Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF

Notes de publication pour la version 13.1-37.38 de NetScaler

April 15, 2024
Contributeur: 
C

Ce document des notes de mise à jour décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 13.1-37.38 de NetScaler.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils relatifs à la sécurité, consultez le bulletin de sécurité.
  • La version 13.1-37.39 du bundle NetScaler SDX remplace la version 13.1-37.38.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.1-37.38.

Appliance NetScaler SDX

  • Amélioration du processus de mise à niveau

    Dans une appliance NetScaler SDX, le processus de mise à niveau nécessite désormais un seul redémarrage au lieu de deux redémarrages.

    [NSSVM-5299]

  • Suppression de la prise en charge des instances tierces de l’interface utilisateur SDX

    Une appliance NetScaler SDX ne prend plus en charge les instances tierces depuis l’interface utilisateur. La vue Instances tierces est supprimée de l’onglet Configuration de l’interface utilisateur SDX.

    Solution : si vous souhaitez toujours utiliser les instances tierces dans le service de gestion, suivez la procédure suivante.

    1. Connectez-vous au shell du service de gestion.
    2. Créez un fichier « .ThirdPartyVM » dans le répertoire « /mpsconfig ».
    3. Redémarrez le service de gestion en exécutant la svmd restart commande dans le shell du service de gestion.

    [NSSVM-5229]

NetScaler Gateway

  • Support du drapeau HttpOnly sur les cookies d’authentification

    L’indicateur HttpOnly est désormais pris en charge sur les cookies d’authentification des scénarios VPN, à savoir les cookies NSC_Authentication, AuditingC et NSC_TMAS. Le cookie d’authentification NSC_TMAS est utilisé lors de l’authentification nFactor et le cookie NSC_Authentication, AuditingC est utilisé pour la session authentifiée. Le HttpOnlyFlag sur un cookie limite l’accès aux cookies à l’aide de l’option de cookie de document JavaScript. Cela permet de prévenir le vol de cookie dû à des scripts intersites.

    [CGOP-14004]

Équilibrage de charge

  • Configuration de l’état TROFS différé automatiquement

    Vous pouvez configurer le déplacement progressif des membres d’un groupe de services vers l’état TROFS lorsque les adresses IP sont supprimées de la réponse DNS. Lorsque le TROFS à temporisation automatique est activé, NetScaler attend le délai de réponse le plus élevé sur tous les moniteurs connectés au groupe de services avant de faire passer les membres à l’état TROFS.

    Pour plus d’informations, voir Configurer la mise à l’échelle automatique des groupes de services basée sur le domaine.

    [NSLB-9371]

Réseau

  • Support DPDK pour les appliances NetScaler BLX sur des hôtes Linux équipés de processeurs AMD

    Les appliances NetScaler BLX installées sur des hôtes Linux équipés de processeurs AMD prennent désormais en charge le protocole DPDK. L’appliance détecte automatiquement les ports NIC compatibles DPDK spécifiés sur l’hôte Linux. L’appliance les initialise ensuite en mode DPDK. Après le démarrage de l’appliance NetScaler BLX, les ports DPDK sont ajoutés en tant que ports dédiés à l’appliance.

    Au lieu de spécifier un ou plusieurs ports de carte réseau compatibles DPDK dans le fichier « blx.conf », vous devez spécifier tous les ports de carte réseau compatibles DPDK qui font partie du même groupe IOMMU. Dans le cas contraire, les ports NIC compatibles avec DPDK sont ajoutés en tant que ports dédiés non DPDK à l’appliance NetScaler BLX.

    [NSNET-19219]

Plateforme

  • Performances améliorées pour les instances à cœur partagé dans GCP

    Dans une instance NetScaler VPX, le paramètre de rendement du processeur est activé par défaut pour les instances à cœur partagé dans GCP. Cela permet d’améliorer les performances dans GCP pour les instances à cœur partagé. Pour plus d’informations sur les types de machines à cœur partagé sur GCP, consultez la documentation Google Cloud.

    Dans une configuration ADC HA avec des instances à cœur partagé dans GCP, le message d’avertissement suivant s’affiche lors de la connexion :

    Pour des performances et une disponibilité élevées, nous vous recommandons de passer d’une machine à cœur partagé à une instance à usage général ou à des types d’instances optimisés pour le calcul et la mémoire sur Google Cloud Platform.

    [NSPLAT-23748]

  • Support pour l’instance NetScaler VPX sur Azure série DV5

    L’instance NetScaler VPX sur le cloud Azure peut désormais s’exécuter sur les machines virtuelles Azure de la série DV5.

    [NSPLAT-22730]

  • Support pour la plateforme NetScaler MPX 16000

    Cette version prend en charge la plate-forme NetScaler MPX 16000. Cette plate-forme possède deux processeurs 16 cœurs et 128 Go (16 x 8 Go DIMM) de mémoire. L’appliance fournit au total huit ports SFP+ 25G et quatre ports Ethernet QSFP28 100G.
    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-hardware-platforms/mpx/netscaler-hardware-platforms/mpx-16000.html.

    [NSPLAT-25436]

  • Support pour la plateforme NetScaler SDX 16000

    Cette version prend en charge la plate-forme NetScaler SDX 16000. Cette plate-forme possède deux processeurs 16 cœurs et 256 Go (16 x 16 Go DIMM) de mémoire. L’appliance fournit au total huit ports SFP+ 25G et quatre ports Ethernet QSFP28 100G.
    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-16000.html.

    [NSPLAT-21608]

SSL

  • Prise en charge des notifications récurrentes jusqu’à l’expiration du certificat

    L’appliance NetScaler envoie désormais une notification par jour jusqu’à l’expiration du certificat. Auparavant, une seule notification était envoyée un certain nombre de jours avant l’expiration du certificat.

    [NSSSL-11874]

System

  • Alarme SNMP pour signaler une défaillance de connexion Syslog

    Une nouvelle alarme SNMP « SyslogConnectionDropped » a été introduite dans l’appliance NetScaler pour signaler un échec de connexion réseau à un serveur Syslog externe.

    [NSBASE-16823]

Interface utilisateur

  • Lorsque vous chargez un ou plusieurs fichiers de licence avec des dates Subscription Advantage différentes, NetScaler Console ne peut pas les fusionner en un seul pool. Par conséquent, une instance NetScaler ne peut pas vérifier la capacité si elle dépasse la limite d’un fichier de licence.

    [NSCONFIG-6590, NSHELP-30854]

Problèmes résolus

Les problèmes résolus dans la version 13.1-37.38.

AppFlow

  • Une fois AppFlow configuré, l’appliance NetScaler réinitialise une connexion TCP si elle reçoit une réponse HTTP fragmentée vide de la part du serveur principal.

    Ce problème se produit lorsque le paramètre « ClientSideMeasurements » est activé pour l’action AppFlow associée.

    [NSHELP-32250]

Authentification, autorisation et audit

  • L’action d’authentification NO_AUTHN ne persiste pas après le redémarrage d’une appliance NetScaler si l’appliance possède la licence Standard Edition.

    [NSHELP-32522]

  • Dans une configuration GSLB de NetScaler Gateway, une connexion proxy en boucle entre les sites GSLB peut être détectée si les conditions suivantes sont remplies :

    • Tous les sites GSLB ne sont pas sur la même version.
    • NetScaler Gateway est configuré avec une authentification avancée.

    [NSHELP-32487]

  • L’appliance NetScaler supprime le suffixe du jeu de caractères dans l’en-tête Content-Type et l’envoie Content-Type: application/x-www-form-urlencoded si vous avez configuré les deux options suivantes.

    • Authentification basée sur un formulaire SSO
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [NSHELP-31977]

  • Vous pouvez rencontrer des problèmes lors de la déconnexion si l’authentification SAML est configurée.

    [NSHELP-31962]

  • L’authentification unique (SSO) échoue si l’authentification unique est activée pour le trafic qui ne possède pas le jeton porteur requis pour gérer l’authentification unique.

    [NSHELP-31362]

Mise en cache

  • Une appliance NetScaler se bloque lorsque le contenu mis en cache est diffusé aux clients.

    [NSHELP-31760]

  • Une appliance NetScaler peut se bloquer si les valeurs des paramètres « max_age » et « s_maxage » ne sont pas définies de manière dynamique dans le bloc de contrôle du cache.

    [NSHELP-27758]

Appliance NetScaler SDX

  • Dans l’interface graphique d’une appliance NetScaler SDX, lorsqu’un utilisateur ajoutait un objet de défaillance à une règle d’événement, les champs de saisie étaient vulnérables aux attaques de script intersite et rendaient la sécurité de la page vulnérable aux scripts intersites stockés. Pour éviter ce problème, les champs de saisie sont désormais nettoyés afin de garantir la validité de la saisie par l’utilisateur.

    [NSHELP-32600]

NetScaler Gateway

  • L’appliance NetScaler se bloque si l’une ou les deux fonctionnalités de Gateway Insight et Web Insight sont activées.

    [NSHELP-33345, NSHELP-33347]

  • Parfois, le proxy RDP ne fonctionne pas en présence d’un broker de connexion.

    [NSHELP-33063]

  • Les applications peuvent ne pas démarrer via NetScaler Gateway en raison de l’épuisement des ports de l’appliance NetScaler Gateway.

    [NSHELP-32418]

  • L’appliance NetScaler Gateway configurée pour l’accès VPN sans client peut se bloquer lors du traitement d’une session fictive.

    [NSHELP-32399]

  • L’appliance NetScaler Gateway peut se bloquer si HDX Insight est activé.

    [NSHELP-32120]

  • Lorsque des sessions UDP sont lancées, des connexions périmées semblent exister même après la fermeture des sessions. Cependant, il ne s’agit pas de véritables connexions périmées, mais d’un problème avec le compteur.

    [NSHELP-32009]

  • Lorsqu’un utilisateur ouvre une session sur l’appliance NetScaler et que Citrix Workspace n’est pas installé, le lien permettant de télécharger Citrix Workspace pointe de manière incorrecte vers Citrix Receiver.

    [NSHELP-31877]

  • Les enregistrements d’échec d’authentification de Gateway Insight indiquent que le nom d’utilisateur est « Anonymous » lorsque NOAUTH est configuré comme premier facteur et que l’authentification du second facteur échoue en raison d’informations d’identification non valides. Ce problème se produit uniquement si la configuration est effectuée à l’aide du visualiseur nFactor car le premier facteur est configuré en tant que NOAUTH, par conception dans le visualiseur nFactor.

    [NSHELP-31795]

  • La commande « show vpn icaconnection » n’affiche pas correctement les numéros de série des connexions ICA. Ce problème se produit car le numéro de série est réinitialisé arbitrairement lorsque la commande « show vpn icaconnection » est exécutée.

    [CGOP-22205]

Web App Firewall NetScaler

  • Une appliance NetScaler autonome ou le mode secondaire d’une configuration HA peut se bloquer si vous configurez un objet de signature pour NetScaler Web App Firewall sur les versions logicielles suivantes :

    • 13.0 build 88.5 et versions ultérieures
    • 13.1 build 33.41 et versions ultérieures

    [NSHELP-33250]

  • Une fuite de mémoire se produit dans une appliance NetScaler lorsque vous configurez cookieHijackingAction le blocage, l’enregistrement ou les statistiques.

    [NSHELP-33187]

  • Dans NetScaler Web App Firewall, lorsque vous fournissez un protocole à l’en-tête du type de contenu (application/pkcs7-signature), l’en-tête est analysé de manière incorrecte. Par conséquent, le pare-feu bloque les requêtes valides.

    [NSHELP-32844]

  • Certaines règles de relaxation ne sont pas importées lors de la restauration d’un profil WAF.

    [NSHELP-32729]

  • NetScaler Web App Firewall met parfois du temps à détecter l’injection de commande. Par conséquent, Pitboss redémarre l’appliance NetScaler.

    [NSHELP-32654]

  • Des cookies légitimes sont placés dans le journal tout en affichant des journaux de violation des cookie dupliqués.

    [NSHELP-32369]

Équilibrage de charge

  • Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

    [NSHELP-21196]

Divers

  • L’appliance NetScaler définit la taille de la mémoire tampon pour la fonctionnalité de journalisation du serveur Web sur une valeur par défaut incorrecte de 3 Mo au lieu de 16 Mo.

    [NSHELP-32429]

Réseau

  • Dans une configuration de cluster NetScaler BLX, les opérations suivantes échouent sans aucun message d’erreur :

    • Effacer la configuration au niveau de base de force (« clear config -force basic »)
    • Effacement de la configuration au niveau force étendu (« clear config -force extended »)
    • Effacer la configuration au niveau force extended+ (« clear config -force extended+ »)

    [ NSNET-27132 ]

  • Dans une configuration à haute disponibilité, le nœud principal peut se bloquer en raison d’une corruption de la mémoire lors de l’effacement d’un grand nombre de sessions LSN.

    [NSHELP-32467]

  • L’appliance NetScaler peut se bloquer si toutes les conditions suivantes sont remplies :

    • L’ACL basé sur le TTL expire
    • L’appliance NetScaler dispose d’un grand nombre de listes de contrôle d’accès configurées.

    [NSHELP-31307]

Plateforme

  • Lorsque vous désactivez l’interface Mellanox sur une appliance NetScaler MPX, le commutateur homologue lié à l’interface est affiché en état Link Up au lieu d’être en mode Link Down.

    [NSPLAT-24422]

  • L’instance NetScaler VPX supprime les paquets d’un client si les deux conditions suivantes sont remplies :

    • L’instance VPX est hébergée sur VMware Cloud on AWS à l’aide d’un adaptateur VMXNET3.
    • L’adaptateur VMXNET3 ne parvient pas à générer le hachage RSS pour le paquet.

    [NSHELP-33150]

Stratégies

  • Dans une appliance NetScaler, les stratégies de commutation de contenu qui sont migrées des stratégies classiques vers des stratégies avancées à l’aide de l’outil NSPEPI peuvent ne pas fonctionner lorsque les conditions suivantes sont remplies :

    • Les stratégies sont liées au vserver de commutation de contenu.
    • Le paramètre « CaseSensitive » est réglé sur OFF.

    [NSHELP-31951]

SSL

  • Une appliance NetScaler peut se bloquer lors d’une prise de contact TLS 1.3 lorsqu’un serveur virtuel est configuré pour utiliser des clés privées stockées dans Azure Key Vault.

    [NSHELP-32451]

  • Une appliance NetScaler se bloque si les conditions suivantes sont remplies :

    • Un client envoie un bonjour à un autre client avant que la prise de contact ne soit terminée.
    • La demande contient un ensemble spécial de chiffrements dans le premier bonjour du client.

    [NSHELP-32422]

  • L’interface graphique de NetScaler, accessible via une adresse IP de cluster (CLIP), n’affiche pas les liaisons de certificat de serveur vers un serveur virtuel SSL.

    [NSHELP-31602]

  • La vérification de la réponse OCSP peut échouer lors d’une interception SSL si aucun certificat CA valide n’est présent dans le bundle de certificats par défaut. L’échec se produit parce que la vérification de la réponse OCSP a été effectuée de manière incorrecte en utilisant le bundle de certificats par défaut au lieu du bundle de certificats configuré.

    [NSHELP-30594]

System

  • Lorsqu’un serveur NetScaler Console reçoit un trafic HTTP important avec des URL uniques, il consomme beaucoup de mémoire. Par conséquent, le serveur NetScaler Console devient inaccessible.

    [NSHELP-32922]

  • Dans une appliance NetScaler, la structure de modification de l’en-tête entraîne une corruption de la mémoire. Cette condition se produit lorsque les cookies qui doivent être consommés par l’appliance NetScaler sont supprimés dans un ordre particulier avant d’être transférés.

    [NSHELP-32799]

  • L’authentification VPN échoue lorsque la méthode PATCH est utilisée dans la requête HTTP. Ce problème se produit car la méthode HTTP PATCH est reconnue comme une méthode d’authentification inconnue.

    [NSHELP-32214]

  • Lorsque vous utilisez la fonction d’inspection du contenu, l’insertion de l’en-tête Rewrite avec charge utile risque de ne pas fonctionner correctement.

    [NSHELP-30088]

Interface utilisateur

  • La page de licence du service de gestion n’actualise pas les informations de licence regroupées lorsque vous visitez le nœud de licence ou que vous les actualisez. Au lieu de cela, les informations de licence regroupées sont actualisées uniquement lorsque vous vous déconnectez puis que vous vous reconnectez.

    [NSHELP-33203]

  • Lorsqu’un utilisateur consulte la liaison dans une stratégie de commutation de contenu, les détails du serveur virtuel de commutation de contenu ne s’affichent pas sur la même ligne sous Afficher les liaisons.

    [NSHELP-33149]

  • Lorsqu’un utilisateur lie une stratégie de trafic à un serveur virtuel de commutation de contenu ou d’équilibrage de charge, les détails de liaison n’apparaissent pas dans l’interface graphique.

    [NSHELP-32751]

  • La mise à niveau ou la rétrogradation d’une appliance NetScaler vers l’une des versions suivantes à l’aide de l’interface graphique NetScaler peut échouer :

    • Version 13.1 build 30.52
    • Version 13.1 build 27.59

    [NSHELP-32673]

  • L’erreur suivante s’affiche lors de la création ou de la modification d’un serveur virtuel avec le protocole DNS et DNS_TCP hébergé sur une partition personnalisée à l’aide de l’interface graphique NetScaler :

    Error: Invalid object name [lbvserver_scpolicy_binding]

    [NSHELP-32534]

  • Les problèmes suivants apparaissent dans l’interface graphique de NetScaler :

    • À l’aide de l’interface graphique NetScaler, si un certificat de serveur est lié à un serveur virtuel SSL, la liaison du certificat n’apparaît pas dans l’interface graphique. Les liaisons des certificats CA apparaissent comme d’habitude sur l’interface graphique.
    • Cliquez sur le bouton Masquer pour les stratégies de répondeur intégrées pour masquer également les stratégies de répondeur créées manuellement.

    Dans une configuration de cluster, les problèmes supplémentaires suivants apparaissent dans l’interface graphique de NetScaler :

    • La liaison d’un groupe de chiffrement à un service interne échoue avec une erreur.
    • Les actions de réécriture intégrées ne sont pas masquées dans l’interface graphique.

    [NSHELP-32499]

  • Dans une appliance NetScaler dotée de partitions d’administration, le paramètre « ns » défini dans la partition est perdu après un redémarrage. Cette condition se produit en raison d’une configuration intégrée incorrecte.

    [NSHELP-32486]

  • La page de connexion de l’appliance NetScaler peut ne pas afficher le nom d’utilisateur valide une fois que l’utilisateur s’est connecté.

    [NSHELP-31759]

  • Dans une configuration à haute disponibilité, les configurations chiffrées sont perdues sur le nœud secondaire après la synchronisation de la configuration HA.

    [NSHELP-30897]

Problèmes connus

Les problèmes qui existent dans la version 13.1-37.38.

AppFlow

  • HDX Insight ne signale pas d’échec du lancement d’une application provoqué par un utilisateur qui tente de lancer une application ou un bureau auquel l’utilisateur n’a pas accès.

    [NSINSIGHT-943]

Authentification, autorisation et audit

  • Une appliance NetScaler n’authentifie pas les tentatives de connexion par mot de passe dupliqué et empêche le verrouillage des comptes.

    [NSHELP-563]

  • L’authentification DUO échoue si la fonctionnalité Content Security Policy (CSP) est activée sur l’appliance NetScaler.

    [ NSAUTH-12687 ]

  • Les administrateurs ne peuvent pas effectuer de journalisation personnalisée des échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies du répondeur NetScaler ne détectent pas les erreurs liées aux échecs de connexion.

    [ NSAUTH-11151 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au NetScaler actif principal du cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

  • La page Configurer le serveur LDAP d’authentification sur l’interface graphique de NetScaler ne répond plus si vous suivez les étapes suivantes :

    • L’option Tester l’accessibilité LDAP est ouverte.
    • Les informations d’identification de connexion non valides sont renseignées et envoyées.
    • Les identifiants de connexion valides sont renseignés et envoyés.

    Solution : fermez et ouvrez l’option Tester l’accessibilité LDAP.

    [ NSAUTH-2147 ]

Appliance NetScaler SDX

  • Des pertes de paquets sont visibles sur une instance VPX hébergée sur une appliance NetScaler SDX si les conditions suivantes sont remplies :

    • Le mode d’allocation du débit est en rafale.
    • Il existe une grande différence entre le débit et la capacité maximale de rafale.

    [ NSHELP-21992 ]

NetScaler Gateway

  • Le client Citrix Secure Access, version 21.7.1.2 et versions ultérieures, ne parvient pas à effectuer la mise à niveau vers des versions ultérieures pour les utilisateurs ne disposant pas de droits d’administration. Ce problème s’applique uniquement si la mise à niveau du client Citrix Secure Access est effectuée à partir d’une appliance NetScaler.

    [NSHELP-32793]

  • Lorsque les utilisateurs cliquent sur l’onglet Page d’accueil de l’écran Citrix Secure Access pour Windows, la page affiche l’erreur de refus de connexion.

    [NSHELP-32510]

  • Sur un appareil Mac utilisant Chrome, l’extension VPN se bloque lors de l’accès à deux noms de domaine complets.

    [NSHELP-32144]

  • Dans certains cas, si les paramètres de proxy sont vides dans NetScaler Gateway version 13.0 ou 13.1, Citrix SSO crée des paramètres de proxy incorrects.

    [NSHELP-31970]

  • Le contrôle de journalisation des débogues pour le client Citrix Secure Access est désormais indépendant de NetScaler Gateway et peut être activé ou désactivé depuis l’interface utilisateur du plug-in pour la machine et le tunnel utilisateur.

    [NSHELP-31968]

  • Les connexions directes aux ressources situées en dehors du tunnel établi par Citrix Secure Access peuvent échouer en cas de retard ou de congestion important.

    [NSHELP-31598]

  • Le message personnalisé du journal des défaillances EPA ne s’affiche pas sur le portail NetScaler Gateway. Au lieu de cela, le message « erreur interne » s’affiche.

    [NSHELP-31434]

  • Parfois, l’ouverture de session automatique de Windows ne fonctionne pas lorsqu’un utilisateur se connecte à l’ordinateur Windows en mode de service permanent. Le tunnel de la machine ne passe pas au tunnel utilisateur et au message « Connexion… » s’affiche dans l’interface utilisateur du plug-in VPN.

    [NSHELP-31357, CGOP-21192]

  • Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

    [ NSHELP-30662 ]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance NetScaler Gateway après avoir modifié le paramètre de profil « NetworkAccessonVPNFailure » de fullAccess à onlyToGateway.

    [NSHELP-30236]

  • La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Type: DWORD

    Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de « SecureChannelResetTimeoutSeconds » est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

    [NSHELP-30189]

  • Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

    [NSHELP-29675]

  • Vous remarquerez peut-être certaines adresses IP internes de Citrix dans le fichier rdx.js.

    [ NSHELP-28682 ]

  • L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

    [ NSHELP-28551 ]

  • Parfois, un utilisateur est déconnecté de NetScaler Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

    [ NSHELP-28404 ]

  • Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

    • L’appliance NetScaler Gateway est configurée pour la fonctionnalité Always On
    • L’appliance est configurée pour l’authentification basée sur des certificats avec l’authentification à deux facteurs « désactivée »

    [ NSHELP-23584 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Dans une configuration de cluster NetScaler, HDX Insight et Gateway Insight ne peuvent pas être activés simultanément.

    [CGOP-22849]

  • Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité Windows Logon, il est recommandé de passer à NetScaler Gateway 13.0 ou version ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

    [ CGOP-19355 ]

  • L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

    [ CGOP-13621 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration à haute disponibilité, lors du basculement NetScaler, le nombre de SR augmente au lieu du nombre de basculements dans NetScaler Console.

    [ CGOP-13511 ]

  • Lorsqu’une connexion ICA est lancée à partir d’un Receiver MAC version 19.6.0.32 ou Citrix Virtual Apps and Desktops version 7.18, la fonctionnalité HDX Insight est désactivée.

    [CGOP-13494]

  • Lorsque la fonction EDT Insight est activée, les canaux audio peuvent parfois échouer en cas de divergence réseau.

    [CGOP-13493]

  • Lorsque vous acceptez les connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche du contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué pour certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur s’affiche lorsque vous ajoutez ou modifiez une stratégie de session depuis l’interface graphique de NetScaler.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique. De plus, la page ne répond plus.

    [ CGOP-7269 ]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Le format ServiceGroupName utilisé dans le entityofstrap pour le groupe de services est le suivant : <service(group)name>?<ip/DBS>?<port>

    Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (« ? ») est utilisé comme séparateur. NetScaler envoie l’interruption avec le point d’interrogation (« ? »). Le format apparaît de la même manière dans l’interface graphique de la console NetScaler. C’est le comportement attendu.

    [ NSHELP-28080 ]

Divers

  • Lorsqu’une synchronisation forcée a lieu dans une configuration à haute disponibilité, l’appliance exécute la commande « set urlfiltering parameter » dans le nœud secondaire.
    Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre « TimeOfDayToUpdateDB ».

    [ NSSWG-849 ]

  • Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

    [NSHELP-31836]

  • Une appliance NetScaler peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

    [ NSHELP-22409 ]

Réseau

  • Dans une appliance NetScaler BLX compatible DPDK, les VLAN balisés ne sont pas pris en charge pour les ports NIC Intel i350 DPDK. Ceci est observé car il s’agit d’un problème connu présent sur le pilote DPDK.

    [NSNET-25299]

  • Une appliance NetScaler BLX avec DPDK peut ne pas redémarrer si toutes les conditions suivantes sont remplies :

    • L’appliance NetScaler BLX est dotée d’un faible nombre de « pages volumineuses ». Par exemple, 1G.
    • L’appliance NetScaler BLX est affectée à un nombre élevé de processus de travail. Par exemple, 28.

    Le problème est enregistré sous forme de message d’erreur dans « /var/log/ns.log » :

    • « BLX-DPDK:DPDK Mempool n’a pas pu être initialisé pour PE-x »

    Remarque : x est un nombre <= nombre de processus de travail.

    Solution : allouez un grand nombre de « pages volumineuses », puis redémarrez l’appliance.

    [ NSNET-25173 ]

  • Le redémarrage d’une appliance NetScaler BLX en mode DPDK peut prendre un peu plus de temps en raison de la fonctionnalité de simplicité de DPDK.

    [ NSNET-24449 ]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les X710 10G (i40e) interfaces Intel sur une appliance NetScaler BLX avec DPDK :

    • Désactiver
    • Activer
    • Reset

    [ NSNET-16559 ]

  • L’installation d’une appliance NetScaler BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance NetScaler BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans certains cas de connexions de données FTP, l’appliance NetScaler effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

    [NSNET-5233]

  • Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance NetScaler, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

    [ NSHELP-21082 ]

Plateforme

  • Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance NetScaler. Utilisez la commande « rm cloudprofile » pour supprimer le profil.

    [NSPLAT-4520]

  • Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche.
    Solution : sautez l’écran et connectez-vous au nœud principal pour créer le profil cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

    [NSPLAT-4451]

  • Sur la plate-forme NetScaler SDX 8015/8400/8600, vous pouvez constater une augmentation de la consommation de mémoire sur Xen Server.
    Solution : exécutez la commande suivante sur Xen Server, puis redémarrez l’appliance.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

SSL

  • Sur un cluster hétérogène d’appliances NetScaler SDX 22000 et NetScaler SDX 26000, il y a une perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance NetScaler ne renvoie aucune erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM. ERREUR : actualisation des crl désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

  • Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :

    • une fenêtre de congestion maximale élevée (> 4 Mo) est définie
    • L’algorithme TCP NILE est activé

    Pour qu’une appliance NetScaler utilise l’algorithme NILE pour le contrôle de la congestion, les conditions doivent dépasser le seuil de démarrage lent, qui est associé à la fenêtre de congestion maximale

    Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, NetScaler continue d’accepter des données et se retrouve avec un RTT élevé.

    [NSHELP-31548]

  • La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas le cadre de paramètres max_concurrent_stream du client.

    [ NSHELP-21240 ]

  • Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

    [ NSHELP-10972 ]

  • Dans de rares cas, NetScaler peut lancer une trame HTTP/2 GoAway avec une erreur interne sur une connexion client HTTP/2 si toutes les conditions suivantes sont remplies :

    • Le client ou le serveur principal essaie de fermer le dernier flux WebSocket ou Connect sur la connexion HTTP/2 du client.
    • Le multiplexage est activé.

    L’erreur n’a aucun impact sur les transactions en cours sur la connexion HTTP/2 du client.

    Solution : désactivez le multiplexage des connexions pour le profil HTTP/2 associé à l’aide de la commande suivante :

    set httpProfile <name> [-conMultiplex ( ENABLED | DISABLED )]

    [NSBASE-17449]

  • Dans un déploiement de cluster, si vous exécutez la commande « forcer la synchronisation du cluster » sur un nœud non CCO, le fichier ns.log contient des entrées de journal dupliquées.

    [NSBASE-16304, NSGI-1293]

  • Lorsque vous installez la console NetScaler sur un cluster Kubernetes, cela ne fonctionne pas comme prévu car les processus requis risquent de ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSBASE-15556 ]

  • L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

    [ NSBASE-8506 ]

Interface utilisateur

  • Pour la fonction de réécriture MQTT, vous ne pouvez pas supprimer une expression à l’aide de l’éditeur d’expression dans l’interface graphique.

    Solution : utilisez la commande d’ajout ou de modification d’action de type MQTT via l’interface de ligne de commande.

    [NSUI-18049]

  • Dans l’interface graphique de NetScaler, le lien « Aide » présent sous l’onglet « Tableau de bord » est cassé.

    [NSUI-14752]

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de la CLI NetScaler.

    [NSUI-13024]

  • Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

    [NSUI-6838]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

  • Dans une configuration à haute disponibilité des appliances NetScaler BLX, le nœud principal peut ne plus répondre en bloquant toute demande de CLI ou d’API.

    Solution : redémarrez le nœud principal.

    [NSCONFIG-6601]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur une appliance NetScaler, les utilisateurs du système risquent de ne pas se connecter à l’appliance NetScaler rétrogradée.

    1. Mettez à niveau l’appliance NetScaler vers l’une des versions
      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Rétrogradez l’appliance NetScaler vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution : Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance NetScaler n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance NetScaler à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, voir How to reset root administrator (nsroot) password.

    [NSCONFIG-3188]

Notes de publication pour la version 13.1-37.38 de NetScaler
April 15, 2024
Contributeur: 
C
April 15, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.