Documentación de productos
ADC
14.1 - Current Release 13.1 13.0 12.1
Ver PDF

Notas de lanzamiento de la versión 13.1-45.64 de NetScaler

March 16, 2024
Contribución de: 
C

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen en la versión 13.1-45.64 de NetScaler.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • La compilación 13.1-45.61 y las versiones posteriores abordan las vulnerabilidades de seguridad descritas en CTX477714.
  • La compilación 13.1-45.64 reemplaza a la compilación 13.1-45.61 y la compilación 13.1-45.63. Sin embargo, si ha actualizado a la compilación 13.1-45.61, es posible que se pierda la configuración. Consulte CTX547038 para conocer los pasos de corrección.
  • Las compilaciones 13.1-45.63 incluyen correcciones para NSSSL-12761 y NSHELP-35058, además de todas las mejoras y correcciones de errores disponibles en la compilación 13.1-45.61.
  • La compilación 13.1-45.64 incluye la corrección para NSBASE-18162 (NSHELP-35288), junto con todas las mejoras y correcciones de errores disponibles en la compilación 13.1-45.63.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.1-45.64.

Dispositivo NetScaler SDX

  • Comprobaciones adicionales durante la actualización de un dispositivo SDX

    Ahora, no se permitirá actualizar el dispositivo NetScaler SDX si se produce un error en la conexión de Secure Shell (SSH) del Servicio de administración a XenServer/Citrix Hypervisor.

    [NSSVM-5114]

  • Habilitar o inhabilitar la complejidad de las contraseñas al crear perfiles de administrador

    El dispositivo NetScaler SDX ahora permite habilitar o inhabilitar la complejidad de las contraseñas en las instancias VPX mediante la GUI o la CLI.

    • Cuando la complejidad de la contraseña está habilitada, la longitud mínima de la contraseña requerida es de 4 caracteres, que antes era de 6 caracteres.
    • Cuando la complejidad de la contraseña está inhabilitada, la longitud mínima de la contraseña requerida es de 1 carácter.

    [ NSSVM-4889 ]

Web App Firewall NetScaler

  • Configure la autenticación por proxy para NetScaler Web App Firewall, bot y reputación IP

    Ahora puede configurar la autenticación proxy para las actualizaciones de firmas de NetScaler Web App Firewall, las actualizaciones de firmas de bots y las actualizaciones de reputación. La autenticación por proxy proporciona una capa adicional de seguridad para el dispositivo. El dispositivo NetScaler que tiene habilitada la autenticación proxy se autentica con el servidor proxy antes de descargar las actualizaciones de Internet. De esta forma, puede proteger sus dispositivos de descargas maliciosas.
    Para configurar la autenticación del proxy, especifique el nombre de usuario y la contraseña del proxy en la configuración de las siguientes funciones de seguridad:

    [NSWAF-9532]

  • El atributo apache_mode está en desuso

    El apache_mode atributo del parámetro invalidPercentHandling del comando add appfw profile está en desuso.

    [NSWAF-4110]

Equilibrio de carga

  • Aumento del número máximo de entradas personalizadas

    Ahora puede agregar un máximo de 3000 entradas de ubicación personalizadas para especificar los calificadores de ubicación para los rangos de direcciones IP. Estas entidades se utilizan en el método de proximidad estática de la GSLB y en las directivas de coincidencia de ubicación.

    Para obtener más información, consulte Agregar entradas personalizadas a una base de datos de proximidad estática.

    [ NSLB-9755 ]

Redes

  • Soporte de configuración automática para el dispositivo NetScaler BLX

    Se han agregado las siguientes funciones de configuración automática para el dispositivo NetScaler BLX:

    • Puede configurar el dispositivo NetScaler BLX para agregar automáticamente todos los puertos NIC del host de Linux como puertos dedicados para el dispositivo. Para esta configuración automática, debe establecer el blx-managed-host valor en 1 y comentar las dos líneas que contienen el parámetro interface en el archivo de configuración de NetScaler BLX ().blx.conf El dispositivo agrega automáticamente todos los puertos NIC del host de Linux como puertos dedicados. Además, el dispositivo detecta automáticamente los puertos NIC compatibles con DPDK y los vincula al módulo DPDK VFIO del host de Linux.
    • Puede configurar un dispositivo NetScaler BLX en modo dedicado para configurar automáticamente la dirección NSIP y la puerta de enlace predeterminada para el dispositivo. Para esta configuración automática, debe establecer el blx-managed-host valor en 1 y comentar las líneas que contienen los default parámetros ipaddress y en el archivo de configuración de NetScaler BLX ().blx.conf El dispositivo selecciona uno de sus puertos NIC dedicados como puerto predeterminado que tiene la ruta de puerta de enlace con mayor prioridad presente en el host de Linux. La dirección IP de los puertos predeterminados y la puerta de enlace predeterminada se configuran como la dirección NSIP y la puerta de enlace predeterminada para el dispositivo NetScaler BLX.

    [NSNET-27468]

  • Compatibilidad con la versión 9.x de RHEL para dispositivos NetScaler BLX

    El dispositivo NetScaler BLX ahora es compatible con las plataformas Red Hat Enterprise Linux (RHEL) versión 9.x.

    [NSNET-27421]

Directivas

  • Posibilidad de utilizar la herramienta NSPEPI en los dispositivos NetScaler BLX y CPX

    Las herramientas de configuración NSPEPI y Check Unvalid ahora son compatibles con los dispositivos NetScaler CPX y BLX.

    [ NSPOLICY-4872 ]

SSL

  • Continuar con el protocolo SSL con un nombre de servidor desconocido

    El dispositivo NetScaler ahora permite que el protocolo de enlace SSL continúe incluso para un nombre de servidor desconocido, y deja que el cliente tome la decisión de anular o completar el protocolo de enlace.

    Anteriormente, el dispositivo cancelaba el protocolo de enlace SSL cuando recibía un saludo de cliente con un nombre de servidor desconocido.

    [NSSSL-10918]

Sistema

  • Soporte de compresión para el método de solicitud HTTP PUT
    Un dispositivo NetScaler ahora comprime la respuesta HTTP recibida del servidor para las solicitudes HTTP que utilizan el método de solicitud PUT.

    [NSHELP-32695]

  • Configurar la frecuencia de exportación del recopilador de métricas

    De forma predeterminada, el recopilador de métricas admite la exportación de datos de análisis de series temporales cada 30 segundos. Ahora puede configurarlo como un valor de 30 a 300 segundos para poder decidir el intervalo para exportar los datos del perfil de análisis de series temporales desde NetScaler.

    [ NSBASE-17561 ]

  • Soporte para la exportación directa de registros de auditoría a Splunk

    El registro de auditoría le permite registrar los estados de NetScaler y la información de estado recopilada por varios módulos de NetScaler. Puede exportar los registros de auditoría de NetScaler a Splunk y obtener información significativa útil para la solución de problemas. Esta función le permite utilizar el recopilador de eventos HTTP proporcionado por Splunk para enviar registros de auditoría a través de HTTP (o HTTPS) directamente desde su NetScaler a Splunk.

    [ NSBASE-17559 ]

  • Soporte para multiplexación de conexiones HTTP/2 de WebSocket

    El dispositivo NetScaler ahora admite la multiplexación de conexiones WebSocket. Las conexiones WebSocket se admiten a través de HTTP/2. Puede habilitar las conexiones de WebSocket mediante la CLI o la GUI.

    [ NSBASE-17307 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.1-45.64.

AppFlow

  • El recopilador de métricas de la instancia de NetScaler deja de responder de forma intermitente. Como resultado, cada vez que el recopilador de métricas deje de responder, es posible que no se exporte un intervalo (30 segundos) de datos de análisis.

    [ NSHELP-34048 ]

Autenticación, autorización y auditoría

  • En algunos dispositivos NetScaler que tienen habilitado el GSLB, se produce un error en la redirección del servidor virtual de autenticación al servidor virtual de equilibrio de carga debido a un cálculo de URL no válido.

    [ NSHELP-33459 ]

  • Cuando se utiliza NetScaler como proveedor de OpenID (IdP de OAuth) y se configura GSLB con él, la autenticación de OAuth con la parte que confía (RP) falla durante la validación del token, lo que puede provocar un error de autenticación en la fiesta de retransmisión de OAuth (RP).

    [ NSHELP-33455 ]

  • El dispositivo NetScaler puede fallar cuando se configura como proveedor de servicios SAML y se actualizan los certificados SSL.

    [ NSHELP-33243, NSHELP-32966, NSHELP-33242, NSHELP-34366 ]

  • La autenticación OAuth en un dispositivo NetScaler falla debido a problemas con el análisis de los tokens.

    [NSHELP-31573]

Administración de bots

  • El dispositivo NetScaler intenta descargar los datos de la base de datos IP cuando la función de reputación IP está inhabilitada.

    [NSHELP-34488]

Almacenamiento en caché

  • Un dispositivo NetScaler podría reiniciarse si el valor Max-Age del encabezado Cache-Control para los objetos almacenados en caché se modifica en el servidor de fondo.

    [NSHELP-34078]

  • En una configuración de clúster, la información de la directiva global de caché que se muestra en la GUI o la CLI está incompleta cuando se accede a la configuración del clúster mediante la dirección CLIP.

    [ NSCACHE-521 ]

Dispositivo NetScaler SDX

  • Es posible que un dispositivo NetScaler SDX se bloquee al intentar acceder a la “asignación de núcleos” desde el panel del servicio de administración.

    [NSHELP-34537]

  • A veces, es posible que un dispositivo NetScaler SDX no se comporte como se esperaba si las criptounidades asimétricas (ACU) y las unidades criptográficas simétricas (SCU) que se asignan a una instancia VPX no son un múltiplo del núcleo del motor de paquetes (PE). Es decir, 1000* número de núcleos de PE.

    [ NSHELP-34389 ]

  • El servicio de administración (SVM) puede fallar al modificar cualquiera de las propiedades de una instancia VPX desde la interfaz de usuario del servicio de administración.

    [ NSHELP-34297 ]

  • Al intentar cambiar la dirección IP de compatibilidad en un dispositivo NetScaler SDX accediendo a Configuración > Sistema > Asistente de configuración > Red de administración > modificar la IP de compatibilidad, no se guardanlos cambios. Los cambios se bloquean al hacer clic en “sí” en el mensaje. Se muestra un error de referencia indefinido en el navegador.

    Corrección: compruebe si hay un objeto indefinido antes de hacer referencia.

    [NSHELP-34141]

NetScaler Gateway

  • Tras una actualización, es posible que el dispositivo NetScaler se bloquee cuando HDX Insight esté activado.

    [ NSHELP-35058 ]

  • Tras una actualización, es posible que el dispositivo NetScaler se bloquee al iniciar una conexión proxy RDP.

    [ NSHELP-33420 ]

  • El perfil Always On se desactiva en una acción de sesión VPN cuando se vuelve a configurar la acción de sesión VPN.

    [ NSHELP-33396 ]

  • Tras una actualización, es posible que un dispositivo NetScaler se bloquee durante la primera sincronización de HA.

    [ NSHELP-32957 ]

Web App Firewall NetScaler

  • El dispositivo NetScaler puede fallar durante la implementación de HA si las reglas de firma de Web App Firewall contienen alguno de los siguientes objetos:

    • Patsets
    • Conjuntos de datos
    • Mapas de cuerdas
    • Expresiones con nombre

    [ NSHELP-34338 ]

  • Al exportar las reglas de relajación, la descarga lleva más tiempo y el archivo no se descarga por completo. Este problema se produce si el tamaño del archivo es superior a 5 MB.

    [ NSHELP-34044 ]

  • Cuando se actualiza la directiva de firewall de aplicaciones web en el servidor virtual, se observan los siguientes problemas:

    • La GUI y la CLI de NetScaler no respondieron o tardaron más de lo habitual.
    • La utilización de la CPU por paquetes ha aumentado al 100%
    • Se ha aumentado el número de sesiones de persistencia.

    [ NSHELP-33975 ]

  • Es posible que la regla de relajación por inyección del comando JSON no funcione si contiene punto y coma (;) o un punto (.) en la regla de relajación.

    [NSHELP-33606]

Equilibrio de carga

  • El dispositivo NetScaler se bloquea cuando se cumplen las siguientes condiciones y se desvinculan todos los servicios y se vuelven a vincular.

    • Un servidor virtual de equilibrio de carga se configura con el método basado en hash.
    • Los servicios están enlazados a este servidor virtual con prioridad.

    [NSHELP-34314]

  • En una configuración de HA, el dispositivo NetScaler se bloquea cuando se elimina el grupo de servicios que está enlazado a varios servidores virtuales.

    [ NSHELP-34029 ]

  • Puede aparecer el siguiente error al agregar o modificar una configuración de equilibrio de carga en un dispositivo NetScaler:

    Es posible que la configuración sea incoherente. Compruébelo con el comando “show configstatus” o reinicie.

    Este problema se produce cuando se utiliza el comando set lb vserver junto con los parámetros httpRedirectURL y redirectFromPort.

    [NSHELP-33912]

  • En raras ocasiones, nsmap se bloquea. Como resultado, es posible que algunos de los dispositivos NetScaler que utilizan bases de datos de geolocalización no funcionen según lo previsto.

    [ NSHELP-33840 ]

  • Si los servicios se inhabilitan y, a continuación, se habilitan en una configuración de alta disponibilidad, es posible que algunos monitores pasen al estado SKIP_OFS cuando se produzca una conmutación por error.

    [NSHELP-33717]

  • El comando show cs vserver no muestra el parámetro de la regla, aunque el parámetro esté configurado en la directiva de conmutación de contenido y enlazado al servidor virtual de conmutación de contenido.

    [NSHELP-33506]

  • Durante la duplicación de la conexión, el dispositivo NetScaler se bloquea cuando la directiva de reescritura supera los 30 bytes.

    [ NSHELP-32902 ]

  • Se genera una alerta SNMP incluso si el uso del ancho de banda está dentro del límite configurado. Este problema se produce cuando se comparan dos tipos de datos diferentes y uno de los parámetros se interrumpe cuando se incrementa.

    [NSHELP-32509]

  • Un dispositivo NetScaler con una configuración de duplicación de conexiones se bloquea cuando se envían paquetes gigantes.

    [NSHELP-31072]

  • El dispositivo NetScaler VPX se bloquea cuando se cumplen las siguientes condiciones:

    1. La opción de sincronización automática se utiliza para sincronizar la configuración con otros sitios GSLB.
    2. El número de encarnación que se usa para obtener la memoria caché GSLB es un múltiplo de 1024.

    [NSHELP-30075]

  • En una configuración GSLB, falta el certificado SSL en los sitios subordinados. Este problema se produce cuando la opción de sincronización automática está habilitada y los sitios subordinados tienen certificados SSL que no están disponibles en el sitio maestro.

    [ NSHELP-29309 ]

Otros

  • Al ejecutar el script “ns_hw_err.bash” en el dispositivo NetScaler, aparece el siguiente mensaje de error:
    “error: no se puede abrir el archivo ‘ns_hw_plugins.py’: [Errno 2] No existe ese archivo o directorio”

    [ NSHELP-32991 ]

  • En una configuración de clúster, la sincronización automática de archivos falla cuando la dirección IP del clúster está configurada en una subred diferente de la subred de la dirección NSIP.

    [NSHELP-29988]

Plataforma

  • Tras actualizar el dispositivo ADC a la versión 13.1, compilación 42.47, en algunas implementaciones de VPX en la nube pública, es posible que observe que los servicios HTTP y TCP oscilan entre los estados ACTIVO e INACTIVO.

    [ NSPLAT-26310 ]

  • En un dispositivo SDX que ejecute la versión 4.08 del firmware de BMC, al realizar una actualización de un solo paquete desde la versión 13.0 de la versión 84.X, la actualización del firmware de administración de apagados (LOM) a la 4.14 durante el arranque del sistema puede bloquearse de forma intermitente y agotarse después de 30 minutos.

    [ NSPLAT-26148 ]

  • En una configuración de alta disponibilidad de una instancia NetScaler VPX en la nube de AWS, el contenido del archivo “cloud-ha-daemon.log” que se almacena en la ubicación /var/log/ se imprime dos veces en lugar de una.

    [ NSPLAT-25687 ]

  • En un dispositivo NetScaler SDX, las instancias VPX pueden funcionar con el valor de rendimiento mínimo configurado como parte del modo de ráfaga, aunque haya suficiente rendimiento disponible en el dispositivo SDX para gestionar las ráfagas de tráfico.

    [ NSHELP-33875, NSHELP-34667 ]

  • En las plataformas NetScaler MPX 9100, MPX 9100T, MPX 16000 y MPX 16000T, es posible que el dispositivo quede sin licencia si cambia el ID de host de la licencia.

    [NSHELP-33745, NSHELP-33756, NSHELP-33801]

SSL

  • Los comandos para vincular un par de claves de certificado y una curva ECC a un servicio SSL, un grupo de servicios o un servicio interno no se guardan en la configuración (ns.conf).

    [ NSSSL-12761 ]

  • Tras actualizar a la versión 13.1, compilación 37.x, es posible que no pueda negociar el uso del protocolo TLSv1.0 aunque la configuración no haya cambiado.

    [NSHELP-34345]

Sistema

  • Las respuestas HTTP comprimidas por el dispositivo NetScaler pueden provocar errores en algunos clientes HTTP (S) debido a que se añaden caracteres de espacio iniciales al valor del campo de encabezado de respuesta HTTP de longitud del contenido.

    [ NSHELP-34660 ]

  • El dispositivo NetScaler configurado para registrar todos los encabezados HTTP se bloquea cuando se recibe una solicitud o respuesta HTTP con más de 20 encabezados largos.

    [ NSHELP-34145 ]

  • El dispositivo NetScaler podría bloquearse si se configura un recopilador de AppFlow de tipo rest en la partición de administración.

    [NSHELP-33600]

  • En la versión 13.1 de NetScaler, versión 33.47 y versiones posteriores, no puede habilitar ni inhabilitar los eventos, las métricas ni los parámetros del registro de auditoría mediante la GUI o la CLI.

    [NSHELP-33247]

  • Un cliente de gRPC no puede analizar el encabezado de estado de gRPC cuando se cumple la siguiente condición:

    • El encabezado de estado de gRPC se agrega tanto en el encabezado inicial como en el encabezado final en lugar de agregarse solo en el encabezado final.

    [ NSHELP-31640 ]

  • Se puede producir una pérdida de memoria en el dispositivo NetScaler si se cumplen las dos condiciones siguientes:

    • La función de compresión HTTP está habilitada.
    • La conexión se restablece en mitad de la transacción.

    [ NSHELP-30631 ]

  • Un dispositivo Citrix ADC puede fallar cuando un servidor virtual habilitado para HTTP/2 genera una respuesta para una solicitud HTTP/2, en lugar de reenviar la solicitud al servicio de fondo.

    [ NSBASE-18162, NSHELP-35288 ]

  • La respuesta gRPC solo en el encabezado del dispositivo NetScaler a los clientes no contiene el estado del gRPC ni el mensaje del gRPC.

    [ NSBASE-17802 ]

Interfaz de usuario

  • Si utiliza particiones de administración, no puede eliminar un certificado SSL mediante la interfaz gráfica de usuario.

    [NSHELP-34429]

  • En la GUI de NetScaler, la columna Vinculado a de la páginaConfigurar la vinculación de directivas de conmutación de contenidomuestra la cadena “CS Virtual Server” en lugar del nombre real del servidor virtual de conmutación de contenido al que está vinculada la directiva.

    [NSHELP-34374]

  • La configuración del servicio alternativo para un perfil HTTP puede fallar al utilizar la GUI de NetScaler.

    [ NSHELP-34304 ]

  • Al vincular el perfil AppFW a la expresión de registro, el parámetro de estado se establece como activado de forma predeterminada. Sin embargo, cuando se actualiza el sistema, el parámetro se restablece a inhabilitado.

    [ NSHELP-34187 ]

  • Es posible que se produzca un error al descargar los archivos principales que estén presentes en la página “Diagnóstico” (“Sistema > Diagnóstico”) de la GUI de NetScaler.

    [ NSHELP-33644 ]

  • En la GUI de NetScaler, al hacer clic en el botón de edición de una captura SNMP de tipo específico, se muestran los detalles de una captura SNMP de tipo genérico en lugar de la captura SNMP de tipo específico.

    [ NSHELP-33520 ]

  • Las llamadas GET by name del SDK de NITRO Python fallan y muestran el mensaje de error “variable local ‘respuesta’ a la que se hace referencia antes de la asignación” para los siguientes recursos:

    • appfwhtmlerrorpage
    • appfwjsonerrorpage
    • appfwprotofile
    • appfwsignatures
    • appfwwsdl
    • appfwxmlerrorpage
    • appfwxmlschema
    • botsignature
    • responderhtmlpage

    [NSHELP-32525]

  • En una configuración de clúster, la show HTTP monitor operación que se realiza en la dirección CLIP no muestra los códigos de respuesta HTTP multivalor.

    [ NSCONFIG-7107 ]

Problemas conocidos

Los problemas que existen en la versión 13.1-45.64.

Autenticación, autorización y auditoría

  • El dispositivo NetScaler puede fallar cuando el servidor virtual de autenticación se usa en una partición no predeterminada.

    [ NSHELP-32054 ]

  • Los administradores no pueden realizar un registro personalizado de los errores de autenticación que se producen debido a credenciales no válidas. Este problema se produce porque las directivas de respuesta de NetScaler no detectan los errores de inicio de sesión.

    [ NSAUTH-11151 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
    show adfsproxyprofile <profile name>

    Solución alternativa: conéctese al NetScaler principal activo del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

  • La página Configurar servidor LDAP de autenticación de la GUI de NetScaler deja de responder si sigue los pasos siguientes:

    • Se abre la opción Probar accesibilidad LDAP.
    • Las credenciales de inicio de sesión no válidas se rellenan y envían.
    • Las credenciales de inicio de sesión válidas se rellenan y envían.

    Solución alternativa: cierre y abra la opción Probar la accesibilidad de LDAP.

    [ NSAUTH-2147 ]

NetScaler Gateway

  • No se puede acceder a los recursos de la intranet que se superpongan con un rango de direcciones IP falsificado si el túnel dividido está desactivado en el cliente de Citrix Secure Access.

    [ NSHELP-34334 ]

  • La conexión VPN siempre activa falla de forma intermitente al iniciarse debido a la accesibilidad del servidor Gateway.

    [ NSHELP-33500 ]

  • Si los valores del Registro relacionados con Citrix Secure Access superan los 1500 caracteres, el recopilador de registros no puede recopilar los registros de errores.

    [ NSHELP-33457 ]

  • Cuando se utiliza el controlador de la plataforma de filtrado de Windows (WFP), a veces el acceso a la intranet no funciona después de volver a conectar la VPN.

    [NSHELP-32978]

  • El cliente Citrix Secure Access, versión 21.7.1.2 y posteriores, no puede actualizar a versiones posteriores para los usuarios sin privilegios administrativos. Este problema solo se aplica si la actualización del cliente Citrix Secure Access se realiza desde un dispositivo NetScaler.

    [ NSHELP-32793 ]

  • Cuando los usuarios hacen clic en la ficha Página principal de la pantalla de Citrix Secure Access para Windows, la página muestra el error de denegación de conexión.

    [ NSHELP-32510 ]

  • En un dispositivo Mac que usa Chrome, la extensión VPN se bloquea al acceder a dos FQDN.

    [ NSHELP-32144 ]

  • En algunos casos, la configuración de proxy vacía en NetScaler Gateway 13.0 o 13.1 hace que Citrix SSO cree una configuración de proxy incorrecta.

    [ NSHELP-31970 ]

  • Las conexiones directas a los recursos fuera del túnel establecido por Citrix Secure Access pueden fallar si se produce un retraso o una congestión significativos.

    [ NSHELP-31598 ]

  • El mensaje personalizado de registro de errores de la EPA no se muestra en el portal de NetScaler Gateway. En su lugar, aparece el mensaje “error interno”.

    [ NSHELP-31434 ]

  • A veces, el inicio de sesión automático de Windows no funciona cuando un usuario inicia sesión en la máquina con Windows en un modo de servicio siempre activo. El túnel de la máquina no pasa al túnel de usuario y aparece el mensaje “Conectando… “aparece en la interfaz de usuario del plug-in de VPN.

    [ NSHELP-31357, CGOP-21192, NSHELP-34211 ]

  • Cuando se configura AlwaysOn, se produce un error en el túnel de usuario debido al número de versión incorrecto (1.1.1.1) en el archivo aoservice.exe.

    [ NSHELP-30662 ]

  • Los usuarios no pueden conectarse al dispositivo NetScaler Gateway después de cambiar el parámetro “networkAccessOnVPNFailure” siempre en el perfil de “fullAccess” a “onlyToGateway”.

    [ NSHELP-30236 ]

  • La página principal de la puerta de enlace no se muestra inmediatamente después de que el plug-in de puerta de enlace establezca el túnel VPN correctamente. Para solucionar este problema, se introduce el siguiente valor de Registro.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Tipo: DWORD

    De forma predeterminada, este valor de Registro no se establece ni se agrega. Cuando el valor de “SecureChannelResetTimeoutSeconds” es 0 o no se agrega, la solución para gestionar la demora no funciona, que es el comportamiento predeterminado. El administrador debe configurar este Registro en el cliente para habilitar la corrección (es decir, mostrar la página de inicio inmediatamente después de que el plug-in de puerta de enlace establezca correctamente el túnel VPN).

    [ NSHELP-30189 ]

  • El cliente VPN de Windows no respeta la alerta de “notificación de cierre SSL” del servidor y envía la solicitud de inicio de sesión de transferencia en la misma conexión.

    [ NSHELP-29675 ]

  • La autenticación de certificados de cliente falla para Citrix SSO para macOS si no hay certificados de cliente en el llavero de macOS.

    [ NSHELP-28551 ]

  • A veces, se desactiva la sesión de un usuario en NetScaler Gateway en unos segundos cuando se establece el tiempo de espera por inactividad del cliente.

    [ NSHELP-28404 ]

  • El plug-in de VPN no establece un túnel después del inicio de sesión de Windows si se cumplen las siguientes condiciones:

    • El dispositivo NetScaler Gateway está configurado para la función Always On
    • El dispositivo está configurado para la autenticación basada en certificados con la autenticación de dos factores “desactivada”

    [ NSHELP-23584 ]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • En una configuración de clúster de NetScaler, HDX Insight y Gateway Insight no se pueden habilitar simultáneamente.

    [ CGOP-23570 ]

  • La opción del sistema operativo Windows no aparece en la lista desplegable del Editor de expresiones para las directivas de autenticación previa y las acciones de autenticación en la GUI de NetScaler. Sin embargo, si ya configuró el escaneo del sistema operativo Widows en una compilación anterior de NetScaler mediante la GUI o la CLI, la actualización no afectará a la funcionalidad. Puede utilizar la CLI para realizar cambios, si es necesario.

    Solución temporal:

    Utilice los comandos de la CLI para la configuración.

    • Para configurar la acción EPA avanzada en la autenticación nFactor, utilice el siguiente comando.
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • Para configurar una acción de autenticación previa clásica, utilice los siguientes comandos.
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [ CGOP-22966 ]

  • Si quiere utilizar la funcionalidad Always On VPN antes de iniciar sesión en Windows, se recomienda actualizar a NetScaler Gateway 13.0 o posterior. Esto le permite aprovechar las mejoras adicionales introducidas en la versión 13.0 que no están disponibles en la versión 12.1.

    [ CGOP-19355 ]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ CGOP-13584 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de NetScaler, el recuento de SR aumenta en lugar del recuento de conmutación por error en NetScaler Console.

    [ CGOP-13511 ]

  • Cuando se inicia una conexión ICA desde un receptor MAC versión 19.6.0.32 o Citrix Virtual Apps and Desktops versión 7.18, la función HDX Insight se inhabilita.

    [ CGOP-13494 ]

  • Cuando la función EDT Insight está habilitada, a veces los canales de audio pueden fallar durante una discrepancia de red.

    [ CGOP-13493 ]

  • Al aceptar conexiones de host local desde el navegador, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés independientemente del idioma seleccionado.

    [ CGOP-13050 ]

  • El texto “Página de inicio” de la Aplicación Citrix SSO > Página de inicio aparece cortado en algunos idiomas.

    [ CGOP-13049 ]

  • Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de NetScaler.

    [ CGOP-11830 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, aparece un cuadro de diálogo de error crítico. Además, la página deja de responder.

    [ CGOP-7269 ]

Equilibrio de carga

  • En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

    [ NSLB-7679 ]

  • El formato ServiceGroupName de la entityofstrampa para el grupo de servicios es el siguiente: <service(group)name>?<ip/DBS>?<port>

    En el formato de captura, el grupo de servicios se identifica mediante una dirección IP o un nombre y puerto de DBS. El signo de interrogación (“? “) se usa como separador. NetScaler envía la captura con el signo de interrogación (“?”). El formato aparece igual en la GUI de NetScaler Console. Este es el comportamiento esperado.

    [ NSHELP-28080 ]

Otros

  • Cuando se realiza una sincronización forzada en una configuración de alta disponibilidad, el dispositivo ejecuta el comando “set urlfiltering parameter” en el nodo secundario.
    Como resultado, el nodo secundario omite cualquier actualización programada hasta la siguiente hora programada mencionada en el parámetro “TimeOfDayToUpdateDB”.

    [ NSSWG-849 ]

  • El Registro de la lista AlwaysOnAllow no funciona como se esperaba si el valor del registro es superior a 2000 bytes.

    [ NSHELP-31836 ]

  • Un dispositivo NetScaler puede reiniciarse debido al estancamiento de la CPU de administración si se produce un problema de conectividad con el proveedor externo de filtrado de URL.

    [ NSHELP-22409 ]

Redes

  • En un dispositivo NetScaler BLX compatible con DPDK, las VLAN etiquetadas no son compatibles con los puertos NIC DPDK Intel i350. Esto se observa, ya que es un problema conocido presente en el controlador DPDK.

    [ NSNET-25299 ]

  • Es posible que un dispositivo NetScaler BLX con DPDK no se reinicie si se cumplen todas las condiciones siguientes:

    • Al dispositivo NetScaler BLX se le asigna un número reducido de “páginas enormes”. Por ejemplo, 1G.
    • El dispositivo NetScaler BLX se asigna con una gran cantidad de procesos de trabajo. Por ejemplo, 28.

    El problema se registra como un mensaje de error en “/var/log/ns.log “:

    • “No se pudo inicializar BLX-DPDK:DPDK Mempool para PE-x”

    Nota: x es un número <= número de procesos de trabajo.

    Solución temporal: asigne un número elevado de “páginas enormes” y, a continuación, reinicie el dispositivo.

    [ NSNET-25173 ]

  • Un dispositivo NetScaler BLX en modo DPDK puede tardar un poco más en reiniciarse debido a la funcionalidad de facilidad de DPDK.

    [ NSNET-24449 ]

  • Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo NetScaler BLX con DPDK:

    • Disable
    • Enable
    • Restablecer

    [ NSNET-16559 ]

  • La instalación de un dispositivo NetScaler BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

    “Los siguientes paquetes tienen dependencias incumplidas: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19) pero no se puede instalar”

    Solución alternativa : ejecute los siguientes comandos en la CLI del host Linux antes de instalar un dispositivo NetScaler BLX:

    • dpkg — agregar arquitectura i386
    • actualización apt-get
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • En algunos casos de conexiones de datos FTP, el dispositivo NetScaler solo realiza operaciones NAT y no procesamiento TCP en los paquetes para la negociación TCP MSS. Como resultado, la MTU de interfaz óptima no está configurada para la conexión. Esta configuración de MTU incorrecta provoca la fragmentación de los paquetes y afecta al rendimiento de la CPU.

    [ NSNET-5233 ]

  • Es posible que el dispositivo NetScaler no genere mensajes de captura SNMP “coldStart” después de un reinicio en frío.

    [ NSHELP-27917 ]

  • Cuando se cambia un límite de memoria de la partición de administración en el dispositivo NetScaler, el límite de memoria intermedia TCP se establece automáticamente en el nuevo límite de memoria de la partición de administración.

    [ NSHELP-21082 ]

Plataforma

  • Algunos paquetes de Python no se instalan al cambiar el dispositivo NetScaler de la versión 13.1 a 4.x y versiones superiores a cualquiera de las siguientes versiones:

    • Cualquier compilación 11.1
    • 12.1-62.21 y anteriores
    • 13.0-81.x y anteriores

    [ NSPLAT-21691 ]

  • Al eliminar una configuración de escalabilidad automática o un conjunto de escalas de VM de un grupo de recursos de Azure, elimine la configuración del perfil de nube correspondiente de la instancia de NetScaler. Utilice el comando “rm cloudprofile” para eliminar el perfil.

    [ NSPLAT-4520 ]

  • En una configuración de alta disponibilidad en Azure, al iniciar sesión en el nodo secundario a través de la GUI, aparece la pantalla de usuario por primera vez (FTU) para la configuración del perfil de nube de escalabilidad automática.
    Solución alternativa: omita la pantalla e inicie sesión en el nodo principal para crear el perfil de nube. El perfil de la nube siempre debe configurarse en el nodo principal.

    [ NSPLAT-4451 ]

  • El dispositivo NetScaler se bloquea si el VRID está enlazado a un canal LA que no tiene configuradas las interfaces de los miembros.

    Solución alternativa: configure las interfaces miembros de un canal LA antes de vincular el VRID al canal LA.

    [ NSPLAT-26707 ]

Directivas

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución alternativa: establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

SSL

  • En un clúster heterogéneo de dispositivos NetScaler SDX 22000 y NetScaler SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

    Solución temporal:

    1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
    2. Guarde la configuración.

    [ NSSSL-9572 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo NetScaler no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
    ERROR: actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

  • Un tíquet de sesión caducado se respeta en un nodo que no es de CCO y en un nodo de alta disponibilidad después de una conmutación por error de alta disponibilidad.

    [ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

Sistema

  • Es posible que las páginas web que utilizan HTTP/2 no se carguen por completo cuando finaliza una transmisión HTTP/2 que utiliza el método de solicitud HTTP CONNECT.

    [NSHELP-36407, NSBASE-17449]

  • Se observa un RTT alto en una conexión TCP si se cumple la siguiente condición:

    • se establece una ventana de congestión máxima alta (>4 MB)
    • El algoritmo TCP NILE está activado

    Para que un dispositivo NetScaler utilice el algoritmo NILE para el control de la congestión, las condiciones deben superar el umbral de inicio lento, que se combina con la ventana de congestión máxima

    Por lo tanto, hasta que se alcance la ventana de congestión máxima configurada, el NetScaler sigue aceptando datos y termina con un RTT alto.

    [ NSHELP-31548 ]

  • El valor MAX_CONCURRENT_STREAMS se establece en 100 de forma predeterminada si el dispositivo no recibe el marco de configuración max_concurrent_stream del cliente.

    [ NSHELP-21240 ]

  • Los contadores mptcp_cur_session_without_subflow disminuyen incorrectamente a un valor negativo en lugar de cero.

    [ NSHELP-10972 ]

  • En una implementación de clúster, si ejecuta el comando “forzar la sincronización del clúster” en un nodo que no es de CCO, el archivo ns.log contiene entradas de registro duplicadas.

    [ NSBASE-16304, NSGI-1293 ]

  • Al instalar NetScaler Console en un clúster de Kubernetes, no funciona como se esperaba porque es posible que no se inicien los procesos necesarios.

    Solución alternativa: Reinicie el pod de administración.

    [ NSBASE-15556 ]

  • La IP del cliente y la IP del servidor se invierten en el registro SkipFlow de HDX Insight cuando el tipo de transporte LogStream se configura para Insight.

    [ NSBASE-8506 ]

Interfaz de usuario

  • En la GUI de NetScaler, el enlace “Ayuda” que aparece en la ficha “Panel de control” está roto.

    [ NSUI-14752 ]

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución alternativa: configure los conectores de Cloudbridge añadiendo perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o la CLI de NetScaler.

    [ NSUI-13024 ]

  • Si crea una clave ECDSA mediante la interfaz gráfica de usuario, no se muestra el tipo de curva.

    [ NSUI-6838 ]

  • En una configuración de alta disponibilidad de los dispositivos NetScaler BLX, es posible que el nodo principal deje de responder bloqueando cualquier solicitud de CLI o API.

    Solución temporal: reinicie el nodo principal.

    [ NSCONFIG-6601 ]

  • Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo NetScaler, es posible que los usuarios del sistema no inicien sesión en el dispositivo NetScaler degradado.

    1. Actualice el dispositivo NetScaler a una de las compilaciones
      • 13.0 52.24 compilación
      • 12.1 57,18 compilación
      • 11.1 65.10 compilación
    2. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
    3. Rebaja la versión del dispositivo NetScaler a cualquier versión anterior.

    Para mostrar la lista de estos usuarios del sistema mediante la CLI:
    En la línea de comandos, escriba:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solución temporal: Para corregir este problema, utilice una de las siguientes opciones independientes:

    • Si el dispositivo NetScaler aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo NetScaler con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
    • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
    • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [ NSCONFIG-3188 ]

Notas de lanzamiento de la versión 13.1-45.64 de NetScaler
March 16, 2024
Contribución de: 
C
March 16, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.