ADC

Notes de publication pour la version 13.1—12.51 de NetScaler

March 17, 2024

Contributeur:

Ce document des notes de mise à jour décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 13.1—12.51 de NetScaler.

Les versions 13.1—12.51 remplacent les builds 13.1—12.50.

Cette version inclut également un correctif pour le problème suivant : NSWAF-8668.

Remarques

Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils relatifs à la sécurité, consultez le bulletin de sécurité.

Nouveautés

Améliorations et modifications disponibles dans les versions 13.1 à 12.51.

Authentification, autorisation et audit

Prise en charge des dernières versions des API NAC Intune

La prise en charge par NetScaler Gateway du contrôle d’accès réseau (NAC) d’Intune est désormais améliorée pour les dernières versions des API NAC d’Intune.

[ NSAUTH-9722 ]

Prise en charge du déploiement actif-actif GSLB pour l’authentification nFactor à l’aide du proxy de connexion

La prise en charge est désormais ajoutée pour le déploiement actif-actif GSLB pour l’authentification nFactor à l’aide du proxy de connexion. Ce support s’applique à la fois à NetScaler Gateway et aux scénarios d’authentification, d’autorisation et d’audit. Actuellement, si divers facteurs sont configurés dans l’authentification nFactor et si la passerelle est configurée pour GSLB, l’authentification peut être interrompue si la demande du client arrive sur différents sites GSLB.

Par exemple, si LDAP est configuré en tant que premier facteur et RADIUS en tant que deuxième facteur, l’authentification peut être interrompue dans le scénario suivant.

Demande du client pour LDAP atterrir sur le site GSLB 1.
La demande Radius atterrit sur le site 2 du GSLB. Le proxy de connexion est désormais utilisé pour acheminer la demande vers les sites GSLB appropriés afin de terminer l’authentification et de servir le trafic.

[NSAUTH-7141]

Appliance NetScaler SDX

Sur une appliance NetScaler SDX, le service de gestion interroge les instances NetScaler en arrière-plan pour des opérations telles que les certificats SSL, les fonctions réseau et l’audit de configuration. Vous pouvez désormais activer et désactiver ce sondage en fonction de vos besoins. La désactivation de ce sondage améliore les performances du service de gestion et des instances ADC.

[NSSVM-4991]

Web App Firewall NetScaler

Journalisation détaillée pour les contrôles de sécurité JSON (SQL, CMD et XSS)

L’appliance NetScaler vous permet désormais de configurer un paramètre de niveau de journal détaillé pour enregistrer les détails des violations, tels que le modèle, la charge utile du modèle et les détails de l’en-tête HTTP pour les contrôles de sécurité JSON. Les informations du journal sont ensuite envoyées au serveur de la console NetScaler à des fins de surveillance et de dépannage. Le message de consignation verbeux n’est pas stocké dans le fichier ns.log.

[NSWAF-8269]

Stratégies de journal d’audit Web App Firewall Classic obsolètes

Pour lier globalement les stratégies de Web App Firewall, un nouveau type de liaison global APPFW_GLOBAL est désormais configurable dans les commandes bind audit syslogGlobal et bind audit nslogGlobal. Les stratégies de journal d’audit liées globales sont évaluées dans le contexte de journalisation du Web App Firewall.

[NSWAF-406]

Équilibrage de charge

Prise en charge des stratégies de réécriture pour le protocole MQTT

La fonction de réécriture prend désormais en charge le protocole MQTT. Vous pouvez configurer la stratégie de réécriture pour effectuer des actions en fonction des paramètres des demandes du client MQTT et des réponses du serveur.

[NSLB-8661]

Ordre de priorité pour les services

La fonction Ordre de priorité pour les services vous permet de hiérarchiser l’ordre des services ou des groupes de services en fonction des préférences de sélection de l’équilibrage de charge. Vous pouvez désormais configurer l’ordre de sélection des services lorsque vous liez les services ou les groupes de services aux serveurs virtuels LB ou GSLB. Un nouveau paramètre, -order, <number> est ajouté aux commandes de liaison pour configurer la préférence de sélection de service.

Par défaut, le numéro de commande le plus bas a la priorité la plus élevée. Toutefois, vous pouvez différer ce comportement de sélection par défaut. À l’aide des nouvelles commandes d’action et de stratégie LB, vous pouvez désormais configurer l’ordre de sélection des services en fonction du trafic client entrant.

La fonction d’ordre de priorité pour les services imite le comportement de la fonctionnalité de chaîne de serveurs virtuels principale et de sauvegarde avec moins de commandes de configuration.

[NSLB-8039]

Réseau

Insérez l’adresse IP du client dans l’en-tête externe du tunnel IP pour une configuration d’équilibrage de charge sans session

Dans une configuration d’équilibrage de charge sans session avec les paramètres suivants, l’appliance d’encapsulation NetScaler utilise une adresse SNIP au lieu de l’adresse IP du client comme adresse IP source dans l’en-tête externe du tunnel IP.

Serveur virtuel d’équilibrage de charge :
mode de redirection (m) : tunnel IP
sans session : activé
Paramètre global du tunnel IP :
utiliser l’adresse IP source du client (UseClientSourceIP) : activé

Toutefois, dans certains scénarios, le désencapsulateur du tunnel (un NetScaler principal ou un serveur principal) doit connaître l’adresse IP du client.

Pour répondre à cette exigence, l’appliance d’encapsulation NetScaler utilise désormais l’adresse IP du client comme adresse IP source dans l’en-tête externe du tunnel IP.

Pour plus d’informations, consultez Configurer l’équilibrage de charge en mode DSR à l’aide d’IP sur IP.

[NSNET-21804]

Plateforme

L’image VMware ESXi démarre jusqu’à la version matérielle virtuelle 13

Lorsque vous déployez une instance NetScaler VPX à partir de l’image VMware ESXi (12.1 et versions ultérieures), par défaut, la machine virtuelle fournit la version matérielle 13.

[NSPLAT-21416]

Prise en charge des séries de contrôleurs Ethernet Intel X710 et XL710 sur Citrix Hypervisor

Vous pouvez désormais configurer une instance NetScaler VPX exécutée sur Citrix Hypervisor à l’aide de la virtualisation des E/S à racine unique (SR-IOV) avec les cartes réseau suivantes :

Intel X710 10 Go
Intel XL710 40 Go

[NSPLAT-21410]

Déployez une paire haute disponibilité VPX à l’aide d’adresses IP privées avec un VPC partagé AWS

Vous pouvez désormais déployer une paire haute disponibilité VPX à l’aide d’adresses IP privées sur différentes zones AWS avec des Clouds privés virtuels (VPC) partagés AWS. Le partage de VPC permet à plusieurs comptes AWS de créer leurs ressources d’application dans des VPC partagés et gérés de manière centralisée. Vous pouvez créer des instances NetScaler VPX dans AWS Shared VPC. Le VPC partagé réduit le nombre de VPC que vous créez et gérez, tout en utilisant des comptes distincts pour la facturation et le contrôle d’accès.

[NSPLAT-21401]

SSL

Nouvelle expression pour détecter les logiciels malveillants basée sur l’empreinte digitale SSL JA3

Une nouvelle expression SSL, CLIENT.SSL.JA3_FINGERPRINT, est ajoutée pour aider à identifier toute demande malveillante en comparant la demande à l’empreinte digitale JA3 configurée.

Exemple : add ssl policy ja3_pol -rule "CLIENT.SSL.JA3_FINGERPRINT.EQ(bb4c15a90e93a25ddc16274395bce4c6)" -action reset

[NSSSL-10156]

Prise en charge de bundle de certificats dans le cluster

Les bundles de certificats sont désormais pris en charge dans une configuration de cluster.

[ NSSSL-9854 ]

Prise en charge du bundle de certificats SSL

La fonctionnalité de bundle de certificats a été améliorée pour traiter le lot en tant qu’entité. Il n’est donc pas nécessaire de créer des fichiers pour chaque certificat intermédiaire. Deux bundles de certificats peuvent désormais partager une partie de la chaîne de certificats intermédiaires. Vous pouvez également ajouter une paire de clés de certificat à l’aide du même certificat de serveur et de la même clé qui font également partie d’un bundle de certificats. La suppression du bundle de certificats est également simplifiée.

Auparavant, l’ajout d’un bundle de certificats ajoutait plusieurs commandes dans la configuration. Vous ne pouvez pas ajouter un autre bundle de certificats si deux ensembles partageaient un certificat intermédiaire commun. La suppression était également un processus manuel.

[NSSSL-9425]

System

Les commandes liées à l’injection html ont été supprimées dans la version 13.1. Cette modification supprime tout le code principal.

[NSBASE-14742]

Problèmes résolus

Les problèmes qui sont traités dans les versions 13.1 à 12.51.

Authentification, autorisation et audit

L’appliance NetScaler se bloque si l’OTP de messagerie est configuré.

[ NSHELP-29312 ]

L’outil de chiffrement OTP natif n’autorise pas les caractères spéciaux dans le nom de l’appareil.

[NSHELP-28795]

Lorsque vous vous connectez à l’appliance NetScaler, un champ de mot de passe vide s’affiche lorsque les deux conditions suivantes sont remplies.

L’authentification à deux facteurs Duo est configurée
Le thème du portail RFWebUI est utilisé

[ NSHELP-27868 ]

L’accès à un service est refusé si les conditions suivantes sont remplies :

Le service est lié à un serveur virtuel d’authentification.
L’authentification 401 est configurée sur le service et le serveur virtuel auquel le service est lié.

[NSHELP-26903]

Dans de rares cas, le nœud secondaire d’une configuration haute disponibilité peut se bloquer si la condition suivante est remplie.

Les aaa groups et/ou aaa users sont configurés sur l’appliance NetScaler.

[ NSHELP-26732 ]

Si le mot de passe administrateur des services LDAP, RADIUS ou TACACS contient des guillemets doubles («), l’appliance NetScaler le supprime lors de la Test Connectivity vérification, ce qui entraîne un échec de connexion.

[NSHELP-23630]

Appliance NetScaler SDX

Sur les plateformes NetScaler SDX 14000-40G, 15000 et 15000-50G, le réglage de la vitesse de l’interface à l’aide de l’interface de ligne de commande échoue.

[NSHELP-29388]

Lorsque vous modifiez le profil sur une instance ADC hébergée sur la plateforme NetScaler SDX, vous remarquerez peut-être des entrées supplémentaires pour la save config commande dans le fichier journal.

[ NSHELP-29343 ]

Sur une appliance NetScaler SDX, un agent SNMP exécuté dans le service de gestion renvoie un code d’erreur incorrect pour les OID inexistants.

[ NSHELP-29209 ]

Les données de la table d’événements ADC peuvent désormais être triées sur plusieurs pages si le nombre total d’enregistrements de données est inférieur à 5 000.

[NSHELP-29170]

NetScaler Gateway

L’appliance NetScaler peut se bloquer si l’EPA est configuré et qu’il n’y a pas suffisamment de mémoire disponible.

[NSHELP-28329]

Le répertoire /var/NetScaler/logon/LogonPoint/custom/ n’est pas créé après une mise à niveau si le répertoire n’était pas présent initialement.

[NSHELP-28223]

Vous pouvez voir une ligne supplémentaire pour les journaux NS_AUDITLOG_STR* dans le fichier ns_aaa_json.c.

[NSHELP-28160]

L’enregistrement DNS ne fonctionne pas une fois la connexion VPN établie.

Pour résoudre ce problème, vous devez activer le bouton nsapimgr, nsapimgr_wr.sh -ys call=toggle_vpn_configured_dns_disable_override.

[NSHELP-27760]

Parfois, lors de la connexion au transfert, les sous-réseaux IP Intranet s’affichent incorrectement côté client.

[NSHELP-26904]

La latence ICA d’une session est enregistrée de manière incorrecte à 64 000 ms dans Citrix Director lorsque la latence L7 est activée. La latence L7 est activée lorsque le bouton nsapimgr enable_ica_l7_latency est réglé sur 1.

[NSHELP-23459]

Le fichier journal Gateway Insight est inondé du message suivant lorsque les utilisateurs se connectent à l’appliance NetScaler Gateway et accèdent aux applications ICA.

GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero Oct 25 23:01:31 <local0.err> 10.217.24.1Oct 25 23:01:31 <local0.err> 10.217.24.101 10/26/2021:06:01:31 GMT NSGWTHDR 0-PPE-0 : default SSLVPN Message 10491736 0 : GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero

[CGOP-19685]

La fonctionnalité de favoris d’entreprise du portail NetScaler Gateway prend uniquement en charge les protocoles suivants. Tous les autres signets sont bloqués. http://, https://, rdp:// et ftp://.

[CGOP-19543]

Web App Firewall NetScaler

Si vous utilisez des signatures WAF, après la mise à niveau de la génération, vous devez mettre à jour toutes les signatures WAF, y compris les signatures par défaut, vers la dernière version. Réactivez ensuite les règles de signature requises.

[NSWAF-8668]

Dans certains cas, une appliance NetScaler peut se bloquer lorsque des URL d’interception sont générées automatiquement dans le système de gestion des robots.

[NSHELP-29339]

Équilibrage de charge

Le groupe de services GSLB ne peut pas gérer les mises à jour du moniteur en raison d’une valeur ENUM manquante dans les commandes ayant échoué.

[ NSHELP-29050 ]

L’appliance NetScaler se bloque alors qu’elle tente de libérer de la mémoire allouée sur une partition différente de celle dont elle est libérée.

[ NSHELP-29038 ]

Si un enregistrement DNS de type ZONE est disponible pour le domaine parent, la requête pour le domaine enfant avec un enregistrement NS existant génère un enregistrement SOA du domaine parent au lieu de l’enregistrement NS du domaine enfant.

[NSHELP-28793]

L’appliance NetScaler peut ne pas répondre à une requête de domaine GSLB avec l’adresse IP du service GSLB attendue, si le serveur virtuel GSLB est configuré comme suit : Type de persistance : adresse IP source Algorithme d’équilibrage de charge : proximité statique Méthode d’équilibrage de charge de sauvegarde : temps aller-retour (RTT)

[ NSHELP-28668 ]

L’état du groupe de services Autoscale basé sur le domaine d’équilibrage de charge ou GSLB reste INACTIF si vous utilisez un port générique.

[ NSHELP-28548 ]

Le dernier message de réponse ne s’affiche pas correctement pour les moniteurs liés à des groupes de services GSLB.

[NSHELP-28393]

La valeur CookieTimeout n’est pas correctement définie pendant l’opération GET, ce qui entraîne l’échec de l’opération de mise à jour du serveur virtuel CS.

[ NSHELP-27979 ]

Une appliance NetScaler peut échouer lors de la gestion de la sonde de surveillance pour un moniteur de type mysql, ce qui entraîne éventuellement le redémarrage du système.

[ NSHELP-27953 ]

Divers

L’instance NetScaler CPX, exécutée sur un système Linux avec une architecture 64 bits et 1 To de stockage de fichiers, peut désormais charger des fichiers de certificat et de clé.

[NSHELP-28986]

La correspondance du modèle de jeu d’URL échoue pour les domaines standard IDNA2008.

[ NSHELP-28902 ]

Lorsque le transfert basé sur Mac (MBF) est activé pour VXLAN, la session TCP avec état n’était pas établie.

[ NSHELP-27125 ]

Réseau

La mise à niveau d’une appliance NetScaler dotée de partitions d’administration peut entraîner des pertes de configuration si les conditions suivantes sont remplies :

Si la totalité de la mémoire système disponible est allouée aux partitions d’administration.

[NSNET-23031]

LIMITATIONS -

L’ID VLAN 2 est réservé pour un usage interne

L’ID VLAN 2 est réservé pour un usage interne pour les déploiements en mode pont et aucun. NetScaler CPX lie toutes les interfaces, autres que la 0/1, à l’ID VLAN 2 et le MTU (unités de transmission maximales) du VLAN ID 2 est défini comme étant égal au MTU de l’interface eth0. Si vous souhaitez configurer le VLAN et lier l’interface avec celui-ci, définissez le MTU sur le VLAN sur le MTU de l’interface tel que configuré sur Linux, si le MTU de l’interface est inférieur à 1500 octets.

[NSNET-22807]

Une appliance NetScaler BLX en mode DPDK peut se bloquer si un profil de pare-feu d’applications Web est configuré avec des contrôles de protection de sécurité avancés.

[NSNET-22654]

L’appliance NetScaler peut se bloquer lors de la création d’une sonde de surveillance pour le service associé si les conditions suivantes sont remplies :

Profil réseau avec un ensemble d’adresses IP qui possède au moins une adresse IPv4 et aucune adresse IPv6. Le profil réseau est lié à un moniteur, qui est défini sur un service IPv6.
Profil réseau avec un ensemble d’adresses IP qui possède au moins une adresse IPv6 et aucune adresse IPv4. Le profil réseau est lié à un moniteur, défini sur un service IPv4.

[NSHELP-29382]

Dans une appliance NetScaler, les connexions de données FTP passives peuvent être perdues suite à un échec d’allocation de mémoire.

[ NSHELP-26522 ]

Plateforme

Les instances NetScaler VPX qui utilisent le pilote VMXNET3 peuvent se bloquer de manière aléatoire si l’instance s’exécute sur l’une des versions NetScaler suivantes :

NetScaler 13.1 version 4.x
NetScaler 13.1 version 9.x

[ NSHELP-29120 ]

Stratégies

Une appliance NetScaler peut se bloquer dans les conditions suivantes :

Une action de message d’audit est configurée avec l’expression de générateur de chaînes avec une ou plusieurs fonctions REGEX appliquées au corps d’une demande.
Un profil de pare-feu d’application configuré avec l’option Streaming activée.

Par exemple, HTTP.REQ.BODY(10000000).REGEX_SELECT(re/name=[^\r\n]*[\r\n]+/).

[ NSHELP-27895 ]

SSL

Une appliance NetScaler se bloque lors du traitement d’une requête HTTP si l’action de stratégie est définie Forward pour une stratégie déjà liée au point de liaison de la demande.

[ NSHELP-29115 ]

Une appliance NetScaler se bloque si les étapes suivantes sont suivies :

Un moniteur de type SSL est ajouté.
Une paire de clés de certificat est liée au moniteur.
Le moniteur est retiré.
Un autre moniteur portant le même nom est ajouté.
La paire de clés de certificat est mise à jour.

[NSHELP-28666]

Toutes les adresses IP d’un certificat SAN sont désormais affichées. Auparavant, seule la dernière adresse IP SAN de toutes les adresses IP du certificat SAN était affichée.

[NSHELP-27336]

L’établissement de liaison SSL échoue si vous utilisez des chiffrements DH avec un HSM externe.

[NSHELP-25307]

System

Lorsqu’une appliance NetScaler reçoit une trame HTTP/2 GOWAY d’un client, elle réinitialise de manière incorrecte tous les flux dont l’ID de flux est supérieur à l’ID promis (dernier identifiant de flux initié par le pair).

[ NSHELP-29328 ]

Sur une console NetScaler, l’agent ADM peut signaler une utilisation élevée de la mémoire en raison d’un problème lié à l’agent ADM.

[NSHELP-29285]

L’appliance NetScaler se bloque lorsque toutes les conditions suivantes sont remplies :

Une action d’inspection de contenu, avec une adresse IP de serveur, utilise les données internes d’un service s’il est déjà configuré.
Par conséquent, les données internes du service sont également supprimées lorsque l’action de CI est supprimée.
Lorsque le service proprement dit est supprimé, l’appliance NetScaler tente d’accéder aux données internes déjà supprimées et de les supprimer.

[NSHELP-28293]

Dans une appliance NetScaler avec des partitions d’administration nstrace, l’utilitaire peut ne pas fonctionner correctement sur une partition autre que celle par défaut

[ NSBASE-15738 ]

Dans une configuration de cluster, un nœud avec la priorité CCO est déconnecté d’Open vSwitch (OVS) en raison de problèmes de réseau. Une fois que le nœud a rejoint la configuration du cluster, il ne reçoit pas le dernier cookie SYN.

[NSBASE-14419]

Interface utilisateur

Les instances ADC en mode cluster configurées avec une capacité groupée tombent en panne. Ce problème se produit lorsqu’un nom d’hôte est configuré dans les nœuds du cluster et si les nœuds mettent plus de temps à se connecter au serveur de licences ADM au démarrage.

[ NSHELP-28613 ]

L’interface graphique de NetScaler peut générer de manière incorrecte un bundle de support technique de cluster composé d’un seul nœud au lieu de tous les nœuds du cluster.

[NSHELP-28606]

La génération d’un bundle de support technique de cluster à l’aide de l’interface graphique NetScaler peut échouer avec une erreur.

[NSHELP-28586]

Dans une interface NetScaler CLI, les options permettant de lier les commandes ne sont pas automatiquement renseignées si vous appuyez sur la <Tab> touche tout en saisissant la commande dans l’invite de commandes.

Par exemple, tapez la commande suivante et lorsque vous utilisez la touche <Tab>, les objets ne sont pas remplis automatiquement.

bind authentication vserver <authvservername> -policy <Tab>.

Ici, le serveur virtuel d’authentification peut être lié à plusieurs types d’objets tels que la stratégie RADIUS, la stratégie Idappolicy, la stratégie de certificat, la stratégie TACAS, la stratégie d’authentification avancée, etc.

[NSCONFIG-6340]

Problèmes connus

Les problèmes qui existent dans les versions 13.1 à 12.51.

AppFlow

HDX Insight ne signale pas d’échec du lancement d’une application provoqué par un utilisateur qui tente de lancer une application ou un bureau auquel l’utilisateur n’a pas accès.

[NSINSIGHT-943]

Authentification, autorisation et audit

Dans certains cas, une fuite de mémoire est observée dans un dispositif NetScaler si la fonctionnalité SSO est utilisée avec un serveur proxy.

[ NSHELP-27744 ]

Une appliance NetScaler n’authentifie pas les tentatives de connexion par mot de passe dupliqué et empêche le verrouillage des comptes.

[NSHELP-563]

Le LoginSchema DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique NetScaler.

[ NSAUTH-6106 ]

Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante. show adfsproxyprofile <profile name>

Solution :

Connectez-vous au principal NetScaler actif du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

[ NSAUTH-5916 ]

La page Configurer le serveur LDAP d’authentification sur l’interface graphique de NetScaler ne répond plus si vous suivez les étapes suivantes :

L’option Tester l’accessibilité LDAP est ouverte.
Les informations d’identification de connexion non valides sont renseignées et envoyées.
Les identifiants de connexion valides sont renseignés et envoyés.

Solution :

Fermez et ouvrez l’option Tester l’accessibilité LDAP.

[ NSAUTH-2147 ]

Mise en cache

Une appliance NetScaler peut se bloquer si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

[ NSHELP-22942 ]

Appliance NetScaler SDX

Sur une appliance NetScaler SDX, si le CLAG est créé sur une carte réseau Mellanox, le MAC CLAG est modifié lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

[ NSSVM-4333 ]

NetScaler Gateway

Dans certains cas, le code de validation du serveur échoue lorsque le certificat de serveur est approuvé. Par conséquent, les utilisateurs finaux ne peuvent pas accéder à la passerelle.

[ NSHELP-28942 ]

Parfois, après la déconnexion du VPN, le résolveur DNS ne parvient pas à résoudre les noms d’hôtes, car les suffixes DNS sont supprimés lors de la déconnexion du VPN.

[ NSHELP-28848 ]

L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

[ NSHELP-28551 ]

Parfois, un utilisateur est déconnecté de NetScaler Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

[ NSHELP-28404 ]

Le plug-in Windows peut se bloquer pendant l’authentification.

[ NSHELP-28394 ]

Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

[ NSHELP-23937 ]

Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

L’appliance NetScaler Gateway est configurée pour la fonctionnalité Always On
L’appliance est configurée pour l’authentification par certificat avec une authentification à deux facteurs. off

[ NSHELP-23584 ]

Parfois, lorsque vous parcourez les schémas, le message d’erreur Cannot read property 'type' of undefined s’affiche.

[ NSHELP-21897 ]

Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité Windows Logon, il est recommandé de passer à NetScaler Gateway 13.0 ou version ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

[ CGOP-19355 ]

L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

[ CGOP-13621 ]

Le rapport Gateway Insight affiche la valeur de manière incorrecte Local plutôt que SAML dans le champ Type d’authentification pour les échecs d’erreur SAML.

[ CGOP-13584 ]

Dans une configuration à haute disponibilité, lors du basculement NetScaler, le nombre de SR augmente au lieu du nombre de basculements dans NetScaler Console.

[ CGOP-13511 ]

Lorsque vous acceptez les connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche du contenu en anglais, quelle que soit la langue sélectionnée.

[ CGOP-13050 ]

Le texte Home Page de la page d’accueil de l’application Citrix SSO est tronqué dans certaines langues.

[ CGOP-13049 ]

Un message d’erreur s’affiche lorsque vous ajoutez ou modifiez une stratégie de session depuis l’interface graphique de NetScaler.

[ CGOP-11830 ]

Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique. De plus, la page ne répond plus.

[ CGOP-7269 ]

Dans un déploiement de cluster, si vous exécutez la commande force cluster sync sur un nœud non CCO, le fichier ns.log contient des entrées de journal en double.

[ CGOP-6794 ]

Équilibrage de charge

Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

[ NSLB-7679 ]

Le format ServiceGroupName utilisé dans le entityofs piège pour le groupe de services est le suivant : <service(group)name>?<ip/DBS>?<port>

Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (?) est utilisé comme séparateur. NetScaler envoie le piège avec le point d’interrogation ()?. Le format apparaît de la même manière dans l’interface graphique de la console NetScaler. C’est le comportement attendu.

[ NSHELP-28080 ]

Divers

Lorsqu’une synchronisation forcée a lieu dans une configuration haute disponibilité, l’appliance exécute la commande set urlfiltering parameter dans le nœud secondaire. Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre TimeOfDayToUpdateDB.

[ NSSWG-849 ]

Une appliance NetScaler peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

[ NSHELP-22409 ]

Réseau

Après une mise à niveau de l’appliance NetScaler BLX 13.0 61.x vers la version 13.0 64.x, les paramètres du fichier de configuration BLX sont perdus. Le fichier de configuration BLX est ensuite réinitialisé par défaut.

[ NSNET-17625 ]

Les opérations d’interface suivantes ne sont pas prises en charge pour les X710 10G (i40e) interfaces Intel sur une appliance NetScaler BLX avec DPDK :

Désactiver
Activer
Reset

[ NSNET-16559 ]

Sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure), une appliance NetScaler BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX ()./etc/blx/blx.conf Ce problème se produit car mawk, qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier blx.conf.

Solution :

Effectuez l’installation gawk avant d’installer une appliance NetScaler BLX. Vous pouvez exécuter la commande suivante dans l’interface de ligne de commande de l’hôte Linux pour effectuer l’installation de gawk :

apt-get install gawk

[ NSNET-14603 ]

L’installation d’une appliance NetScaler BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Solution :

Exécutez les commandes suivantes dans l’interface de ligne de commande hôte Linux avant d’installer une appliance NetScaler BLX :

dpkg –add-architecture i386
apt-get update
apt-get dist-upgrade
apt-get install libc6:i386

[NSNET-14602]

Dans certains cas de connexions de données FTP, l’appliance NetScaler effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

[NSNET-5233]

Dans une configuration haute disponibilité, en cas de non-correspondance de version HA entre les deux nœuds, les routes dynamiques ne sont pas synchronisées avec le nœud secondaire. Le nœud secondaire n’est pas accessible si son accessibilité dépend des itinéraires dynamiques.

En guise de solution, les routes dynamiques sont synchronisées avec le nœud secondaire même en cas de non-concordance de version HA.

[NSHELP-28326]

Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance NetScaler, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

[ NSHELP-21082 ]

Plateforme

Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre 100 % de sa capacité dans les clouds AWS et GCP, ainsi que dans NetScaler VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

Lors du premier démarrage de l’appliance NetScaler, vous n’enregistrez pas le mot de passe demandé.
Ensuite, vous redémarrez l’appliance NetScaler.

[NSPLAT-22013]

Lorsque vous effectuez une mise à niveau d’une version 13.0/12.1/11.1 vers une version 13.1 ou que vous rétrogradez d’une version 13.1 vers une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances NetScaler. Ce problème est résolu pour les versions suivantes de NetScaler :

13.1-4.x
13.0-82.31 et versions ultérieures
12.1-62.21 et versions ultérieures

Les packages python ne sont pas installés lorsque vous rétrogradez les versions de NetScaler de 13.1-4.x vers l’une des versions suivantes :

Toute version 11.1
12.1-62.21 et versions antérieures
13.0-81.x et versions antérieures

[NSPLAT-21691]

Provisioning d’une instance VPX avec la version 12.0 XVA échoue sur une appliance NetScaler SDX exécutant la version 13.1.

Seules les versions 12.1 et ultérieures de VPX sont prises en charge. Mettez à niveau la version VPX avant de mettre à niveau le SBI vers la version 13.1.

[NSPLAT-21442]

Dans une configuration de cluster sur une appliance NetScaler SDX, il existe une incompatibilité CLAG MAC sur le deuxième nœud et CLIP si les conditions suivantes sont remplies :

Le CLAG est créé sur une carte réseau Mellanox.
Vous ajoutez une autre instance VPX au cluster et à la configuration CLAG.

Par conséquent, le trafic vers l’instance VPX s’arrête.

[NSPLAT-21049]

Dans une configuration de cluster sur une appliance NetScaler SDX, le premier nœud tombe en panne en raison d’une incompatibilité d’adresses MAC entre le CLIP et la table MAC, si les conditions suivantes sont remplies :

Le CLAG est créé sur une carte réseau Mellanox.
Vous supprimez le deuxième nœud du cluster.

[NSPLAT-21042]

Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance NetScaler. Utilisez la commande rm cloudprofile pour supprimer le profil.

[NSPLAT-4520]

Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche. Solution : sautez l’écran et connectez-vous au nœud principal pour créer le profil cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

[NSPLAT-4451]

Stratégies

Les connexions peuvent se bloquer si la taille des données de traitement est supérieure à la taille de tampon TCP par défaut configurée.Solution : définissez la taille du tampon TCP sur la taille maximale des données à traiter.

[ NSPOLICY-1267 ]

SSL

Sur un cluster hétérogène d’appliances NetScaler SDX 22000 et NetScaler SDX 26000, il y a une perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

Solution :

Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
Enregistrez la configuration.

[NSSSL-9572]

La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :

add azure application
add azure keyvault
add ssl certkey with hsmkey option

[NSSSL-6484]

Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

[NSSSL-6478]

Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance NetScaler ne renvoie aucune erreur.

[NSSSL-6213]

Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM. ERREUR : actualisation des crl désactivée

[NSSSL-6106]

L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

[NSSSL-4427]

Un message d’avertissement incorrect Warning: No usable ciphers configured on the SSL vserver/service, s’affiche si vous essayez de modifier le protocole SSL ou le chiffrement dans le profil SSL.

[NSSSL-4001]

Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

[NSSSL-3184]

System

La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas le cadre de paramètres max_concurrent_stream du client.

[ NSHELP-21240 ]

Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

[ NSHELP-10972 ]

Lors du traitement de grands flux de trafic gRPC, la fenêtre annoncée par TCP augmente de façon exponentielle, entraînant une utilisation élevée de la mémoire.

[ NSBASE-15447 ]

L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

[ NSBASE-8506 ]

Interface utilisateur

Pour la fonction de réécriture MQTT, vous ne pouvez pas supprimer une expression à l’aide de l’éditeur d’expression dans l’interface graphique.

Solution :

Utilisez la commande d’action add ou edit de type MQTT via l’interface de ligne de commande.

[NSUI-18049]

Dans l’interface graphique de NetScaler, Help le lien présent sous Dashboard l’onglet est rompu.

[NSUI-14752]

L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

Solution :

Configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de la CLI de NetScaler.

[NSUI-13024]

Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

[NSUI-6838]

Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

Solution :

Effectuez le basculement HA manuel successif uniquement après la fin de la synchronisation HA (les deux nœuds sont en état de réussite de la synchronisation).

[ NSHELP-25598 ]

Lorsque vous rétrogradez la version 13.0-71.x d’une appliance NetScaler vers une version antérieure, certaines API Nitro peuvent ne pas fonctionner en raison des modifications des autorisations de fichier.

Solution :

Modifiez l’autorisation pour /nsconfig/ns.conf à 644.

[NSCONFIG-4628]

Si vous (administrateur système) effectuez toutes les étapes suivantes sur une appliance NetScaler, les utilisateurs du système risquent de ne pas se connecter à l’appliance NetScaler rétrogradée.

Mettez à niveau l’appliance NetScaler vers l’une des versions suivantes :

13.0 52.24 build
12.1 57.18 build
11.1 65.10 build

Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
Rétrogradez l’appliance NetScaler vers une version antérieure.

Pour afficher la liste de ces utilisateurs système à l’aide de l’interface de ligne de commande : À l’invite de commandes, tapez :

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solution :

Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

Si l’appliance NetScaler n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance NetScaler à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[NSCONFIG-3188]

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Notes de publication pour la version 13.1—12.51 de NetScaler

March 17, 2024

Contributeur:

March 17, 2024

Contributeur: