ADC

Notas de lanzamiento de NetScaler 13.1-50.23 Build

February 12, 2024

Contribución de:

Este documento de notas de la versión describe las mejoras y los cambios, así como los problemas resueltos y conocidos que existen en la versión 13.1-50.23 de NetScaler.

Notas

Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.1-50.23.

Otros

Token de autenticación para cargar el paquete de soporte técnico

Al cargar el paquete de soporte técnico directamente desde NetScaler al servidor de soporte técnico de Citrix, ahora necesita un token de autenticación. Anteriormente, necesitaba un nombre de usuario y una contraseña de Citrix para cargar el paquete de soporte técnico. Para obtener más información, consulte Cómo generar un paquete de soporte técnico para resolver problemas con los dispositivos.

[ NSTOOLS-3019 ]

Plataforma

Soporte para un nuevo MIB de SNMP para la métrica de límite de velocidad

Se agregó una nueva MIB de SNMP para obtener paquetes por segundo y bits por segundo para NetScaler. Esta MIB le ayuda a comprender la métrica de límite de velocidad actual de NetScaler. Para obtener más información, consulte la referencia de SNMP OID de NetScaler 13.1.

[ NSPLAT-26679 ]
Compatibilidad con el firmware y el controlador NIC actualizados en NetScaler SDX con NIC de 10G/25G/40G

Al actualizar a la versión 14.1-8.x y posterior de Single Bundle Image (SBI) o 13.1-50.x y posterior, el controlador y el firmware de la NIC 10G/25G/40G se actualizan automáticamente a la versión 8.70 en las siguientes plataformas. La versión 8.70 del firmware de la NIC corrige los errores CVE-2020-8690, CVE-2020-8691, CVE-2020-8692 y CVE-2020-8693.
- SDX 8900
- SDX 14000-40G
- SDX 15000
- SDX 15000-50G
- SDX 25000-40G
- SDX 16000
- SDX 9100
- SDX 26000
- SDX 26000-50S
[ NSPLAT-23460 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.1-50.23.

Infraestructura analítica

Cuando hay varias directivas de AppFlow enlazadas globalmente a un NetScaler, la desvinculación de una directiva hace que las demás también sean ineficaces.

[ NSHELP-35960 ]
El NetScaler puede fallar si se cumplen todas las condiciones siguientes:
- Los eventos, los registros de auditoría o las métricas están habilitados en el perfil de análisis o en los parámetros de AppFlow.
- Se ha configurado una directiva de reescritura del lado de la respuesta.
[ NSHELP-35550 ]
Tras reiniciar NetScaler, la alarma SNMP se vuelve a activar automáticamente aunque se haya desactivado anteriormente.

[ NSHELP-34745 ]
Un NetScaler con autenticación multifactorial configurada se bloquea durante la evaluación de una directiva.

[ NSHELP-33674 ]
Tras un reinicio, si el archivo de configuración de newnslog está vacío, VPX sigue reiniciándose.

[ NSHELP-33373 ]
En una implementación de clúster, un nodo que no sea de CCO no envía los mensajes de syslog TCP a un servidor syslog externo cuando se realiza la operación de “forzar la sincronización del clúster” o “reiniciar” en el nodo.

[ NSHELP-32925 ]
El comando show syslogAction muestra una dirección IP sin resolver en el resultado cuando se cumplen las dos condiciones siguientes:
- Se utiliza la acción SYSLOG con un nombre de dominio en el modo de transporte UDP.
- El ICMP está inhabilitado en el servidor.
Este problema se produce porque el monitor predeterminado de ping marca el servicio como INACTIVO, ya que no se puede acceder al servidor a través de ICMP. Por lo tanto, la dirección IP no se muestra en la salida aunque esté resuelta.

[ NSHELP-32886, NSHELP-33392 ]
El archivo ns.log genera los registros de depuración incluso cuando el nivel del registro de auditoría está establecido en ninguno y, por lo tanto, supera el límite de tamaño de archivo configurado. El problema se produce porque la directiva avanzada está vinculada al registro local aunque no sea necesario.

[ NSHELP-32404, NSCXLCM-1374, NSCXLCM-1551, NSCXLCM-1708 ]
En un entorno de clústeres, NetScaler podría provocar un bloqueo de nsppe cuando una directiva de syslog esté enlazada a un servidor virtual lb.

[ NSHELP-30983, NSANINFRA-21 ]

Autenticación, autorización y auditoría

Tras una actualización, el mensaje “AAA DHT: error en la notificación de reanudación de la entrada de VPN debido a un subtipo 1” no válido aparece repetidamente en el archivo de registro de NetScaler.

[ NSHELP-35649 ]
Tras una actualización, los usuarios no pueden restablecer la contraseña caducada de NetScaler Gateway. Este problema se produce cuando la autenticación de StoreFront con un esquema de inicio de sesión de autenticación doble se configura como un segundo factor en un flujo de nfactor.

[ NSHELP-35631 ]
En la página de servidores de autenticación GUI de NetScaler(Configuración > AutenticaciónPanel de control), la columna Estado no se carga correctamente y aparece el mensaje “Imagen pequeña en curso”. Este problema se produce en las entradas en las que la configuración del servidor está en curso.

[ NSHELP-34534 ]
El SSO de Kerberos puede fallar cuando hay una gran cantidad de solicitudes entrantes al mismo tiempo.

[ NSHELP-34177 ]
Es posible que se produzca un retraso en la ejecución de los comandos mediante la CLI de NetScaler si la autenticación TACACS está configurada con una dirección IP NAT.

[ NSHELP-32960 ]
NetScaler configurado como proveedor de servicios SAML puede enviar dos respuestas a una solicitud de cierre de sesión de SAML. Este problema se produce cuando la solicitud de cierre de sesión contiene el parámetro “Solicitud SAML”.

[ NSHELP-32555 ]
NetScaler puede fallar cuando el servidor virtual de autenticación se usa en una partición no predeterminada.

[ NSHELP-32054, NSCXLCM-640, NSCXLCM-1577 ]
NetScaler puede bloquearse si se utiliza uno de los siguientes métodos de autenticación como segundo factor y hay factores subsiguientes que están configurados y requieren la interacción del usuario en un flujo de nFactor.
- SAML
- OAuth
- Certificado del cliente
[ NSHELP-29573, NSCXLCM-492, NSCXLCM-872, NSCXLCM-1216, NSHELP-32631, NSHELP-32765 ]

Administración de bots

En raras ocasiones, es posible que la página web no se cargue cuando se utilice la técnica de detección de huellas digitales del dispositivo.

[ NSHELP-34742 ]

Equilibrio de carga

La sincronización GSLB para el nodo secundario falla cuando se cambia la contraseña RPC del nodo secundario.

[ NSLB-9788 ]
NetScaler puede fallar cuando la respuesta de GLSB tiene más de 300 direcciones IP.

[ NSHELP-35792 ]
En las implementaciones de dominios de tráfico, el equilibrio de carga de las consultas DNS puede fallar cuando el perfil de red está enlazado al servidor virtual DNS.

[ NSHELP-35675 ]
NetScaler podría bloquearse al hacer referencia a un servicio basado en nombres de dominio (DBS) después de que se cumpla la siguiente secuencia de condiciones:
1. Se configura una entrada de ubicación para la dirección IP en la que se resuelve el nombre de dominio de DBS.
2. El nombre de dominio DBS se elimina, lo que da como resultado una respuesta NXDOMAIN del servidor de nombres.
3. Se elimina la entrada de ubicación.
[ NSHELP-35370 ]
En raras ocasiones, un dispositivo NetScaler puede fallar y generar un volcado de núcleos si se cumplen las siguientes condiciones:
- Se usa una sonda de supervisión de DNS basada en TCP para supervisar un servicio de back-end.
- La memoria del dispositivo se está agotando.
[ NSHELP-35289 ]
En una configuración de alta disponibilidad, es posible que la base de datos de proximidad estática no se cargue cuando se reinicie el nodo secundario.

[ NSHELP-35271 ]
El monitor NTLM no admite las siguientes opciones:
- Sondeo simultáneo mediante monitores de las configuraciones NTLM versión 1 y versión 2.
- Dirigir la sonda a la dirección IP del servidor cuando la URL del parámetro “scriptArg” se resuelva en una dirección IP diferente.
- NTLM versión 2.
[ NSHELP-35185 ]
Los servicios que están enlazados a los monitores de usuario pueden no estar disponibles de forma intermitente si hay más de 30 servicios enlazados a un monitor de usuario.

[ NSHELP-34669, NSCXLCM-1373 ]
En una configuración de clúster de ocho o más nodos, es posible que la función de identificador de límite de velocidad no funcione según lo previsto.

[ NSHELP-34555 ]
Es posible que no se puedan realizar las sondas al monitor de usuarios de StoreFront debido a un cálculo incorrecto del tiempo de espera. Este problema se produce cuando el valor de tiempo de espera se establece en 1 o 2 segundos al configurar el monitor de usuario de StoreFront.

[ NSHELP-34418 ]
Tras una conmutación por error de alta disponibilidad, las entradas de la sesión de persistencia no se eliminan del nodo principal incluso después de que caduque el período de espera de persistencia. Las entradas de sesión se conservan hasta que el nodo secundario esté en funcionamiento.

[ NSHELP-34378 ]
Es posible que se produzca un uso elevado de la CPU si la proximidad estática está configurada como el método GSLB y no se puede buscar la ubicación del cliente en la base de datos.

[ NSHELP-33823 ]
En una configuración de alta disponibilidad, la eliminación de una partición después de la conmutación por error puede provocar un uso elevado de la CPU.

[ NSHELP-33701 ]
NetScaler puede bloquearse si se cumplen las siguientes condiciones:
- Un servidor virtual de equilibrio de carga se configura con una URL de redirección en varias particiones.
- Se activa una recuperación de memoria.
[ NSHELP-33638, NSCXLCM-227, NSCXLCM-509 ]
En la información de contacto de SOA, cuando introduce una dirección de correo electrónico con más de un punto (por ejemplo, john.doe.example.com), se traduce en john@doe.example.com. Ahora puede usar una barra invertida (/) como carácter de escape. Como resultado, john.doe.example.com se traduce como john.doe@example.com.

[ NSHELP-33610 ]
La función de redirección de caché está inhabilitada, pero el servidor virtual sigue procesando el tráfico. Este problema se produce cuando la dirección IP y el número de puerto de un servidor virtual de redirección de caché se agregan a un servicio GSLB.

[ NSHELP-33495 ]
Al realizar una sincronización incremental, se activa la sincronización completa si se modifica el parámetro ‘resptimeout’ para el monitor.

[ NSHELP-31987 ]

Otros

Los registros de respuestas de STA del archivo ns.log se imprimen en el nivel de depuración.

[ NSHELP-35956 ]
Cuando NetScaler elimina una cookie generada por NetScaler de una solicitud HTTP entrante antes de enviarla a un servidor HTTP ascendente, es posible que el servidor ascendente rechace la solicitud. Este problema se produce porque la eliminación del par nombre-valor de la cookie puede provocar que el campo de encabezado de la cookie no cumpla con la especificación del protocolo HTTP.

[ NSHELP-35855 ]
NetScaler puede bloquearse cuando se cambia el nombre de un servidor virtual VPN con conexiones ICA activas.

[ NSHELP-35804 ]
NetScaler puede bloquearse si se cumplen las siguientes condiciones:
- Hay una conexión ICA activa a través de EDT.
- Se agrega un servicio UDP con la misma dirección IP y número de puerto que los de Citrix VDA.
- Hay problemas de conectividad entre NetScaler Gateway y Citrix VDA.
[ NSHELP-35637 ]
Tras una actualización, es posible que el dispositivo NetScaler se bloquee cuando HDX Insight esté activado.

[ NSHELP-35058, NSCXLCM-1220, NSCXLCM-1467 ]
Cuando la configuración de un clúster está inactiva, la mensajería de nodo a nodo (NNM) puede agregar un retraso de 20 milisegundos para los paquetes de ping con un tamaño de sndbuf especificado (comando ping con opción -S).

[ NSHELP-34774 ]
Es posible que NetScaler configurado con HDX Insight se reinicie cuando el nodo secundario reciba los paquetes para su procesamiento.

[ NSHELP-34152 ]
NetScaler Gateway informa a NetScaler ADM de las solicitudes de acceso autorizado como errores de SSO. Como resultado, la página Gateway > Gateway Insight de la interfaz de usuario de NetScaler ADM muestra informes de errores de SSO incorrectos que provocan falsas alarmas.

[ NSHELP-27992 ]
NetScaler se bloquea cuando se inicia una conexión ICA de EDT. Este problema se produce cuando el perfil de análisis de AppFlow para HDX Insight está enlazado a un servidor virtual VPN.

[ GOPHDX-5014 ]

NetScaler Gateway

Es posible que no pueda acceder a algunas aplicaciones (internas y externas) porque el servidor back-end rechaza las solicitudes de proxy en el modo HTTP/1.0.

[ NSHELP-35919 ]
En la GUI de NetScaler, no se muestra la vinculación de la política de IdP de SAML con el servidor virtual VPN aunque la vinculación se haya realizado correctamente.

[ NSHELP-35663 ]
Cuando el acceso VPN avanzado sin cliente está configurado en NetScaler Gateway, es posible que las páginas no se carguen desde las URL marcadas como favoritas.

[ NSHELP-33771 ]
A veces, al establecer una conexión VPN a través de NetScaler Gateway, se le redirige a la página de inicio con un texto incorrecto en la URL. Este problema se produce cuando NetScaler está configurado con el tema del portal RFWebUI.

[ NSHELP-30097, NSCXLCM-481 ]
Al crear una entidad EULA, el texto aparece como una sola línea en el tema del portal RFWebUI de NetScaler Gateway. Este problema se produce debido a la etiqueta de salto de línea <br> HTML. Todas las etiquetas HTML <br> están inhabilitadas temporalmente en el texto del EULA. Puede intentar agregar saltos de línea usando “n”.

[CGOP-24534]
A partir de la versión 13.1, compilación 50.23 de NetScaler, el acceso a los archivos PHP se bloquea en todos los directorios cuando se accede a través del servidor virtual de NetScaler Gateway o el servidor virtual de autenticación.

[CGOP-22974]

Dispositivo NetScaler SDX

En NetScaler SDX FIPS, al aprovisionar o modificar una instancia de NetScaler, la opción “Habilitar FIPS” no está disponible.

[ NSSVM-5848 ]
No puede habilitar la red de administración interna para NetScaler VPX si el VPX se ha actualizado de una versión en la que la red de administración interna no es compatible a una versión en la que sí lo es.

[ NSSVM-5634 ]
Si las direcciones IP de las VPX presentes en NetScaler SDX tienen un número de dígitos diferente en sus octetos respectivos, es posible que la llamada get no devuelva una snmpwalk respuesta para todas las VPX.

[ NSHELP-35877 ]
La validación de la comprobación del rendimiento máximo para la creación de canales LACP con puertos de 25 G, 40 G o 100 G falla.

[ NSHELP-35743 ]

NetScaler Secure Web Gateway

En raras ocasiones, NetScaler podría bloquearse durante la captura de paquetes. Este problema puede producirse cuando una variable de perfil TCP en la estructura de la PCB tiene un valor NULL.

[ NSHELP-36081 ]

Web App Firewall NetScaler

Los registros de depuración de solicitudes de archivos de transformación se generan cuando se aplica el perfil de transformación de URL a la solicitud.

[ NSWAF-10356 ]
El uso de determinadas palabras clave predefinidas puede generar falsos positivos si la función de protección basada en gramática de SQL está habilitada.

[ NSHELP-36138 ]
El filtro de tráfico con límite de velocidad BOT funciona internamente como un filtro suave aunque esté configurado como un filtro por ráfagas.

[ NSHELP-36095 ]
NetScaler puede bloquearse si el perfil de Web App Firewall tiene firmas enlazadas que comprueban la protección contra inyecciones de SQL.

[ NSHELP-35989 ]
Cuando se usa la directiva de transformación de URL para actualizar el encabezado del host, el encabezado de la respuesta se actualiza con el número de puerto dos veces.

[ NSHELP-35840 ]
No puede modificar ni eliminar las reglas de relajación de scripts entre sitios de JSON mediante la GUI de NetScaler si las reglas están configuradas con un par clave-valor.

[ NSHELP-35610 ]
La comprobación de protección gramatical de inyección de comandos JSON bloquea una solicitud si contiene formatos de fecha. Sin embargo, los datos no se actualizan en los archivos de registro y los contadores no se incrementan.

[ NSHELP-35577 ]
En raras ocasiones, NetScaler podría bloquearse cuando la memoria configurada sea baja y se utilice el perfil de Web App Firewall.

[ NSHELP-35463 ]
La función de protección contra el secuestro de cookies no funciona según lo previsto cuando las cookies de una sesión válida se reutilizan en otra sesión. NetScaler permite la solicitud en lugar de bloquearla.

[ NSHELP-33723 ]

Redes

Es posible que la configuración de la NIC NetScaler BLX siga presente en el host Linux al desinstalar el dispositivo NetScaler BLX mientras está en ejecución.

Solución alternativa. Detenga el dispositivo NetScaler BLX antes de desinstalarlo.

[ NSNET-29109 ]
Al vincular un monitor de rutas desde una partición no predeterminada, aparece el siguiente mensaje de error: “Operación no permitida”. Sin embargo, el estado del monitor de rutas se muestra como ACTIVO si la ruta correspondiente está presente en una partición no predeterminada.

[ NSNET-28589 ]
Tras actualizar NetScaler BLX, faltan los parámetros “blx-managed-host” y “host-ipaddress” en el nuevo archivo “blx.config”. Esto provoca una pérdida de acceso a la dirección IP del host administrado.

[ NSHELP-36092 ]
Es posible que el dispositivo NetScaler no responda a las solicitudes “SNMP GETBULK”.

[ NSHELP-35902 ]
El terminal VTYSH muestra “más” al final del resultado del comando show antes de volver a la línea de comandos VTYSH. Este problema se debe a que el sistema operativo FreeBSD subyacente del dispositivo NetScaler se ha actualizado a la versión 11.4.

[ NSHELP-35829 ]
Al eliminar una de las particiones de administración, NetScaler también puede eliminar el búfer de paquetes de otras particiones. Como resultado, NetScaler podría bloquearse al eliminar una partición para la que se eliminó el búfer de paquetes.

[ NSHELP-35595 ]
En una configuración de NAT (LSN) a gran escala, el dispositivo NetScaler podría bloquearse si hay una discrepancia interna en el recuento de las conexiones de front-end y backend de LSN.

[ NSHELP-35318 ]
Cuando un dispositivo NetScaler, que contiene una caché integrada de gran tamaño o una configuración de NAT a gran escala, se actualiza de la versión 12.1 o 13.0 a la versión 13.1 o 14.1, el tiempo de recuperación tras un fallo del motor de paquetes es relativamente mayor que en la versión previamente actualizada.

[ NSHELP-33797 ]
En una configuración de alta disponibilidad, el estado de un nodo tarda al menos 60 segundos en activarse si se cumplen todas las condiciones siguientes:
- La opción a prueba de fallos está habilitada para la configuración de HA
- La supervisión de alta disponibilidad está habilitada en más de una interfaz
- Una de las interfaces habilitadas para la supervisión de alta disponibilidad se vuelve inaccesible
- Se puede acceder al menos a una de las interfaces de supervisión de alta disponibilidad
Ahora, con esta corrección, el estado del nodo pasa inmediatamente a ser ACTIVO cuando se cumplen todas estas condiciones.

[ NSHELP-32157 ]

Plataforma

NetScaler VPX en el hipervisor ESX puede fallar con las interfaces VMXNET3.

[NSPLAT-27262, NSSHELP-36781, NSPLAT-27262, NSPLAT-27262]
En raras ocasiones, un NetScaler que utilice NIC de 10 G y ejecute la versión 13.1 podría bloquearse cuando el tráfico es insignificante.

[ NSHELP-36274 ]
Las instancias NetScaler VPX que admiten las redes aceleradas de Azure con las NIC Mellanox ConnectX3 pueden reducir el tráfico de forma intermitente.

[ NSHELP-35666 ]
En NetScaler SDX con NIC Intel Fortville, el uso de la CPU de administración por parte de una instancia VPX aumenta un 1% por cada interfaz Fortville agregada a la instancia VPX.

[ NSHELP-35445, NSCXLCM-768 ]
Ya no puede acceder a un Citrix Hypervisor alojado en NetScaler SDX mediante protocolos SSL heredados, como SSLv3, TLS 1.0 y TLS 1.1.

[ NSHELP-33196 ]

SSL

NetScaler podría bloquearse debido a archivos de registro inusualmente grandes. Por ejemplo, si el nivel de registro se establece en DEBUG para supervisar los registros de protocolo de enlace SSL, el tamaño del archivo de registro aumenta drásticamente, ya que el archivo también incluye registros de depuración detallados de los demás módulos. Puede obtener registros de depuración SSL configurando el nivel de registro en INFO con el mando “nsapimgr”. Como resultado, también se reduce el tamaño del archivo de registro.

[ NSSSL-13206 ]
Es posible que NetScaler se bloquee al eliminar el grupo de certificados de CA predeterminado si el uso de memoria es elevado en NetScaler y la configuración se borra con frecuencia.

[ NSHELP-35441 ]
Es posible que observe una gran acumulación de memoria con el tráfico DTLS en el NetScaler porque la memoria no se libera correctamente mientras se gestiona un vuelo de apretón de manos retransmitido desde un cliente.

[ NSHELP-35359, NSCXLCM-999, NSCXLCM-1968, NSCXLCM-2405, NSCXLCM-2482 ]
En un NetScaler MPX/SDX 14000 FIPS que funcione en modo híbrido, es posible que la memoria de claves se restablezca después de recibir datos dañados como parte de un intercambio de claves.

[ NSHELP-35020 ]
La carga puede fallar si la aplicación cliente carga un archivo grande con relleno a través de una conexión SSL TLS1.3. El error se produce porque el búfer de recepción TCP está lleno, ya que los bytes rellenados no se liberan del búfer de recepción.

[ NSHELP-34490 ]
Un dispositivo NetScaler que contenga chips Intel Coleto o Intel Lewisburg podría fallar si se utiliza el cifrado DH 512 durante el intercambio de claves.

[ NSHELP-34094 ]
En las plataformas NetScaler que contienen chips Coleto, el protocolo de enlace de renegociación de SSL falla cuando el tamaño del mensaje de enlace es mayor que el tamaño cuántico.

[ NSHELP-33924 ]
Es posible que experimente un impacto momentáneo en el rendimiento con tráfico intenso si el tamaño total de los certificados de cliente, servidor y CA intercambiados en un protocolo de enlace SSL supera el límite de 16 000.

[ NSHELP-33905 ]
En una implementación de NetScaler con un servidor virtual SSL_TCP (front-end) y un servicio TCP (back-end), la solicitud del cliente puede fallar de forma intermitente. El error se produce porque NetScaler reenvía el mensaje de saludo del cliente SSL recibido en el front-end, pero el backend no puede procesarlo y la solicitud falla.

[ NSHELP-32806 ]
Los clientes TLS basados en OpenSSL 3.x finalizan un protocolo de enlace de forma prematura, a menos que el servidor reconozca el anuncio del cliente de que admite la RFC 5746 (extensión de indicaciones de renegociación o renegociación segura). Los servidores virtuales frontales ignoran este anuncio cuando la renegociación está inhabilitada, lo que provoca errores de conexión. Con esta solución, los servidores virtuales frontales ahora reconocen el anuncio incluso cuando la renegociación está inhabilitada, lo que mejora la compatibilidad.

[ NSHELP-35120 ]

Sistema

En una conexión TLS HTTP/2, NetScaler no envía el mensaje HTTP/2 GoAway cuando recibe un mensaje de notificación de cierre de TLS sin un indicador TCP FIN previo.

[ NSHELP-36248 ]
NetScaler puede enviar respuestas incorrectas cuando las funciones de compresión HTTP y AppFlow están habilitadas.

[ NSHELP-35862 ]
Cuando NetScaler recibe una solicitud HTTP CONNECT en una conexión TCP de cliente, no reutiliza la conexión TCP del servidor anterior en la que ya se envió una respuesta HTTP “Se requiere autenticación de proxy 407”. En su lugar, NetScaler reenvía la solicitud HTTP CONNECT en una nueva conexión TCP al servidor de fondo. El reenvío de la solicitud a una nueva conexión TCP interrumpe los protocolos de autenticación de proxy, como NTLM, que requieren el intercambio de varios mensajes de autenticación HTTP en la misma conexión TCP.

[ NSHELP-35717, NSCXLCM-1514, NSCXLCM-1835, NSCXLCM-1910 ]
En raras ocasiones, NetScaler puede bloquearse cuando la función de optimización de front-end (FEO) está habilitada.

[ NSHELP-34861 ]
NetScaler puede detener la transferencia de datos si se cumplen las siguientes condiciones:
- Hay varias funciones habilitadas.
- Más de una función intenta eliminar la misma parte de la carga útil TCP o HTTP.
[ NSHELP-33793, NSCXLCM-1512, NSCXLCM-1954 ]
Cuando el servidor back-end envía un error 464 para una solicitud HTTP, NetScaler no lo reenvía al cliente y, por lo tanto, la conexión del lado del cliente se detiene.

[ NSHELP-33571, NSCXLCM-1098 ]
NetScaler puede detener la transferencia de datos en una conexión HTTP/2 cuando una función basada en HTTP intenta almacenar en búfer una gran cantidad de datos de la aplicación.

[ NSHELP-32612 ]
El dispositivo NetScaler configurado con un servicio SSL se bloquea cuando el dispositivo recibe un paquete de control TCP FIN seguido de un paquete de control TCP RESET.

[ NSHELP-31656 ]

Interfaz de usuario

En una configuración de alta disponibilidad, aunque tenga certificados SSL únicos para la dirección NSIP de los nodos principal y secundario, el certificado del nodo secundario se sobrescribe con el certificado del nodo principal.

[ NSHELP-35938 ]
En la GUI de NetScaler, al modificar un servidor virtual de GSLB, la sección de directivas no aparece en la página del servidor virtual de GSLB después de vincular una directiva de equilibrio de carga al servidor virtual.

[ NSHELP-35899 ]
La configuración de cifrado para un servidor virtual de equilibrio de carga de tipo DTLS no se puede configurar mediante la GUI cuando el perfil predeterminado de SSL está habilitado.

[ NSHELP-35704 ]
Al forzar la sincronización de una configuración de GSLB mediante la CLI o la GUI, la sincronización falla y aparece el siguiente mensaje. “Algunos de los comandos fallaron”.

Este problema se produce si la configuración usa comandos globales bind DNS.

[ NSHELP-35699 ]
Algunas configuraciones integradas no están disponibles cuando se crea una instancia de NetScaler ADC.

[ NSHELP-33451, NSCXLCM-502 ]
En la GUI de NetScaler, la autenticación de nFactor falla y aparece el error “No hay directiva activa durante la autenticación”. Este problema se produce cuando se configura una acción de asignación pero no está vinculada a una directiva de autenticación.

[ NSHELP-33339 ]

Problemas conocidos

Los problemas que existen en la versión 13.1-50.23.

Infraestructura analítica

En una implementación de clúster, si ejecuta el comando “forzar la sincronización del clúster” en un nodo que no sea de CCO, el archivo ns.log contiene entradas de registro duplicadas.

[ NSANINFRA-2850, NSGI-1293 ]
Cuando instala NetScaler ADM en un clúster de Kubernetes, no funciona según lo esperado porque es posible que los procesos necesarios no aparezcan.

Solución alternativa: Reinicie el pod de administración.

[ NSANINFRA-1504 ]

Autenticación, autorización y auditoría

Tras una actualización de Citrix SSO para iOS, es posible que las notificaciones push que recibe para la autenticación no suenen.

[ NSHELP-27525 ]
Los administradores no pueden realizar un registro personalizado de los errores de autenticación que se producen debido a credenciales no válidas. Este problema se produce porque las directivas de respuesta de NetScaler no detectan los errores de inicio de sesión.

[ NSAUTH-11151 ]
El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando. show adfsproxyprofile <profile name>

Solución alternativa: conéctese al NetScaler principal activo del clúster y ejecute el show adfsproxyprofile <profile name>comando. Mostraría el estado del perfil de proxy.

[ NSAUTH-5916 ]
La página Configurar servidor LDAP de autenticación de la GUI de NetScaler deja de responder si sigue los pasos siguientes:
- Se abre la opción Probar accesibilidad LDAP.
- Las credenciales de inicio de sesión no válidas se rellenan y envían.
- Las credenciales de inicio de sesión válidas se rellenan y envían.
Solución alternativa: cierre y abra la opción Probar la accesibilidad de LDAP.

[ NSAUTH-2147 ]

Equilibrio de carga

En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

[ NSLB-7679 ]
El NetScaler podría bloquearse debido a un problema de tiempo entre la recuperación de los registros que limitan la velocidad y el proceso de caducidad de los registros.

[ NSHELP-33349 ]
NetScaler puede bloquearse si la sonda del monitor falla en algunos servidores virtuales internos.

[ NSHELP-30985 ]
La sonda del monitor falla cuando un usuario enlaza y desvincula un servidor basado en un dominio a un grupo de servicios.

[ NSHELP-29330 ]
Los registros CNAME adicionales se ven en la configuración en ejecución al realizar los siguientes pasos mediante la GUI de NetScaler:
1. Cree un servidor virtual GSLB con registro DNS tipo CNAME
2. Configurar un tipo de registro DNS CNAME
3. Guarda la configuración
Este problema es cosmético y no afecta a la funcionalidad.

[ NSHELP-29217 ]
El formato ServiceGroupName de la captura entityofs del grupo de servicios es el siguiente: <service(group)name>?<ip/DBS>?<port>

En el formato de captura, el grupo de servicios se identifica mediante una dirección IP o un nombre y puerto de DBS. El signo de interrogación (“? “) se usa como separador. NetScaler envía la captura con el signo de interrogación (“?”). El formato aparece igual en la GUI de NetScaler ADM. Este es el comportamiento esperado.

[ NSHELP-28080 ]

NetScaler Gateway

NetScaler se bloquea si se cumplen todas las condiciones siguientes:
- El servidor virtual VPN está configurado con una dirección IPv6.
- Solo las direcciones IIP IPv4 (no las direcciones IIP IPv6) están configuradas en el servidor virtual IPv6.
[ NSHELP-35559 ]
En ocasiones, después de una actualización, es posible que no se pueda acceder a la GUI de NetScaler a través de HTTP si está conectado a una VPN a través de NetScaler Gateway.

[ NSHELP-35015 ]
A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

[ NSHELP-21897 ]
La opción del sistema operativo Windows no aparece en la lista desplegable del Editor de expresiones para las directivas de autenticación previa y las acciones de autenticación en la GUI de NetScaler. Sin embargo, si ya configuró el escaneo del sistema operativo Widows en una compilación anterior de NetScaler mediante la GUI o la CLI, la actualización no afectará a la funcionalidad. Si es necesario, puede utilizar la CLI para realizar cambios.

Solución temporal:

Utilice los comandos de la CLI para la configuración.
- Para configurar la acción EPA avanzada en la autenticación nFactor, utilice el siguiente comando. agregar autenticación EPAAction adv_win_scan -csecexpr “sys.client_expr (“SYS_0_win-OS_name_anyof_win-10 [COMENTARIO: sistema operativo Windows]”)”
- Para configurar una acción de autenticación previa clásica, utilice los siguientes comandos. add aaa preauthenticationaction win_scan_action PERMITIR agregar aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM (‘win-OS_name_anyof_win-10 [COMENTARIO: sistema operativo Windows] ‘) EXISTE” win_scan_action
[ CGOP-22966 ]
Para usar Always On VPN antes de la funcionalidad de inicio de sesión de Windows, se recomienda actualizar su NetScaler Gateway a la versión 13.0 o posterior. Esto le permite usar las mejoras adicionales introducidas en la versión 13.0 que no están disponibles en la versión 12.1.

[ CGOP-19355 ]
Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de NetScaler.

[ CGOP-11830 ]
En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, aparece un cuadro de diálogo de error crítico. Además, la página deja de responder.

[ CGOP-7269 ]

NetScaler Secure Web Gateway

Un dispositivo NetScaler puede reiniciarse debido al estancamiento de la CPU de administración si se produce un problema de conectividad con el proveedor externo de filtrado de URL.

[ NSHELP-22409 ]

Redes

Al actualizar NetScaler BLX, es posible que el paquete nitro-python no se actualice. Como resultado, puede aparecer el siguiente error durante la actualización:

“tar: /var/netscaler/nitro/ns_nitro-python_artesa_xx_xx.tar: No se encuentra en el archivo”

Solución temporal:

Debe ejecutar el comando “rm -rf /var/netscaler/nitro/ns_nitro-python_ *.tar” antes de actualizar NetScaler BLX.

[ NSNET-27927 ]
En un dispositivo NetScaler BLX compatible con DPDK, las VLAN etiquetadas no son compatibles con los puertos NIC DPDK Intel i350. Esto se observa, ya que es un problema conocido presente en el controlador DPDK.

[ NSNET-25299 ]
Es posible que un dispositivo NetScaler BLX con DPDK no se reinicie si se cumplen todas las condiciones siguientes:
- Al dispositivo NetScaler BLX se le asigna un número reducido de “páginas enormes”. Por ejemplo, 1G.
- El dispositivo NetScaler BLX se asigna con una gran cantidad de procesos de trabajo. Por ejemplo, 28.
El problema se registra como un mensaje de error en “/var/log/ns.log “:
- “No se pudo inicializar BLX-DPDK:DPDK Mempool para PE-x”
Nota: x es un número <= número de procesos de trabajo.

Solución temporal: asigne un número elevado de “páginas enormes” y, a continuación, reinicie el dispositivo.

[ NSNET-25173 ]
Un dispositivo NetScaler BLX en modo DPDK puede tardar un poco más en reiniciarse debido a la funcionalidad de facilidad de DPDK.

[ NSNET-24449 ]
Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo NetScaler BLX con DPDK:
- Disable
- Enable
- Restablecer
[ NSNET-16559 ]
La instalación de un dispositivo NetScaler BLX podría fallar en un host Linux basado en Debian (Ubuntu versión 18 y posteriores) y provocar el siguiente error de dependencia:

“Los siguientes paquetes tienen dependencias incumplidas: blx-core-libs: i386: preDepends: libc6:i386 (>= 2.19) pero no se puede instalar”

Solución alternativa : ejecute los siguientes comandos en la CLI del host Linux antes de instalar un dispositivo NetScaler BLX:
- dpkg — agregar arquitectura i386
- actualización apt-get
- apt-get install libc6:i386
[ NSNET-14602 ]
En algunos casos de conexiones de datos FTP, el dispositivo NetScaler solo realiza operaciones NAT y no procesamiento TCP en los paquetes para la negociación TCP MSS. Como resultado, la MTU de interfaz óptima no está configurada para la conexión. Esta configuración de MTU incorrecta provoca la fragmentación de los paquetes y afecta al rendimiento de la CPU.

[ NSNET-5233 ]
Al configurar NetScaler BLX con soporte para DPDK, es posible que NetScaler BLX no detecte los puertos NIC compatibles con DPDK en algunas versiones de firmware de la NIC. Como resultado, los puertos NIC se agregan como puertos que no son DPDK al NetScaler BLX.

[ NSHELP-36290 ]
Cuando se cambia un límite de memoria de la partición de administración en el dispositivo NetScaler, el límite de memoria intermedia TCP se establece automáticamente en el nuevo límite de memoria de la partición de administración.

[ NSHELP-21082 ]

Plataforma

Al actualizar el software a 14.1-8.x y versiones posteriores o a 13.1-50.x y versiones posteriores, las interfaces de 25 G que tienen un transceptor SFP de 1 G de cobre no se conectan al conmutador remoto o al dispositivo de red.

Este problema se presenta en las siguientes plataformas que tienen NIC de 25 G:
- SDX 9100
- SDX 15000
- SDX 16000
- SDX 26000
- SDX 26000-50S
[ NSPLAT-27864 ]
Al eliminar una configuración de escalabilidad automática o un conjunto de escalas de VM de un grupo de recursos de Azure, elimine la configuración del perfil de nube correspondiente de la instancia de NetScaler. Utilice el comando “rm cloudprofile” para eliminar el perfil.

[ NSPLAT-4520 ]
En una configuración de alta disponibilidad en Azure, al iniciar sesión en el nodo secundario a través de la GUI, aparece la pantalla de usuario por primera vez (FTU) para la configuración del perfil de nube de escalabilidad automática. Solución alternativa: omita la pantalla e inicie sesión en el nodo principal para crear el perfil de nube. El perfil de nube siempre debe configurarse en el nodo principal.

[ NSPLAT-4451 ]
Si el NetScaler SDX secundario de una configuración de alta disponibilidad está configurado con un núcleo de CPU compartido y los latidos del HA se intercambian a través de la VLAN, intenta sin éxito realizar la transición al nodo principal.

[ NSHELP-32412, NSCXLCM-789, NSCXLCM-1847, NSCXLCM-2063, NSHELP-36440 ]

Directivas

Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

Solución alternativa: defina el tamaño del búfer TCP en el tamaño máximo de los datos que se deben procesar.

[ NSPOLICY-1267 ]

SSL

En un clúster heterogéneo de dispositivos NetScaler SDX 22000 y NetScaler SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

Solución temporal:
1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
2. Guarde la configuración.
[ NSSSL-9572 ]
No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

[ NSSSL-6478 ]
Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo NetScaler no devuelve ningún error.

[ NSSSL-6213 ]
El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM. ERROR: Actualización de crl inhabilitada

[ NSSSL-6106 ]
La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

[ NSSSL-4427 ]
Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

[ NSSSL-4001 ]
Un tíquet de sesión caducado se respeta en un nodo que no es de CCO y en un nodo de alta disponibilidad después de una conmutación por error de alta disponibilidad.

[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

Sistema

Se observa un RTT alto en una conexión TCP si se cumplen las siguientes condiciones:
- se establece una ventana de congestión máxima alta (>4 MB)
- El algoritmo TCP NILE está activado
Para que un dispositivo NetScaler utilice el algoritmo NILE para el control de la congestión, las condiciones deben superar el umbral de inicio lento, que se combina con la ventana de congestión máxima

Por lo tanto, hasta que se alcance la ventana de congestión máxima configurada, el NetScaler sigue aceptando datos y termina con un RTT alto.

[ NSHELP-31548 ]
Los contadores mptcp_cur_session_without_subflow disminuyen incorrectamente a un valor negativo en lugar de cero.

[ NSBASE-18295 ]
NetScaler puede volcar el núcleo cuando usa el comando unset nstcpprofile para anular los parámetros del perfil TCP.

Solución alternativa: En su lugar, utilice el comando set nstcpprofile con el valor de parámetro deseado.

[ NSBASE-18724 ]
En raras ocasiones, NetScaler podría iniciar un marco GoAway de HTTP/2 con un error interno en una conexión de cliente HTTP/2 si se cumplen todas las condiciones siguientes:
- El cliente o el servidor back-end intentan cerrar la última transmisión de WebSocket o Connect en la conexión HTTP/2 del cliente.
- La multiplexación está habilitada.
El error no afecta a las transacciones en curso en la conexión HTTP/2 del cliente.

Solución alternativa: inhabilite la multiplexación de conexiones para el perfil HTTP/2 relacionado mediante el siguiente comando:

“set httpProfile <name> [-conMultiplex ( ENABLED DISABLED )]”

[ NSBASE-17449 ]
La IP del cliente y la IP del servidor se invierten en el registro HDX Insight SkipFlow cuando se configura el tipo de transporte LogStream para Insight.

[ NSBASE-8506 ]

Interfaz de usuario

No puede cargar el paquete de soporte técnico en el servidor de soporte técnico de Citrix mediante la GUI.

Solución alternativa : utilice la CLI para cargar el paquete de soporte técnico.

[ NSUI-19315 ]
En la GUI de NetScaler, el enlace “Ayuda” presente en la ficha “Panel de control” está roto.

[ NSUI-14752 ]
El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPsec, túneles IP y reglas de PBR mediante la GUI o CLI de NetScaler.

[ NSUI-13024 ]
Si crea una clave ECDSA mediante la interfaz gráfica de usuario, no se muestra el tipo de curva.

[ NSUI-6838 ]
No puede acceder a la página de actualización del sistema mediante la GUI o SSH después de actualizar NetScaler mediante la GUI.

[ NSHELP-35785 ]
Es posible que los usuarios no puedan iniciar sesión en el dispositivo NetScaler degradado si se cumple la siguiente secuencia de condiciones:
1. Realice uno de los siguientes pasos:
  - Tras actualizar a la versión actual, añada un usuario del sistema o cambie la contraseña de un usuario del sistema existente y guarde la configuración.
  - Aprovisione una nueva instancia de NetScaler VPX, BLX o CPX con la compilación actual.
2. Reduzca el dispositivo a una de las siguientes versiones:
  - 13.1-4.x
  - 13.0-82.x o anterior
  - 12.1-62.x o anterior
Para ver la lista de usuarios afectados tras la degradación, en la línea de comando, escriba: query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>] Solución alternativa: Restablecer la contraseña de los usuarios afectados. Para obtener más información, consulte Cómo restablecer la contraseña del administrador raíz (nsroot). Nota: Si está degradando una versión actualizada anteriormente, durante la degradación, utilice el archivo de configuración respaldado (ns.conf) de la compilación anterior para evitar este problema.

[ NSCONFIG-8068 ]
Es posible que los usuarios no puedan iniciar sesión en el dispositivo NetScaler degradado si se cumple la siguiente secuencia de condiciones:
1. Realice uno de los siguientes pasos:
  - Tras actualizar a la versión actual, añada un usuario del sistema o cambie la contraseña de un usuario del sistema existente y guarde la configuración.
  - Aprovisione una nueva instancia VPX, BLX o CPX con la compilación actual.
2. Reduzca el dispositivo a una de las siguientes versiones:
  - 13.0-47.x o anterior
  - 12.1-56.x o anterior
  - 11.1-64.x o anterior
Para ver la lista de usuarios afectados tras la degradación, en la línea de comandos, escriba:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solución alternativa: restablezca la contraseña de los usuarios afectados. Para obtener más información, consulte Cómo restablecer la contraseña del administrador raíz (nsroot).

Nota: Si está degradando una versión actualizada anteriormente, utilice el archivo de configuración de copia de seguridad (ns.conf) de la compilación anterior para evitar este problema.

[ NSCONFIG-3188 ]

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

Notas de lanzamiento de NetScaler 13.1-50.23 Build

February 12, 2024

Contribución de:

February 12, 2024

Contribución de: