    El dispositivo NetScaler ahora admite la descarga del procesamiento criptográfico del software al hardware, lo que acelera las transacciones de QUIC. El dispositivo NetScaler está equipado con chips de hardware SSL que realizan la criptoaceleración de forma transparente.

    Para obtener más información, consulte QUIC.

    [ NSBASE-12046 ]

Interfaz de usuario

  • Comunicación RPC segura basada en la configuración TLS 1.2 para los servicios internos

    Tras actualizar un dispositivo NetScaler a la versión 13.1, compilación 33.x o posterior, a partir de una de las siguientes compilaciones, la opción “segura” para el nodo RPC se habilita o inhabilita según la configuración de TLS 1.2 (habilitada o inhabilitada) presente para los servicios internos de RPCS y KRPCS.

    • Versión 13.0, compilación 64.35 o anterior
    • Versión 12.1, compilación 61.18 o anterior

    La comunicación RPC se cifra entre los nodos NetScaler de las siguientes configuraciones si la opción “Segura” está habilitada:

    • Alta disponibilidad
    • Clúster
    • GSLB

    La opción “segura” utiliza el protocolo seguro TLS1.2 y los números de puerto 3008 y 3009 para la conexión RPC entre los nodos de NetScaler.

    Para garantizar una comunicación RPC segura, Citrix recomienda realizar las siguientes operaciones antes de actualizar estas configuraciones:

    • TLS 1.2 debe estar habilitado para los servicios internos de RPCS y KRPCS:
      • nsrpcs-127.0.0.1-3008
      • nskrpcs-127.0.0.1-3009
      • NSRPCS-: :1L-3008
    • 3008 y 3009 deben desbloquearse en los firewalls entre los nodos de NetScaler.

    Puede habilitar o inhabilitar la opción segura mediante la CLI o la GUI de NetScaler.

    [ NSCONFIG-6485 ]

  • Compatibilidad con el agregador de licencias NetScaler CPX

    Ahora puede utilizar el agregador de licencias NetScaler CPX, un nuevo microservicio de Kubernetes proporcionado por NetScaler, para obtener licencias para NetScaler CPX. Al iniciar NetScaler CPX, debe configurar la variable de entorno CLA con la dirección IP o el nombre de dominio del agregador de licencias NetScaler CPX. Si la variable de entorno está configurada, el agregador de licencias NetScaler CPX comprueba las licencias agregadas de todos los CPX de NetScaler conectados.

    [ NSCONFIG-6394 ]

  • Soporte de opciones asincrónicas para la API de instalación de NITRO
    Se ha introducido una nueva opción “asíncrona” en la API “instalar NITRO”. La opción “asíncrona” devuelve el identificador del trabajo de la operación de instalación, que se puede utilizar en la llamada a la API “nsjob NITRO” para recuperar los detalles del estado de la operación de instalación.

    Ejemplo:

    En el siguiente ejemplo de una solicitud de curl, la API de instalación de NITRO se usa con la opción asincrónica. La carga útil de respuesta contiene el ID de trabajo como 2.

    Solicitud Curl:
    “curl -v -X POST -H “Content-Type: application/json” -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/install?warning=yes -d ‘{“install”: {“url”: “https://example-repo.citrite.net/build-13.1-36.11_nc_64.tgz”, “async”:”1”}}’”

    Carga útil de respuesta:

    ”{ “install”:{ “url”: "<file path>", “y”: false, “l”: false, “a”: false, “enhancedupgrade”: false, “resizeswapvar”: false, “async”: true, “id”: “2” }”

    En el siguiente ejemplo de una solicitud curl, se utiliza la API “nsjob NITRO” para recuperar los detalles de estado del identificador de trabajo 2, que es el identificador de la operación de instalación.

    Solicitud Curl:
    “curl -v -X GET -H “Content-Type: application/json” -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/nsjob/2

    Carga útil de respuesta:

    ”{ “errorcode”: 0, “message”: “Done”, “severity”: “NONE”, “nsjob”: [

    {“name”: “install”, “id”: “2”, “status”: “Correcto”, “progreso”: “Se ha completado la instalación. Se requiere nnReboot para que los cambios de configuración surtan efecto. La instalación se realizó correctamente. Es necesario reiniciar.n”, “timeelapsed”: 148, “errorcode”: “5221”, “message”: “Los cambios de configuración no surtirán efecto hasta que se reinicie el sistema”}

    ]}”

    [ NSCONFIG-5870 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.1-33.54.

Autenticación, autorización y auditoría

  • El dispositivo NetScaler deja de procesar las solicitudes debido a una pérdida de memoria en el módulo MEM_SSLVPN.

    [ NSHELP-32646 ]

  • La página de inicio de sesión de autenticación de NetScaler Gateway Duo no se carga con temas que no sean de RFWebUI.

    [ NSHELP-32463 ]

  • Al registrar el dispositivo en el dispositivo NetScaler Gateway, aparece el mensaje “Error en el registro push” para Citrix Secure Access (Citrix SSO).

    [ NSHELP-32461 ]

  • Si la autenticación LDAP y SAML están configuradas en cascada, aparece una página de error durante el inicio de sesión.

    [ NSHELP-32378 ]

  • A veces, la autenticación en Gateway mediante la aplicación Citrix Workspace no se realiza correctamente.

    [ NSHELP-32333 ]

  • La autenticación SAML falla si la función de directiva de seguridad del contenido (CSP) está habilitada en el dispositivo NetScaler.

    [ NSHELP-32203 ]

Almacenamiento en caché

  • Es posible que un dispositivo NetScaler se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

    [ NSHELP-22942 ]

Dispositivo NetScaler SDX

  • En un dispositivo NetScaler SDX, la opción Limpiar instalación no funciona cuando se pasa de la versión 13.1, compilación 30.52, a cualquier versión o compilación inferior.

    [ NSSVM-5419 ]

  • También se realizan copias de seguridad de algunos archivos de configuración del módulo de seguridad de hardware (HSM) redundantes cuando se hacen copias de seguridad de las instancias de NetScaler VPX mediante SDX y ADM.

    [ NSHELP-32539 ]

  • El syslog del servicio de administración del dispositivo NetScaler SDX muestra la fecha dos veces de forma incorrecta.

    [ NSHELP-32311 ]

NetScaler Gateway

  • El dispositivo NetScaler se bloquea si se habilitan una de las funciones de Gateway Insight y Web Insight o ambas.

    [ NSHELP-33345 ]

  • A veces, el proxy RDP no funciona en presencia de un agente de conexiones.

    [ NSHELP-33063 ]

  • El dispositivo NetScaler Gateway podría bloquearse si HDX Insight está activado y el usuario inicia sesión en StoreFront inmediatamente después de cerrar sesión.

    [ NSHELP-32907, NSHELP-33079, NSHELP-33289 ]

  • El escaneo EPA de direcciones MAC basado en patentes no funciona junto con el escaneo del certificado del dispositivo en el mismo factor.

    [ NSHELP-32760 ]

  • El dispositivo NetScaler descarta cualquier paquete HTTP con un método de autenticación desconocido utilizado para el tráfico de autenticación. El método de autenticación desconocido interrumpe la implementación y provoca problemas con las operaciones de equilibrio de carga si se utilizan servidores virtuales de autenticación y autorización para el tráfico de autenticación. El método de autenticación desconocido está inhabilitado de forma predeterminada.

    [ NSHELP-32709 ]

  • El cuadro de diálogo “Transferir inicio de sesión” no muestra el botón Transferir.

    [ NSHELP-32614 ]

  • El dispositivo NetScaler se bloquea al gestionar la solicitud de cierre de sesión POST /CitrixAuthService/AuthService.asmx del servidor StoreFront cuando la URL de devolución de llamada está configurada en StoreFront.

    [ NSHELP-32207 ]

  • En un dispositivo NetScaler Gateway, los parámetros de VPN globales no se aplican si los parámetros de VPN no están configurados en el nivel de acción de la sesión.

    Antes de actualizar la configuración de alta disponibilidad, asegúrese de inhabilitar manualmente la sincronización HA en el dispositivo secundario. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13-1/upgrade-downgrade-citrix-adc-appliance/upgrade-downgrade-ha-pair.html

    [ NSHELP-31478, CGOP-21737 ]

  • El título de la página de inicio de sesión de NetScaler Gateway y los temas del portal no se muestran correctamente.

    [ NSHELP-29202 ]

  • Al configurar el grupo de IIP (dirección IP y máscara), si la dirección IP no coincide con la primera dirección IP del rango, la CLI y la GUI de NetScaler muestran solo un bloque y no todos.

    Ejemplo:
    bind vpn vserver vpn_ssl -intranetIP 172.168.1.1 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.1 255.255.255.0

    En este caso, la CLI o la GUI, al mostrar vpn vserver vpn_ssl, solo muestra 172.168.2.1 pool y no 172.168.2.2.

    [ NSHELP-29084 ]

Web App Firewall NetScaler

  • Un dispositivo NetScaler independiente o el modo secundario de una configuración de HA pueden fallar si configura un objeto de firma para NetScaler Web App Firewall en las siguientes versiones de software:

    • 13.0 build 88.5 y versiones posteriores
    • 13.1 versión 33.41 y versiones posteriores

    [ NSHELP-33250 ]

  • Se produce un error en la actualización de la firma WAF cuando se configuran un servidor proxy y un puerto proxy. Durante el proceso de actualización automática de firmas que se ejecuta cada hora, el dispositivo ADC se pone en contacto con el host de la actualización automática para descargar los archivos actualizados en lugar de pasar por el servidor proxy y el puerto proxy configurados. Como resultado, se produce un error de actualización cuando no se puede acceder al host de actualización automática.

    [ NSHELP-32613 ]

  • El dispositivo NetScaler podría bloquearse si se cumplen las siguientes condiciones:

    • Hay una carga elevada en el dispositivo.
    • Se están realizando cambios en la configuración.
    • La eliminación de firmas lleva mucho tiempo.

    [ NSHELP-32454 ]

  • Los ataques de reproducción de sesiones con huella digital del dispositivo bot se registran en lugar de eliminarse.

    [ NSHELP-31949 ]

Equilibrio de carga

  • Cualquier cambio en el grupo de servicios provoca cambios en el hash de las cookies cuando la opción useencryptedPersistenceCookie está habilitada en el comando set lb param.

    [ NSHELP-32697 ]

  • En raras ocasiones, un dispositivo NetScaler puede fallar y generar un volcado de núcleo cuando la persistencia basada en el ID de sesión SSL y el procesamiento basado en tickets de sesión SSL están habilitados en un servidor virtual de conmutación de contenido.

    [ NSHELP-32228 ]

  • El estado del monitor LDAP permanece activo incluso si los atributos configurados no están presentes en el servidor.

    [ NSHELP-32025 ]

Otros

  • Cuando ns_hw_err.bash se ejecuta en un dispositivo NetScaler para detectar cualquier problema de hardware, puede aparecer el error “No se encuentra el disco duro durante el arranque” incluso cuando hay un disco en buen estado.

    [ NSHELP-31571 ]

  • Un nodo de clúster entra en un bucle de paquetes cuando se cumplen las siguientes condiciones:

    • Se envía un paquete UDP con una dirección IP de destino como CLIP a un nodo del clúster.
    • El CCO ha cambiado de un nodo a otro durante la vida útil de la instancia de clúster.

    [ NSHELP-30804 ]

Redes

  • NetScaler CPX no puede recuperar la configuración de ruta predeterminada después de un bloqueo cuando se utiliza la configuración de inicio basada en archivos con ConfigMaps. Este comportamiento provoca una pérdida de conectividad.

    [ NSNET-27124 ]

  • El dispositivo NetScaler podría agregar una suma de verificación de IP incorrecta al encabezado IP de los paquetes UDP.

    [ NSHELP-32587 ]

  • En una configuración de clúster NetScaler BLX, es posible que VTYSH no se inicie si se cumple la siguiente condición:

    • El host de Linux se reinicia, lo que provoca un bucle de pedidos en el proceso de inyección de estado de ruta (RHI) BLX de NetScaler.

    [ NSHELP-32473 ]

  • Al eliminar un servidor virtual, el dispositivo NetScaler establece incorrectamente el estado de RHI VIP relacionado en DOWN si se cumplen las siguientes condiciones:

    • El servidor virtual tiene servidores virtuales de respaldo.
    • El servidor virtual está en estado DESCONECTADO y al menos un servidor virtual de reserva está en estado CONECTADO.

    [ NSHELP-29972 ]

Plataforma

  • Un dispositivo NetScaler que se ejecuta en un procesador AMD puede bloquearse durante el arranque, al actualizar la versión del software a la versión 13.1, compilación 30.x.

    [ NSPLAT-24968, NSHELP-32808 ]

  • La conmutación por error de alta disponibilidad no funciona en las nubes de AWS y GCP. La CPU de administración puede alcanzar su capacidad del 100% en las nubes de AWS y GCP, y en NetScaler VPX en las instalaciones. Ambos problemas se producen cuando se cumplen las siguientes condiciones:

    1. Durante el primer arranque del dispositivo NetScaler, no guarda la contraseña solicitada.
    2. Posteriormente, reinicie el dispositivo NetScaler.

    [ NSPLAT-22013 ]

  • Cuando un dispositivo NetScaler SDX que contiene NIC Mellanox se actualiza desde una compilación en la que el filtrado de VLAN está inhabilitado y el Servicio de administración intenta inhabilitar el filtrado de VLAN como parte de la actualización, la operación falla. Como resultado, el filtrado de VLAN está habilitado para todas las interfaces y canales.

    [ NSHELP-32759 ]

  • Tras una actualización del firmware, es posible que la interfaz de administración de un dispositivo NetScaler MPX 5900/8900 deje de funcionar. Como resultado, no se puede acceder al dispositivo.

    [ NSHELP-31587 ]

Directivas

  • Un dispositivo NetScaler puede bloquearse durante la adición de una directiva con un patset cuando se cumple la siguiente condición:

    • El indicador asociado a NSB está configurado en el orden incorrecto para el caso Rewrite TCP.

    [ NSHELP-31064 ]

SSL

  • Cuando un servidor virtual recibe un registro TLS 1.3 con un relleno no válido, envía una alerta de “decode_error” fatal en lugar de una alerta de “mensaje inesperado”.

    [ NSSSL-11890 ]

  • En las plataformas NetScaler MPX y SDX con hardware de criptoaceleración compatible con Intel QAT, el tipo de persistencia SOURCEIP se aplica de manera incoherente a las solicitudes enviadas a servidores virtuales a través de conexiones TLS 1.3. Es decir, las solicitudes enviadas desde una única dirección IP de origen pueden distribuirse a varios servidores de fondo diferentes.

    [ NSHELP-32410, NSHELP-32895, NSHELP-32572, NSHELP-32688 ]

  • Un dispositivo NetScaler que contenga una tarjeta SSL Cavium podría bloquearse al enviar un mensaje DTLS ALERT al cliente.

    [ NSHELP-32031 ]

  • Un dispositivo NetScaler podría bloquearse si la regla de autenticación de certificados se evalúa y se activa dos veces en la misma solicitud.

    [ NSHELP-31785 ]

Sistema

  • Puede habilitar la función AppFlow en la partición de administración solo después de habilitar el modo ULFD en la partición predeterminada.

    [ NSHELP-32670 ]

  • El dispositivo NetScaler puede tratar una solicitud HTTP como una solicitud no válida cuando hay un método de solicitud HTTP parcial en un segmento TCP entrante.

    [ NSHELP-32462 ]

  • Un dispositivo NetScaler podría bloquearse si se cumple la siguiente condición:

    • Durante las combinaciones de HTTP2 y SSL con un uso elevado de memoria, el dispositivo NetScaler no puede asignar memoria.

    [ NSHELP-32255 ]

  • Un dispositivo NetScaler se bloquea en una configuración de VPN cuando se inicia la captura de paquetes de nstrace con filtros IP o PORT.

    [ NSHELP-31790 ]

  • Un cliente de gRPC no puede analizar el encabezado de estado de gRPC cuando se cumple la siguiente condición:

    • El encabezado de estado de gRPC se agrega tanto en el encabezado inicial como en el encabezado final en lugar de agregarse solo en el encabezado final.

    [ NSHELP-31640 ]

  • Con SACK habilitado, el dispositivo NetScaler no retransmite el último segmento TCP de un byte de la lista de retransmisión por el siguiente motivo: el dispositivo utiliza el último segmento TCP de un byte como segmento ficticio para marcar el final de la lista de retransmisión.

    [ NSHELP-28778 ]

Interfaz de usuario

  • No puede vincular un servicio GSLB a un servidor virtual de GSLB mediante la GUI de NetScaler, ya que la lista de servicios GSLB en Vinculación de grupos de servicios GSLB > Vinculación de servicios GSLB > Servicios GSLB aparece vacía.

    [ NSHELP-32236 ]

  • La modificación de una ruta estática mediante la GUI de NetScaler (sistema > red > rutas) podría fallar incorrectamente y mostrar el siguiente mensaje de error:

    • “Falta un argumento necesario [puerta de enlace ]”

    [ NSHELP-32024 ]

  • En una configuración de HA o clúster, la sincronización de la configuración falla si ha configurado claves SSH distintas de RSA. Por ejemplo, las claves ECDSA o DSA.

    [ NSHELP-31675 ]

  • En la GUI de NetScaler, si hay un destino de captura SNMP existente en Sistema>SNMP>Traps, se produce un error al modificar ese destino y se muestra el siguiente mensaje de error:

    • “Error al recuperar la captura SNMP”

    [ NSHELP-31661 ]

  • La GUI del dispositivo NetScaler no muestra el recuento correcto de las directivas de IDP de SAML y OAuth configuradas.

    [ NSHELP-31480 ]

  • En un dispositivo NetScaler, al utilizar la interfaz GUI, aparece el siguiente problema en la página de directivas de respuesta:

    • Las directivas de respuesta creadas a medida pueden mostrarse debajo de las directivas de respuesta integradas.

    [ NSHELP-31428 ]

  • En una configuración de NetScaler HA, se observa el siguiente problema en la GUI de NetScaler después de guardar una configuración y hacer clic en el botón de actualización:

    • La GUI muestra incorrectamente el punto naranja en el botón Guardar, incluso cuando no hay cambios de configuración sin guardar en el dispositivo.

    [ NSHELP-30031 ]

  • Las estadísticas del servidor virtual de GSLB no están disponibles en el modo de partición de administración.

    [ NSHELP-28524 ]

  • Un dispositivo NetScaler que haya retirado licencias de NetScaler Console pasa a un período de gracia cuando el dispositivo se desconecta de ADM. El dispositivo aparece sin licencia en ADM y continúa en el período de gracia incluso después de volver a conectarse a ADM.

    [ NSCONFIG-7098 ]

Problemas conocidos

Los problemas que existen en la versión 13.1-33.54.

AppFlow

  • HDX Insight no informa de un error de inicio de aplicación causado por un usuario que intenta iniciar una aplicación o un escritorio a los que el usuario no tiene acceso.

    [ NSINSIGHT-943 ]

Autenticación, autorización y auditoría

  • La autenticación de Gateway a través del cliente CWA o de los clientes VPN nativos puede fallar porque faltan cadenas en el patset ns_aaa_relaystate_param_whitelist.

    Solución temporal:

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixauthwebviewdone://" -index 1 -charset ASCII

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixsso://" -index 2 -charset ASCII

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixng://" -index 3 -charset ASCII

    [ NSHELP-33054 ]

  • El dispositivo NetScaler elimina el sufijo del conjunto de caracteres en el encabezado Content-Type y envía Content-Type: application/x-www-form-urlencoded si ha configurado las dos opciones siguientes.

    • Autenticación basada en formularios de SSO
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [ NSHELP-31977 ]

  • Si se configura la autenticación SAML, es posible que tenga problemas durante el cierre de sesión.

    [ NSHELP-31962 ]

  • Un dispositivo NetScaler no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

    [ NSHELP-563 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
    show adfsproxyprofile <profile name>

    Solución alternativa: conéctese al NetScaler principal activo del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

  • La página Configurar servidor LDAP de autenticación de la GUI de NetScaler deja de responder si sigue los pasos siguientes:

    • Se abre la opción Probar accesibilidad LDAP.
    • Las credenciales de inicio de sesión no válidas se rellenan y envían.
    • Las credenciales de inicio de sesión válidas se rellenan y envían.

    Solución alternativa: cierre y abra la opción Probar la accesibilidad de LDAP.

    [ NSAUTH-2147 ]

Almacenamiento en caché

  • Un dispositivo NetScaler se bloquea cuando el contenido almacenado en caché se entrega a los clientes.

    [ NSHELP-31760 ]

  • Es posible que un dispositivo NetScaler se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

    [ NSHELP-22942 ]

Dispositivo NetScaler SDX

  • Las caídas de paquetes se observan en una instancia VPX alojada en un dispositivo NetScaler SDX si se cumplen las siguientes condiciones:

    • El modo de asignación de rendimiento está en ráfaga.
    • Existe una gran diferencia entre el rendimiento y la capacidad máxima de ráfaga.

    [ NSHELP-21992 ]

NetScaler Gateway

  • El cliente Citrix Secure Access, versión 21.7.1.2 y posteriores, no puede actualizar a versiones posteriores para los usuarios sin privilegios administrativos. Este problema solo se aplica si la actualización del cliente Citrix Secure Access se realiza desde un dispositivo NetScaler.

    [ NSHELP-32793 ]

  • Cuando los usuarios hacen clic en la ficha Página principal de la pantalla de Citrix Secure Access para Windows, la página muestra el error de denegación de conexión.

    [ NSHELP-32510 ]

  • En un dispositivo Mac que usa Chrome, la extensión VPN se bloquea al acceder a dos FQDN.

    [ NSHELP-32144 ]

  • Los usuarios no pueden iniciar sesión en la VPN debido a fallas intermitentes de EPA.

    [ NSHELP-32138 ]

  • La autenticación de nFactor con un certificado de cliente opcional falla cuando no hay certificados de cliente apropiados en el dispositivo.

    [ NSHELP-32127 ]

  • El dispositivo NetScaler Gateway podría bloquearse si HDX Insight está activado.

    [ NSHELP-32120 ]

  • En una configuración de clúster, el dispositivo NetScaler se bloquea al enviar la solicitud CGP_FINISH_REQUEST al cliente.

    [ NSHELP-32029 ]

  • Cuando se inician las sesiones UDP, parecen existir conexiones obsoletas incluso después de cerrar las sesiones. Sin embargo, estas no son conexiones obsoletas en realidad, sino de un problema con el contador.

    [ NSHELP-32009 ]

  • En algunos casos, la configuración de proxy vacía de las versiones 13.0 o 13.1 de NetScaler Gateway hace que Citrix SSO cree una configuración de proxy incorrecta.

    [ NSHELP-31970 ]

  • El control del registro de depuraciones para el cliente de Citrix Secure Access ahora es independiente de NetScaler Gateway y se puede habilitar o inhabilitar desde la interfaz de usuario del complemento tanto para la máquina como para el túnel de usuario.

    [ NSHELP-31968 ]

  • El enlace a la página de inicio de la interfaz de usuario de Citrix Secure Access no funciona si Microsoft Edge es el explorador web predeterminado.

    [ NSHELP-31894 ]

  • Cuando un usuario inicia sesión en el dispositivo NetScaler y no está instalado Citrix Workspace, el enlace para descargar Citrix Workspace apunta incorrectamente a Citrix Receiver.

    [ NSHELP-31877 ]

  • Los registros de errores de autenticación de Gateway Insight muestran el nombre de usuario como “anónimo” cuando NOAUTH se configura como primer factor y la autenticación de segundo factor falla debido a credenciales no válidas. Este problema solo se produce si la configuración se realiza mediante el visualizador nFactor porque el primer factor está configurado como NOAUTH, por diseño en el visualizador nFactor.

    [ NSHELP-31795 ]

  • Las conexiones directas a los recursos fuera del túnel establecido por Citrix Secure Access pueden fallar si se produce un retraso o una congestión significativos.

    [ NSHELP-31598 ]

  • El mensaje personalizado de registro de errores de la EPA no se muestra en el portal de NetScaler Gateway. En su lugar, aparece el mensaje “error interno”.

    [ NSHELP-31434 ]

  • A veces, el inicio de sesión automático de Windows no funciona cuando un usuario inicia sesión en la máquina con Windows en un modo de servicio siempre activo. El túnel de la máquina no pasa al túnel de usuario y aparece el mensaje “Conectando… “aparece en la interfaz de usuario del plug-in de VPN.

    [ NSHELP-31357, CGOP-21192 ]

  • Las directivas de redirección por directivas (PBR) no tienen efecto para el tráfico DNS a través de VPN.

    [ NSHELP-31123 ]

  • Cuando se configura AlwaysOn, se produce un error en el túnel de usuario debido al número de versión incorrecto (1.1.1.1) en el archivo aoservice.exe.

    [ NSHELP-30662 ]

  • Los usuarios no pueden conectarse al dispositivo NetScaler Gateway después de cambiar el parámetro “networkAccessOnVPNFailure” siempre en el perfil de “fullAccess” a “onlyToGateway”.

    [ NSHELP-30236 ]

  • La página principal de la puerta de enlace no se muestra inmediatamente después de que el plug-in de puerta de enlace establezca el túnel VPN correctamente. Para solucionar este problema, se introduce el siguiente valor de Registro.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Tipo: DWORD

    De forma predeterminada, este valor de Registro no se establece ni se agrega. Cuando el valor de “SecureChannelResetTimeoutSeconds” es 0 o no se agrega, la solución para gestionar la demora no funciona, que es el comportamiento predeterminado. El administrador debe configurar este Registro en el cliente para habilitar la corrección (es decir, mostrar la página de inicio inmediatamente después de que el plug-in de puerta de enlace establezca correctamente el túnel VPN).

    [ NSHELP-30189 ]

  • El cliente VPN de Windows no respeta la alerta de “notificación de cierre SSL” del servidor y envía la solicitud de inicio de sesión de transferencia en la misma conexión.

    [ NSHELP-29675 ]

  • Al configurar el grupo de IIP (dirección IP y máscara), si la dirección IP no coincide con la primera dirección IP del rango, la CLI y la GUI de NetScaler muestran solo un bloque y no todos.

    Ejemplo:
    bind vpn vserver vpn_ssl -intranetIP 172.168.1.1 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.1 255.255.255.0

    En este caso, la CLI o la GUI, al mostrar vpn vserver vpn_ssl, solo muestra 172.168.2.1 pool y no 172.168.2.2.

    Solución temporal: utilice la primera dirección IP del rango para configurar los bloques de IIP.

    Ejemplo:

    bind vpn vserver vpn_ssl -intranetIP 172.168.1.0 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.0 255.255.255.0

    [ NSHELP-29084 ]

  • En algunos casos, el código de validación del servidor falla cuando se confía en el certificado del servidor. Como resultado, los usuarios finales no pueden acceder a la puerta de enlace.

    [ NSHELP-28942 ]

  • Es posible que observe algunas direcciones IP internas de Citrix en el archivo rdx.js.

    [ NSHELP-28682 ]

  • La autenticación de certificados de cliente falla para Citrix SSO para macOS si no hay certificados de cliente en el llavero de macOS.

    [ NSHELP-28551 ]

  • A veces, se desactiva la sesión de un usuario en NetScaler Gateway en unos segundos cuando se establece el tiempo de espera por inactividad del cliente.

    [ NSHELP-28404 ]

  • El plug-in de VPN no establece un túnel después del inicio de sesión de Windows si se cumplen las siguientes condiciones:

    • El dispositivo NetScaler Gateway está configurado para la función Always On
    • El dispositivo está configurado para la autenticación basada en certificados con la autenticación de dos factores “desactivada”

    [ NSHELP-23584 ]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • El comando “show vpn icaconnection” no muestra correctamente los números de serie de las conexiones ICA. Este problema se produce porque el número de serie se restablece arbitrariamente cuando se ejecuta el comando “show vpn icaconnection”.

    [ CGOP-22205 ]

  • Si quiere utilizar la funcionalidad Always On VPN antes de iniciar sesión en Windows, se recomienda actualizar a NetScaler Gateway 13.0 o posterior. Esto le permite aprovechar las mejoras adicionales introducidas en la versión 13.0 que no están disponibles en la versión 12.1.

    [ CGOP-19355 ]

  • El error de inicio de la aplicación debido a un tíquet STA no válido no se informa en Gateway Insight.

    [ CGOP-13621 ]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ CGOP-13584 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de NetScaler, el recuento de SR aumenta en lugar del recuento de conmutación por error en NetScaler Console.

    [ CGOP-13511 ]

  • Cuando se inicia una conexión ICA desde un receptor MAC versión 19.6.0.32 o Citrix Virtual Apps and Desktops versión 7.18, la función HDX Insight se inhabilita.

    [ CGOP-13494 ]

  • Cuando la función EDT Insight está habilitada, a veces los canales de audio pueden fallar durante una discrepancia de red.

    [ CGOP-13493 ]

  • Al aceptar conexiones de host local desde el navegador, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés independientemente del idioma seleccionado.

    [ CGOP-13050 ]

  • El texto “Página de inicio” de la Aplicación Citrix SSO > Página de inicio aparece cortado en algunos idiomas.

    [ CGOP-13049 ]

  • Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de NetScaler.

    [ CGOP-11830 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, aparece un cuadro de diálogo de error crítico. Además, la página deja de responder.

    [ CGOP-7269 ]

Web App Firewall NetScaler

  • A veces, NetScaler Web App Firewall tarda mucho en detectar la inyección de comandos. Como resultado, Pitboss reinicia el dispositivo NetScaler.

    [ NSHELP-32654 ]

  • Los ataques de reproducción de sesiones con huella digital del dispositivo bot se registran en lugar de eliminarse.

    [ NSHELP-31949 ]

Equilibrio de carga

  • En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

    [ NSLB-7679 ]

  • El dispositivo NetScaler no responde con la dirección IP de servicio correcta para la consulta de dominio GSLB si se configuran los siguientes parámetros en el servidor virtual de GSLB:

    1. La opción ECS está habilitada.
    2. La proximidad estática está configurada como método de equilibrio de carga.

    [ NSHELP-32879 ]

  • Un dispositivo NetScaler puede bloquearse y volcar el núcleo si el script del monitor de usuario devuelve una respuesta con más de 1024 bytes.

    [ NSHELP-32097 ]

  • El estado del monitor LDAP permanece activo incluso si los atributos configurados no están presentes en el servidor.

    [ NSHELP-32025 ]

  • Debido a una rara condición de carrera, puede haber inconsistencias entre el sitio local y el sitio remoto. Esta incoherencia puede deberse a que el sitio remoto no aprende el miembro dinámico del sitio local.

    La eliminación de miembros dinámicos en el sitio remoto puede no tener éxito debido a un problema durante la comunicación entre los motores de paquetes.

    [ NSHELP-31982 ]

  • Las solicitudes WALK de SNMP correspondientes al OID vserverAdvanceSslConfigTable producen un volcado de memoria cuando se configura el orden de prioridad de los servidores virtuales.

    [ NSHELP-31704 ]

  • El formato ServiceGroupName de la entityofstrampa para el grupo de servicios es el siguiente: <service(group)name>?<ip/DBS>?<port>

    En el formato de captura, el grupo de servicios se identifica mediante una dirección IP o un nombre y puerto de DBS. El signo de interrogación (“? “) se usa como separador. NetScaler envía la captura con el signo de interrogación (“?”). El formato aparece igual en la GUI de NetScaler Console. Este es el comportamiento esperado.

    [ NSHELP-28080 ]

  • En algunos casos, los servidores enlazados a un grupo de servicios muestran un valor de cookies no válido. Puede ver el valor correcto de la cookie en los registros de seguimiento.

    [ NSHELP-21196 ]

Otros

  • Cuando se realiza una sincronización forzada en una configuración de alta disponibilidad, el dispositivo ejecuta el comando “set urlfiltering parameter” en el nodo secundario.
    Como resultado, el nodo secundario omite cualquier actualización programada hasta la siguiente hora programada mencionada en el parámetro “TimeOfDayToUpdateDB”.

    [ NSSWG-849 ]

  • El Registro de la lista AlwaysOnAllow no funciona como se esperaba si el valor del registro es superior a 2000 bytes.

    [ NSHELP-31836 ]

  • Un nodo de clúster entra en un bucle de paquetes cuando se cumplen las siguientes condiciones:

    • Se envía un paquete UDP con una dirección IP de destino como CLIP a un nodo del clúster.
    • El CCO ha cambiado de un nodo a otro durante la vida útil de la instancia de clúster.

    Solución temporal: Puede evitar o terminar este bucle de paquetes aplicando una ACL de eliminación para ese paquete UDP específico con la dirección IP de destino como dirección CLIP.

    [ NSHELP-30804 ]

  • Un dispositivo NetScaler puede reiniciarse debido al estancamiento de la CPU de administración si se produce un problema de conectividad con el proveedor externo de filtrado de URL.

    [ NSHELP-22409 ]

Redes

  • En un dispositivo NetScaler BLX compatible con DPDK, las VLAN etiquetadas no son compatibles con los puertos NIC DPDK Intel i350. Esto se observa, ya que es un problema conocido presente en el controlador DPDK.

    [ NSNET-25299 ]

  • Es posible que un dispositivo NetScaler BLX con DPDK no se reinicie si se cumplen todas las condiciones siguientes:

    • Al dispositivo NetScaler BLX se le asigna un número reducido de “páginas enormes”. Por ejemplo, 1G.
    • El dispositivo NetScaler BLX se asigna con una gran cantidad de procesos de trabajo. Por ejemplo, 28.

    El problema se registra como un mensaje de error en “/var/log/ns.log “:

    • “No se pudo inicializar BLX-DPDK:DPDK Mempool para PE-x”

    Nota: x es un número <= número de procesos de trabajo.

    Solución temporal: asigne un número elevado de “páginas enormes” y, a continuación, reinicie el dispositivo.

    [ NSNET-25173 ]

  • Un dispositivo NetScaler BLX en modo DPDK puede tardar un poco más en reiniciarse debido a la funcionalidad de facilidad de DPDK.

    [ NSNET-24449 ]

  • Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo NetScaler BLX con DPDK:

    • Disable
    • Enable
    • Restablecer

    [ NSNET-16559 ]

  • La instalación de un dispositivo NetScaler BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

    “Los siguientes paquetes tienen dependencias incumplidas: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19) pero no se puede instalar”

    Solución alternativa : ejecute los siguientes comandos en la CLI del host Linux antes de instalar un dispositivo NetScaler BLX:

    • dpkg — agregar arquitectura i386
    • actualización apt-get
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • En algunos casos de conexiones de datos FTP, el dispositivo NetScaler solo realiza operaciones NAT y no procesamiento TCP en los paquetes para la negociación TCP MSS. Como resultado, la MTU de interfaz óptima no está configurada para la conexión. Esta configuración de MTU incorrecta provoca la fragmentación de los paquetes y afecta al rendimiento de la CPU.

    [ NSNET-5233 ]

  • Con ECMP configurado en un dispositivo NetScaler, se puede observar el siguiente problema en una conexión de equilibrio de carga SSH:

    • El dispositivo NetScaler envía el primer paquete a través de una ruta diferente a la del resto de los paquetes del mismo flujo.

    [ NSHELP-32089 ]

  • El dispositivo NetScaler puede bloquearse en algunos casos si se cumplen las siguientes condiciones:

    • El dispositivo NetScaler recibe varios primeros fragmentos con diferentes desplazamientos.
    • El dispositivo NetScaler no vuelve a ensamblar los fragmentos.

    [ NSHELP-32084 ]

  • En una configuración de equilibrio de carga con la opción “sin sesión” habilitada en el servidor virtual y ECMP en el servidor, se puede observar el siguiente problema:

    • El dispositivo NetScaler envía los paquetes a un servidor siempre a través de la misma ruta.

    [ NSHELP-32061 ]

  • Es posible que el dispositivo NetScaler se cierre de forma inesperada si se cumplen todas las condiciones siguientes:

    • El tiempo de espera de la ACL basada en TTL se agota
    • El dispositivo NetScaler tiene configuradas una gran cantidad de ACL.

    [ NSHELP-31307 ]

  • Al eliminar un servidor virtual, el dispositivo NetScaler establece incorrectamente el estado de RHI VIP relacionado en DOWN si se cumplen las siguientes condiciones:

    • El servidor virtual tiene servidores virtuales de respaldo.
    • El servidor virtual está en estado DESCONECTADO y al menos un servidor virtual de reserva está en estado CONECTADO.

    [ NSHELP-29972 ]

  • Cuando se cambia un límite de memoria de la partición de administración en el dispositivo NetScaler, el límite de memoria intermedia TCP se establece automáticamente en el nuevo límite de memoria de la partición de administración.

    [ NSHELP-21082 ]

Plataforma

  • La conmutación por error de alta disponibilidad no funciona en las nubes de AWS y GCP. La CPU de administración puede alcanzar su capacidad del 100% en las nubes de AWS y GCP, y en NetScaler VPX en las instalaciones. Ambos problemas se producen cuando se cumplen las siguientes condiciones:

    1. Durante el primer arranque del dispositivo NetScaler, no guarda la contraseña solicitada.
    2. Posteriormente, reinicie el dispositivo NetScaler.

    [ NSPLAT-22013 ]

  • Cuando actualiza de compilaciones 13.0/12.1/11.1 a una versión 13.1 o baja de una compilación 13.1 a 13.0/12.1/11.1, algunos paquetes python no se instalan en los dispositivos NetScaler. Este problema se ha solucionado en las siguientes versiones de NetScaler:

    • 13.1-4.x
    • 13.0-82.31 y posteriores
    • 12.1-62.21 y posteriores

    Los paquetes python no se instalan cuando se degrada la versión de NetScaler de la versión 13.1-4.x a cualquiera de las siguientes versiones:

    • Cualquier compilación 11.1
    • 12.1-62.21 y anteriores
    • 13.0-81.x y anteriores

    [ NSPLAT-21691 ]

  • Al eliminar una configuración de escalabilidad automática o un conjunto de escalas de VM de un grupo de recursos de Azure, elimine la configuración del perfil de nube correspondiente de la instancia de NetScaler. Utilice el comando “rm cloudprofile” para eliminar el perfil.

    [ NSPLAT-4520 ]

  • En una configuración de alta disponibilidad en Azure, al iniciar sesión en el nodo secundario a través de la GUI, aparece la pantalla de usuario por primera vez (FTU) para la configuración del perfil de nube de escalabilidad automática.
    Solución alternativa: omita la pantalla e inicie sesión en el nodo principal para crear el perfil de nube. El perfil de la nube siempre debe configurarse en el nodo principal.

    [ NSPLAT-4451 ]

  • En la plataforma NetScaler SDX 8015/8400/8600, es posible que observe un aumento en el consumo de memoria en el servidor Xen.
    Solución temporal: ejecute el siguiente comando en Xen Server y, a continuación, reinicie el dispositivo.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [ NSHELP-32260 ]

  • A partir de la versión 13.1 de NetScaler, el dispositivo NetScaler no se inicia en un hipervisor ESXi con más de 8 interfaces de red VMXNET3.

    [ NSHELP-31266 ]

Directivas

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución alternativa: establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

  • En un dispositivo NetScaler, es posible que las directivas de cambio de contenido que se migran de directivas clásicas a directivas avanzadas mediante la herramienta NSPEPI no funcionen si se cumplen las siguientes condiciones:

    • Las directivas están vinculadas al vserver de conmutación de contenido.
    • El parámetro “caseSensitive” está desactivado.

    [ NSHELP-31951 ]

  • Un dispositivo NetScaler puede bloquearse durante la adición de una directiva con un patset cuando se cumple la siguiente condición:

    • El indicador asociado a NSB está configurado en el orden incorrecto para el caso Rewrite TCP.

    [ NSHELP-31064 ]

SSL

  • En un clúster heterogéneo de dispositivos NetScaler SDX 22000 y NetScaler SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

    Solución temporal:

    1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
    2. Guarde la configuración.

    [ NSSSL-9572 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo NetScaler no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
    ERROR: actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

  • Un tíquet de sesión caducado se respeta en un nodo que no es de CCO y en un nodo de alta disponibilidad después de una conmutación por error de alta disponibilidad.

    [ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

  • Un dispositivo NetScaler que contenga una tarjeta SSL Cavium podría bloquearse al enviar un mensaje DTLS ALERT al cliente.

    [ NSHELP-32031 ]

  • Un protocolo de enlace SSL puede fallar si se cumple la siguiente secuencia de condiciones:

    1. Hello Verify Request (HVR) está habilitada en DTLS.
    2. El dispositivo NetScaler envía una HVR al cliente.
    3. El cliente no recibe la HVR.
    4. El cliente intenta retransmitir el primer saludo del cliente en lugar de responder al HVR con una cookie de sesión.

    Nota: En respuesta al mensaje de saludo del cliente retransmitido, el dispositivo ADC envía el HVR al cliente un máximo de tres veces. Si no se recibe una respuesta adecuada, el dispositivo no supera el protocolo de enlace.

    [ NSHELP-31808 ]

  • Un dispositivo NetScaler podría bloquearse si la regla de autenticación de certificados se evalúa y se activa dos veces en la misma solicitud.

    [ NSHELP-31785 ]

  • La GUI de NetScaler, a la que se accede a través de una dirección IP de clúster (CLIP), no muestra los enlaces de certificados de servidor a un servidor virtual SSL.

    [ NSHELP-31602 ]

  • La verificación de la respuesta de OCSP puede fallar durante la interceptación SSL si no hay un certificado de CA válido en el paquete de certificados predeterminado. El error se produce porque la verificación de la respuesta del OCSP se realizó de forma incorrecta utilizando el paquete de certificados predeterminado en lugar del paquete de certificados configurado.

    [ NSHELP-30594 ]

  • Es posible que un dispositivo NetScaler se bloquee al procesar el tráfico SSL en modo software.

    [ NSHELP-29996 ]

Sistema

  • En un dispositivo NetScaler, el marco de modificación de encabezados provoca daños en la memoria. Esta condición se produce cuando las cookies que va a consumir el dispositivo NetScaler se eliminan en una secuencia determinada antes de reenviarlas.

    [ NSHELP-32799 ]

  • En un dispositivo NetScaler, el valor predeterminado del parámetro “maxHeaderFieldLen” del perfil HTTP provoca el siguiente problema.

    • Fallo de tráfico tras actualizar a la compilación 13.0.

    [ NSHELP-32079 ]

  • Un dispositivo NetScaler puede fallar si AppFlow solo está habilitado en el lado del cliente.

    [ NSHELP-31892 ]

  • El dispositivo NetScaler configurado con un servicio SSL se bloquea cuando el dispositivo recibe un paquete de control TCP FIN seguido de un paquete de control TCP RESET.

    [ NSHELP-31656 ]

  • Un cliente de gRPC no puede analizar el encabezado de estado de gRPC cuando se cumple la siguiente condición:

    • El encabezado de estado de gRPC se agrega tanto en el encabezado inicial como en el encabezado final en lugar de agregarse solo en el encabezado final.

    [ NSHELP-31640 ]

  • Se observa un RTT alto en una conexión TCP si se cumple la siguiente condición:

    • se establece una ventana de congestión máxima alta (>4 MB)
    • El algoritmo TCP NILE está activado

    Para que un dispositivo NetScaler utilice el algoritmo NILE para el control de la congestión, las condiciones deben superar el umbral de inicio lento, que se combina con la ventana de congestión máxima

    Por lo tanto, hasta que se alcance la ventana de congestión máxima configurada, el NetScaler sigue aceptando datos y termina con un RTT alto.

    [ NSHELP-31548 ]

  • En un dispositivo NetScaler, se observa el siguiente problema al habilitar la configuración de HTTP/2 para una IP virtual (VIP) de conmutación de contenido o equilibrio de carga.

  • Al utilizar la función de inspección de contenido, es posible que la inserción del encabezado de reescritura con carga útil no funcione correctamente.

    [ NSHELP-30088 ]

  • El valor MAX_CONCURRENT_STREAMS se establece en 100 de forma predeterminada si el dispositivo no recibe el marco de configuración max_concurrent_stream del cliente.

    [ NSHELP-21240 ]

  • Los contadores mptcp_cur_session_without_subflow disminuyen incorrectamente a un valor negativo en lugar de cero.

    [ NSHELP-10972 ]

  • En una implementación de clúster, si ejecuta el comando “forzar la sincronización del clúster” en un nodo que no es de CCO, el archivo ns.log contiene entradas de registro duplicadas.

    [ NSBASE-16304, NSGI-1293 ]

  • Al instalar NetScaler Console en un clúster de Kubernetes, no funciona como se esperaba porque es posible que no se inicien los procesos necesarios.

    Solución alternativa: Reinicie el pod de administración.

    [ NSBASE-15556 ]

  • La IP del cliente y la IP del servidor se invierten en el registro SkipFlow de HDX Insight cuando el tipo de transporte LogStream se configura para Insight.

    [ NSBASE-8506 ]

Interfaz de usuario

  • Para la función Reescritura de MQTT, no puede eliminar una expresión mediante el Editor de expresiones en la GUI.

    Solución temporal: utilice el comando agregar o modificar acciones de tipo MQTT a través de la CLI.

    [ NSUI-18049 ]

  • En la GUI de NetScaler, el enlace “Ayuda” que aparece en la ficha “Panel de control” está roto.

    [ NSUI-14752 ]

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución alternativa: configure los conectores de Cloudbridge añadiendo perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o la CLI de NetScaler.

    [ NSUI-13024 ]

  • Si crea una clave ECDSA mediante la interfaz gráfica de usuario, no se muestra el tipo de curva.

    [ NSUI-6838 ]

  • Tras crear un perfil para NetScaler Web App Firewall e intentar generar el informe de configuración del firewall de aplicaciones en Sistema > Informes, aparece el siguiente error:

    “No se pudo cargar el documento PDF”.

    [ NSHELP-32469 ]

  • En una configuración de alta disponibilidad (HA), al buscar la dirección IP local para la herramienta nsconf, se observa el siguiente problema.

    • Error al iniciar sesión en la conexión del host Este error se produce si la contraseña del nodo RPC es diferente para los nodos principal y secundario en la configuración de alta disponibilidad.

    Solución temporal: En una configuración de alta disponibilidad, asegúrese de que la contraseña del nodo RPC para los nodos principal y secundario sea la misma.

    [ NSHELP-32083 ]

  • En la versión 13.0 de NetScaler, el botón OK de la página Configurar el servicio de servidor virtual de equilibrio de carga prioritario aparece en gris.

    [ NSHELP-32007 ]

  • Es posible que la página de inicio de sesión del dispositivo NetScaler no muestre el nombre de usuario válido una vez que el usuario haya iniciado sesión.

    [ NSHELP-31759 ]

  • En una configuración de HA o clúster, la sincronización de la configuración falla si ha configurado claves SSH distintas de RSA. Por ejemplo, las claves ECDSA o DSA.

    [ NSHELP-31675 ]

  • En la GUI de NetScaler, si hay un destino de captura SNMP existente en Sistema>SNMP>Traps, se produce un error al modificar ese destino y se muestra el siguiente mensaje de error:

    • “Error al recuperar la captura SNMP”

    [ NSHELP-31661 ]

  • La GUI del dispositivo NetScaler no muestra el recuento correcto de las directivas de IDP de SAML y OAuth configuradas.

    [ NSHELP-31480 ]

  • En un dispositivo NetScaler, al utilizar la interfaz GUI, aparece el siguiente problema en la página de directivas de respuesta:

    • Las directivas de respuesta creadas a medida pueden mostrarse debajo de las directivas de respuesta integradas.

    [ NSHELP-31428 ]

  • En una configuración de NetScaler HA, se observa el siguiente problema en la GUI de NetScaler después de guardar una configuración y hacer clic en el botón de actualización:

    • La GUI muestra incorrectamente el punto naranja en el botón Guardar, incluso cuando no hay cambios de configuración sin guardar en el dispositivo.

    [ NSHELP-30031 ]

  • Las estadísticas del servidor virtual de GSLB no están disponibles en el modo de partición de administración.

    [ NSHELP-28524 ]

  • En una configuración de alta disponibilidad, las sesiones de usuario VPN se desconectan si se cumple la siguiente condición:

    • Si se realizan dos o más operaciones de failover manual de alta disponibilidad sucesivas cuando la sincronización de alta disponibilidad está en curso.

    Solución temporal: Realice sucesivas conmutaciones por error de HA manuales solo después de que se haya completado la sincronización de HA (ambos nodos se encuentran en el estado de sincronización correcta).

    [ NSHELP-25598 ]

  • En una configuración de alta disponibilidad de los dispositivos NetScaler BLX, es posible que el nodo principal deje de responder bloqueando cualquier solicitud de CLI o API.

    Solución temporal: reinicie el nodo principal.

    [ NSCONFIG-6601 ]

  • Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo NetScaler, es posible que los usuarios del sistema no inicien sesión en el dispositivo NetScaler degradado.

    1. Actualice el dispositivo NetScaler a una de las compilaciones
      • 13.0 52.24 compilación
      • 12.1 57,18 compilación
      • 11.1 65.10 compilación
    2. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
    3. Rebaja la versión del dispositivo NetScaler a cualquier versión anterior.

    Para mostrar la lista de estos usuarios del sistema mediante la CLI:
    En la línea de comandos, escriba:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solución temporal: Para corregir este problema, utilice una de las siguientes opciones independientes:

    • Si el dispositivo NetScaler aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo NetScaler con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
    • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
    • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [ NSCONFIG-3188 ]

Notas de lanzamiento de la versión 13.1-33.54 de NetScaler
March 16, 2024
Contribución de: 
C
March 16, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.