Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF

Notes de publication pour la version 13.1-45.64 de NetScaler

March 17, 2024
Contributeur: 
C

Ce document des notes de mise à jour décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 13.1-45.64 de NetScaler.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • Les versions 13.1-45.61 et ultérieures corrigent les failles de sécurité décrites dans l’article CTX477714.
  • La version 13.1-45.64 remplace la version 13.1-45.61 et la version 13.1-45.63. Toutefois, si vous avez effectué la mise à niveau vers la version 13.1-45.61, vous pouvez constater une perte de configuration. Voir CTX547038 pour les étapes de correction.
  • La version 13.1-45.63 inclut des correctifs pour NSSSL-12761 et NSHELP-35058, ainsi que toutes les améliorations et corrections de bugs disponibles dans la version 13.1-45.61.
  • La version 13.1-45.64 inclut le correctif pour NSBASE-18162 (NSHELP-35288), ainsi que toutes les améliorations et corrections de bogues disponibles dans la version 13.1-45.63.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.1-45.64.

Appliance NetScaler SDX

  • Contrôles supplémentaires lors de la mise à niveau d’une appliance SDX

    Désormais, la mise à niveau de l’appliance NetScaler SDX ne sera pas autorisée si la connexion Secure Shell (SSH) du service de gestion vers XenServer/Citrix Hypervisor échoue.

    [NSSVM-5114]

  • Activer ou désactiver la complexité des mots de passe lors de la création de profils d’administrateur

    L’appliance NetScaler SDX prend désormais en charge l’activation ou la désactivation de la complexité des mots de passe sur les instances VPX à l’aide de l’interface graphique ou de la CLI.

    • Lorsque la complexité du mot de passe est activée, la longueur minimale requise est de 4 caractères, contre 6 caractères auparavant.
    • Lorsque la complexité du mot de passe est désactivée, la longueur minimale requise est de 1 caractère.

    [NSSVM-4889]

Web App Firewall NetScaler

  • Configuration de l’authentification par proxy pour NetScaler Web App Firewall, les robots et la réputation IP

    Vous pouvez désormais configurer l’authentification par proxy pour les mises à jour des signatures de NetScaler Web App Firewall, les mises à jour des signatures de robots et les mises à jour de réputation. L’authentification par proxy fournit un niveau de sécurité supplémentaire à votre appliance. L’appliance NetScaler sur laquelle l’authentification par proxy est activée s’authentifie auprès du serveur proxy avant de télécharger les mises à jour depuis Internet. Vous pouvez ainsi protéger vos appareils contre les téléchargements malveillants.
    Pour configurer l’authentification par proxy, spécifiez le nom d’utilisateur et le mot de passe du proxy dans les paramètres des fonctionnalités de sécurité suivantes :

    [NSWAF-9532]

  • L’attribut apache_mode est obsolète

    L’attribut apache_mode du paramètre invalidPercentHandling de la commande add appfw profile est obsolète.

    [NSWAF-4110]

Équilibrage de charge

  • Augmentation du nombre maximum d’entrées personnalisées

    Vous pouvez désormais ajouter un maximum de 3 000 entrées d’emplacement personnalisées pour spécifier les qualificatifs d’emplacement pour les plages d’adresses IP. Ces entités sont utilisées dans la méthode de proximité statique GSLB et dans les stratégies de correspondance de localisation.

    Pour plus d’informations, voir Ajouter des entrées personnalisées à une base de données de proximité statique.

    [NSLB-9755]

Réseau

  • Support de configuration automatique pour l’appliance NetScaler BLX

    Les fonctionnalités de configuration automatique suivantes sont ajoutées pour l’appliance NetScaler BLX :

    • Vous pouvez configurer l’appliance NetScaler BLX pour ajouter automatiquement tous les ports NIC de l’hôte Linux en tant que ports dédiés pour l’appliance. Pour cette configuration automatique, vous devez définir le blx-managed-host paramètre sur 1 et commenter les deux lignes contenant le interface paramètre dans le fichier de configuration NetScaler BLX ().blx.conf L’appliance y ajoute automatiquement tous les ports NIC de l’hôte Linux en tant que ports dédiés. En outre, l’appliance détecte automatiquement les ports NIC compatibles avec DPDK et les lie au module DPDK VFIO sur l’hôte Linux.
    • Vous pouvez configurer une appliance NetScaler BLX en mode dédié pour définir automatiquement l’adresse NSIP et la passerelle par défaut de l’appliance. Pour cette configuration automatique, vous devez définir blx-managed-host sur 1 et commenter les lignes contenant les paramètres ipaddress et default dans le fichier de configuration NetScaler BLX (blx.conf). L’appliance sélectionne l’un de ses ports NIC dédiés comme port par défaut sur lequel la route de passerelle ayant la priorité la plus élevée est présente sur l’hôte Linux. L’adresse IP du port par défaut et la passerelle par défaut sont définies comme l’adresse NSIP et la passerelle par défaut pour l’appliance NetScaler BLX.

    [NSNET-27468]

  • Support de RHEL version 9.x pour les appliances NetScaler BLX

    L’appliance NetScaler BLX est désormais prise en charge sur les plateformes Red Hat Enterprise Linux (RHEL) version 9.x.

    [NSNET-27421]

Stratégies

  • Possibilité d’utiliser l’outil NSPEPI sur les appliances NetScaler BLX et CPX

    Les outils de configuration NSPEPI et Check invalid sont désormais pris en charge dans les appliances NetScaler CPX et BLX.

    [ NSPOLICY-4872 ]

SSL

  • Poursuivre l’établissement de connexion SSL avec un nom de serveur inconnu

    L’appliance NetScaler permet désormais à l’établissement de connexion SSL de se poursuivre même pour un nom de serveur inconnu, et laisse au client le soin de décider d’abandonner ou de terminer l’établissement de connexion.

    Auparavant, l’appliance avait mis fin à l’établissement de connexion SSL lorsqu’elle avait reçu un bonjour client avec un nom de serveur inconnu.

    [NSSSL-10918]

System

  • Prise encharge de la compression pour la méthode de requête HTTP PUT
    Une appliance NetScaler compresse désormais la réponse HTTP reçue du serveur pour les requêtes HTTP qui utilisent la méthode de requête PUT.

    [NSHELP-32695]

  • Configurer la fréquence d’exportation du collecteur de métriques

    Par défaut, le collecteur de métriques prend en charge l’exportation de données analytiques de séries chronologiques toutes les 30 secondes. Vous pouvez désormais le configurer sous la forme d’une valeur comprise entre 30 et 300 secondes afin de pouvoir décider de l’intervalle d’exportation des données de profil d’analyse des séries chronologiques depuis NetScaler.

    [NSBASE-17561]

  • Support pour l’exportation directe des journaux d’audit vers Splunk

    La journalisation des audits vous permet de consigner les états de NetScaler et les informations d’état collectées par les différents modules de NetScaler. Vous pouvez exporter les journaux d’audit de NetScaler vers Splunk et obtenir des informations pertinentes utiles pour la résolution des problèmes. Cette fonctionnalité vous permet d’utiliser le collecteur d’événements HTTP fourni par Splunk pour envoyer des journaux d’audit via HTTP (ou HTTPS) directement de votre NetScaler à Splunk.

    [NSBASE-17559]

  • Support pour le multiplexage des connexions WebSocket HTTP/2

    L’appliance NetScaler prend désormais en charge le multiplexage des connexions WebSocket. Les connexions WebSocket sont prises en charge via HTTP/2. Vous pouvez activer les connexions WebSocket à l’aide de l’interface de ligne de commande ou de l’interface graphique.

    [NSBASE-17307]

Problèmes résolus

Les problèmes qui sont résolus dans la version 13.1-45.64.

AppFlow

  • Le collecteur de métriques de l’instance NetScaler cesse de répondre par intermittence. Par conséquent, chaque fois que le collecteur de métriques cesse de répondre, un intervalle (30 secondes) de données analytiques peut ne pas être exporté.

    [NSHELP-34048]

Authentification, autorisation et audit

  • Sur certaines appliances NetScaler sur lesquelles le GSLB est activé, la redirection du serveur virtuel d’authentification vers le serveur virtuel d’équilibrage de charge échoue en raison d’un calcul d’URL non valide.

    [NSHELP-33459]

  • Lorsque NetScaler est utilisé comme fournisseur OpenID (OAuth IdP) et que GSLB est configuré avec ce fournisseur, l’authentification OAuth auprès de la partie qui se fie (RP) échoue lors de la validation du jeton, ce qui peut entraîner un échec d’authentification au niveau de la partie relais OAuth (RP).

    [ NSHELP-33455 ]

  • L’appliance NetScaler peut se bloquer lorsqu’elle est configurée en tant que fournisseur de services SAML et que les certificats SSL sont mis à jour.

    [ NSHELP-33243, NSHELP-32966, NSHELP-33242, NSHELP-34366 ]

  • L’authentification OAuth sur une appliance NetScaler échoue en raison de problèmes liés à l’analyse des jetons.

    [NSHELP-31573]

Gestion des bots

  • L’appliance NetScaler tente de télécharger les données de base de données IP lorsque la fonctionnalité de réputation IP est désactivée.

    [NSHELP-34488]

Mise en cache

  • Une appliance NetScaler peut redémarrer si la valeur Max-Age de l’en-tête Cache-Control pour les objets mis en cache est modifiée sur le serveur principal.

    [NSHELP-34078]

  • Dans une configuration de cluster, les informations de stratégie globale du cache affichées dans l’interface graphique ou la CLI sont incomplètes lorsque la configuration du cluster est accessible à l’aide de l’adresse CLIP.

    [NSCACHE-521]

Appliance NetScaler SDX

  • Une appliance NetScaler SDX peut se bloquer lors de la tentative d’accès à « Core Allocation » depuis le tableau de bord du service de gestion.

    [NSHELP-34537]

  • Parfois, une appliance NetScaler SDX peut ne pas se comporter comme prévu si les unités cryptographiques asymétriques (ACU) et les unités cryptographiques symétriques (SCU) attribuées à une instance VPX ne sont pas un multiple du cœur du moteur de paquets (PE). C’est-à-dire un nombre de 1000* cœurs PE.

    [NSHELP-34389]

  • Le service de gestion (SVM) peut se bloquer lors de la modification de l’une des propriétés d’une instance VPX à partir de l’interface utilisateur du service de gestion.

    [NSHELP-34297]

  • Lorsque vous essayez de modifier l’adresse IP de prise en charge dans une appliance NetScaler SDX en accédant à Configuration > Système > Assistant de configuration > Réseau de gestion > Modifier l’adresse IP de prise en charge, les modifications nesont pas enregistrées. Les modifications sont bloquées lorsque vous cliquez sur « Oui » dans l’invite. Une erreur de référence non définie s’affiche dans le navigateur.

    Correctif : Vérifiez l’objet non défini avant de le référencer.

    [NSHELP-34141]

NetScaler Gateway

  • Après une mise à niveau, l’appliance NetScaler peut se bloquer lorsque HDX Insight est activé.

    [NSHELP-35058]

  • Après une mise à niveau, l’appliance NetScaler peut se bloquer lors du lancement d’une connexion proxy RDP.

    [NSHELP-33420]

  • Le profil Always On n’est pas défini dans une action de session VPN lorsque l’action de session VPN est reconfigurée.

    [NSHELP-33396]

  • Après une mise à niveau, une appliance NetScaler peut se bloquer lors de la première synchronisation HA.

    [NSHELP-32957]

Web App Firewall NetScaler

  • L’appliance NetScaler peut se bloquer pendant le déploiement de la haute disponibilité si les règles de signature du Web App Firewall contiennent l’un des objets suivants :

    • Patsets
    • Ensembles de données
    • Cartes à cordes
    • Expressions nommées

    [NSHELP-34338]

  • Lorsque vous exportez des règles de relaxation, le téléchargement prend plus de temps et le fichier n’est pas entièrement téléchargé. Ce problème se produit si la taille du fichier est supérieure à 5 Mo.

    [NSHELP-34044]

  • Lorsque la stratégie du Web App Firewall est mise à jour sur le vserver, les problèmes suivants sont observés :

    • L’interface graphique et la CLI de NetScaler n’ont pas répondu ou ont pris plus de temps que d’habitude.
    • L’utilisation du processeur par paquets est passée à 100 %
    • Le nombre de sessions de persistance a été augmenté.

    [NSHELP-33975]

  • La règle de relaxation par injection de commandes JSON risque de ne pas fonctionner si elle contient un point-virgule (;) ou un point (.) dans la règle de relaxation.

    [NSHELP-33606]

Équilibrage de charge

  • L’appliance NetScaler se bloque lorsque les conditions suivantes sont remplies et que vous dissociez tous les services et que vous les liez à nouveau.

    • Un serveur virtuel d’équilibrage de charge est configuré à l’aide de la méthode basée sur le hachage.
    • Les services sont liés à ce serveur virtuel par priorité.

    [NSHELP-34314]

  • Dans une configuration HA, l’appliance NetScaler se bloque lorsque le groupe de services lié à plusieurs serveurs virtuels est supprimé.

    [NSHELP-34029]

  • L’erreur suivante peut apparaître lors de l’ajout ou de la modification d’une configuration d’équilibrage de charge sur une appliance NetScaler :

    La configuration est peut-être incohérente. Vérifiez avec la commande « show configstatus » ou redémarrez.

    Ce problème se produit lorsque la commande set lb vserver est utilisée avec les paramètres HttpsRedirectURL et RedirectFromPort.

    [NSHELP-33912]

  • Dans de rares cas, nsmap se bloque. Par conséquent, certaines appliances NetScaler qui utilisent des bases de données de géolocalisation peuvent ne pas fonctionner comme prévu.

    [NSHELP-33840]

  • Si les services sont désactivés puis activés dans une configuration de haute disponibilité, certains moniteurs peuvent passer à l’état SKIP_OFS en cas de basculement.

    [NSHELP-33717]

  • La commande show cs vserver n’affiche pas le paramètre de règle, même si le paramètre est configuré dans la stratégie de commutation de contenu et lié au serveur virtuel de commutation de contenu.

    [NSHELP-33506]

  • Lors de la mise en miroir des connexions, l’appliance NetScaler se bloque lorsque la stratégie de réécriture est supérieure à 30 octets.

    [NSHELP-32902]

  • Une alerte SNMP est générée même si l’utilisation de la bande passante se situe dans la limite configurée. Ce problème se produit lors de la comparaison de deux types de données différents et l’un des paramètres est inchangé lors de l’incrémentation.

    [NSHELP-32509]

  • Une appliance NetScaler dont la mise en miroir des connexions est configurée se bloque lorsque les paquets Jumbo sont envoyés.

    [NSHELP-31072]

  • L’appliance NetScaler VPX se bloque lorsque les conditions suivantes sont remplies :

    1. L’option autosync est utilisée pour synchroniser la configuration avec d’autres sites GSLB.
    2. Le numéro d’incarnation utilisé pour récupérer le cache GSLB est un multiple de 1024.

    [NSHELP-30075]

  • Dans une configuration GSLB, le certificat SSL est absent des sites subordonnés. Ce problème se produit lorsque l’option de synchronisation automatique est activée et que les sites subordonnés possèdent des certificats SSL qui ne sont pas disponibles sur le site principal.

    [NSHELP-29309]

Divers

  • Lorsque vous exécutez le script « ns_hw_err.bash » sur l’appliance NetScaler, le message d’erreur suivant s’affiche :
    « erreur : impossible d’ouvrir le fichier ‘ns_hw_plugins.py’ : [Errno 2] Aucun fichier ou répertoire de ce type »

    [NSHELP-32991]

  • Dans une configuration de cluster, la synchronisation automatique des fichiers échoue lorsque l’adresse IP du cluster est configurée dans un sous-réseau différent de celui de l’adresse NSIP.

    [NSHELP-29988]

Plateforme

  • Après avoir mis à niveau l’appliance ADC vers la version 13.1 build 42.47, sur certains déploiements VPX dans le cloud public, vous pouvez observer le basculement des services HTTP et TCP entre les états UP et DOWN.

    [NSPLAT-26310]

  • Sur une appliance SDX exécutant la version 4.08 du microprogramme BMC, lorsque vous effectuez une mise à niveau groupée depuis la version 13.0 build 84.X, la mise à niveau du microprogramme de gestion des lumières (LOM) vers la version 4.14 pendant le démarrage du système peut rester bloquée par intermittence et expirer au bout de 30 minutes.

    [ NSPLAT-26148 ]

  • Dans une configuration HA d’une instance NetScaler VPX sur le cloud AWS, le contenu du fichier « cloud-ha-daemon.log » qui est stocké à l’emplacement /var/log/ est imprimé deux fois au lieu d’une.

    [NSPLAT-25687]

  • Sur une appliance NetScaler SDX, les instances VPX peuvent fonctionner avec la valeur de débit minimale configurée dans le cadre du mode rafale, même si un débit suffisant est disponible dans l’appliance SDX pour gérer les rafales de trafic.

    [NSHELP-33875, NSHELP-34667]

  • Sur les plateformes NetScaler MPX 9100, MPX 9100T, MPX 16000 et MPX 16000T, l’appliance peut apparaître sans licence si l’ID d’hôte de licence change.

    [NSHELP-33745, NSHELP-33756, NSHELP-33801]

SSL

  • Les commandes permettant de lier une paire de clés de certificat et une courbe ECC à un service SSL, à un groupe de services ou à un service interne ne sont pas enregistrées dans la configuration (ns.conf).

    [NSSSL-12761]

  • Après la mise à niveau vers la version 13.1 build 37.x, il se peut que vous ne puissiez pas négocier à l’aide du protocole TLSv1.0 même si la configuration n’a pas changé.

    [NSHELP-34345]

System

  • Les réponses HTTP compressées par l’appliance NetScaler peuvent provoquer des défaillances dans certains clients HTTP (S) en raison de l’ajout d’espaces en début de ligne dans la valeur du champ d’en-tête de réponse HTTP Content-Length.

    [ NSHELP-34660 ]

  • L’appliance NetScaler configurée pour enregistrer tous les en-têtes HTTP se bloque lorsqu’une requête ou une réponse HTTP est reçue avec plus de 20 en-têtes longs.

    [NSHELP-34145]

  • L’appliance NetScaler peut se bloquer si un collecteur AppFlow de type rest est configuré dans la partition d’administration.

    [NSHELP-33600]

  • Dans NetScaler version 13.1 build 33.47 et versions ultérieures, vous ne pouvez pas activer ou désactiver les événements, les métriques et les paramètres du journal d’audit à l’aide de l’interface graphique ou de la CLI.

    [NSHELP-33247]

  • Un client gRPC ne parvient pas à analyser l’en-tête d’état du gRPC lorsque la condition suivante est remplie :

    • L’en-tête d’état gRPC est ajouté à la fois dans l’en-tête de début et dans l’en-tête de fin au lieu d’être ajouté uniquement dans l’en-tête de fin.

    [NSHELP-31640]

  • Une fuite de mémoire peut se produire dans l’appliance NetScaler si les deux conditions suivantes sont remplies :

    • La fonctionnalité de compression HTTP est activée.
    • La connexion est réinitialisée au milieu de la transaction.

    [NSHELP-30631]

  • Une appliance Citrix ADC peut se bloquer lorsqu’un serveur virtuel compatible HTTP/2 génère une réponse à une demande HTTP/2, au lieu de transmettre la demande au service principal.

    [ NSBASE-18162, NSHELP-35288 ]

  • La réponse gRPC en en-tête uniquement envoyée par l’appliance NetScaler aux clients ne contient ni l’état ni le message gRPC.

    [NSBASE-17802]

Interface utilisateur

  • Si vous utilisez des partitions d’administration, vous ne pouvez pas supprimer un certificat SSL à l’aide de l’interface graphique.

    [NSHELP-34429]

  • Dans l’interface graphique de NetScaler, la colonne Bound To de la page Configurer la liaison à la stratégie de commutation de contenu affiche la chaîne « CS Virtual Server » au lieu du nom réel du serveur virtuel de commutation de contenu auquel la stratégie est liée.

    [NSHELP-34374]

  • La configuration d’un service alternatif pour un profil HTTP peut échouer lorsque vous utilisez l’interface graphique de NetScaler.

    [NSHELP-34304]

  • Lors de la liaison du profil AppFW à l’expression du journal, le paramètre state est défini sur activé par défaut. Toutefois, lorsque le système est mis à niveau, le paramètre est réinitialisé sur désactivé.

    [NSHELP-34187]

  • Le téléchargement de tous les fichiers principaux présents sur la page « Diagnostic » (« Système > Diagnostic ») de l’interface graphique de NetScaler peut échouer avec une erreur.

    [NSHELP-33644]

  • Dans l’interface utilisateur graphique de NetScaler, lorsque vous cliquez sur le bouton Modifier pour un type d’interruption SNMP spécifique, les détails d’un piège SNMP de type générique s’affichent à la place du piège SNMP de type spécifique.

    [NSHELP-33520]

  • Les appels nominaux du SDK NITRO Python GET échouent avec le message d’erreur « réponse de la variable locale référencée avant l’affectation » pour les ressources suivantes :

    • appfwhtmlerrorpage
    • appfwjsonerrorpage
    • appfwprotofile
    • appfwsignatures
    • appfwwsdl
    • appfwxmlerrorpage
    • appfwxmlschema
    • botsignature
    • responderhtmlpage

    [NSHELP-32525]

  • Dans une configuration de cluster, l’opération show HTTP monitor effectuée sur l’adresse CLIP n’affiche pas les codes de réponse HTTP à valeurs multiples.

    [NSCONFIG-7107]

Problèmes connus

Les problèmes qui existent dans la version 13.1-45.64.

Authentification, autorisation et audit

  • L’appliance NetScaler peut se bloquer lorsque le serveur virtuel d’authentification est utilisé dans une partition autre que celle par défaut.

    [NSHELP-32054]

  • Les administrateurs ne peuvent pas effectuer de journalisation personnalisée des échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies du répondeur NetScaler ne détectent pas les erreurs liées aux échecs de connexion.

    [ NSAUTH-11151 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au NetScaler actif principal du cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

  • La page Configurer le serveur LDAP d’authentification sur l’interface graphique de NetScaler ne répond plus si vous suivez les étapes suivantes :

    • L’option Tester l’accessibilité LDAP est ouverte.
    • Les informations d’identification de connexion non valides sont renseignées et envoyées.
    • Les identifiants de connexion valides sont renseignés et envoyés.

    Solution : fermez et ouvrez l’option Tester l’accessibilité LDAP.

    [ NSAUTH-2147 ]

NetScaler Gateway

  • Les ressources de l’intranet qui se chevauchent avec une plage d’adresses IP usurpée ne sont pas accessibles lorsque le tunnel partagé est défini sur OFF sur le client Citrix Secure Access.

    [NSHELP-34334]

  • La connexion VPN permanente échoue par intermittence au démarrage en raison de l’accessibilité du serveur Gateway.

    [NSHELP-33500]

  • Si les valeurs de registre associées à Citrix Secure Access sont supérieures à 1 500 caractères, le collecteur de journaux ne parvient pas à recueillir les journaux d’erreurs.

    [NSHELP-33457]

  • Lorsque vous utilisez le pilote Windows Filtering Platform (WFP), l’accès à l’intranet ne fonctionne parfois pas une fois le VPN reconnecté.

    [NSHELP-32978]

  • Le client Citrix Secure Access, version 21.7.1.2 et versions ultérieures, ne parvient pas à effectuer la mise à niveau vers des versions ultérieures pour les utilisateurs ne disposant pas de droits d’administration. Ce problème s’applique uniquement si la mise à niveau du client Citrix Secure Access est effectuée à partir d’une appliance NetScaler.

    [NSHELP-32793]

  • Lorsque les utilisateurs cliquent sur l’onglet Page d’accueil de l’écran Citrix Secure Access pour Windows, la page affiche l’erreur de refus de connexion.

    [NSHELP-32510]

  • Sur un appareil Mac utilisant Chrome, l’extension VPN se bloque lors de l’accès à deux noms de domaine complets.

    [NSHELP-32144]

  • Dans certains cas, si les paramètres de proxy sont vides dans NetScaler Gateway 13.0 ou 13.1, Citrix SSO crée des paramètres de proxy incorrects.

    [NSHELP-31970]

  • Les connexions directes aux ressources situées en dehors du tunnel établi par Citrix Secure Access peuvent échouer en cas de retard ou de congestion important.

    [NSHELP-31598]

  • Le message personnalisé du journal des défaillances EPA ne s’affiche pas sur le portail NetScaler Gateway. Au lieu de cela, le message « erreur interne » s’affiche.

    [NSHELP-31434]

  • Parfois, l’ouverture de session automatique de Windows ne fonctionne pas lorsqu’un utilisateur se connecte à l’ordinateur Windows en mode de service permanent. Le tunnel de la machine ne passe pas au tunnel utilisateur et au message « Connexion… » s’affiche dans l’interface utilisateur du plug-in VPN.

    [NSHELP-31357, CGOP-21192, NSHELP-34211]

  • Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

    [ NSHELP-30662 ]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance NetScaler Gateway après avoir modifié le paramètre de profil « networkAccessOnVPNFailure » de « fullAccess » à « onlyToGateway ».

    [NSHELP-30236]

  • La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Type: DWORD

    Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de « SecureChannelResetTimeoutSeconds » est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

    [NSHELP-30189]

  • Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

    [NSHELP-29675]

  • L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

    [ NSHELP-28551 ]

  • Parfois, un utilisateur est déconnecté de NetScaler Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

    [ NSHELP-28404 ]

  • Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

    • L’appliance NetScaler Gateway est configurée pour la fonctionnalité Always On
    • L’appliance est configurée pour l’authentification basée sur des certificats avec l’authentification à deux facteurs « désactivée »

    [ NSHELP-23584 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Dans une configuration de cluster NetScaler, HDX Insight et Gateway Insight ne peuvent pas être activés simultanément.

    [CGOP-23570]

  • L’option du système d’exploitation Windows ne figure pas dans la liste déroulante Expression Editor pour les stratégies de pré-authentification et les actions d’authentification sur l’interface graphique de NetScaler. Toutefois, si vous avez déjà configuré l’analyse du système d’exploitation Windows sur une version précédente de NetScaler à l’aide de l’interface graphique ou de l’interface de ligne de commande, la mise à niveau n’a aucune incidence sur les fonctionnalités. Vous pouvez utiliser l’interface de ligne de commande pour apporter des modifications, si nécessaire.

    Solution :

    Utilisez les commandes CLI pour la configuration.

    • Pour configurer l’action EPA avancée dans l’authentification nFactor, utilisez la commande suivante.
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • Pour configurer une action de pré-authentification classique, utilisez les commandes suivantes.
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [CGOP-22966]

  • Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité Windows Logon, il est recommandé de passer à NetScaler Gateway 13.0 ou version ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

    [ CGOP-19355 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration à haute disponibilité, lors du basculement NetScaler, le nombre de SR augmente au lieu du nombre de basculements dans NetScaler Console.

    [ CGOP-13511 ]

  • Lorsqu’une connexion ICA est lancée à partir d’un Receiver MAC version 19.6.0.32 ou Citrix Virtual Apps and Desktops version 7.18, la fonctionnalité HDX Insight est désactivée.

    [CGOP-13494]

  • Lorsque la fonction EDT Insight est activée, les canaux audio peuvent parfois échouer en cas de divergence réseau.

    [CGOP-13493]

  • Lorsque vous acceptez les connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche du contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué pour certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur s’affiche lorsque vous ajoutez ou modifiez une stratégie de session depuis l’interface graphique de NetScaler.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique. De plus, la page ne répond plus.

    [ CGOP-7269 ]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Le format ServiceGroupName utilisé dans le entityofstrap pour le groupe de services est le suivant : <service(group)name>?<ip/DBS>?<port>

    Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (« ? ») est utilisé comme séparateur. NetScaler envoie l’interruption avec le point d’interrogation (« ? »). Le format apparaît de la même manière dans l’interface graphique de la console NetScaler. C’est le comportement attendu.

    [ NSHELP-28080 ]

Divers

  • Lorsqu’une synchronisation forcée a lieu dans une configuration à haute disponibilité, l’appliance exécute la commande « set urlfiltering parameter » dans le nœud secondaire.
    Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre « TimeOfDayToUpdateDB ».

    [ NSSWG-849 ]

  • Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

    [NSHELP-31836]

  • Une appliance NetScaler peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

    [ NSHELP-22409 ]

Réseau

  • Dans une appliance NetScaler BLX compatible DPDK, les VLAN balisés ne sont pas pris en charge pour les ports NIC Intel i350 DPDK. Ceci est observé car il s’agit d’un problème connu présent sur le pilote DPDK.

    [NSNET-25299]

  • Une appliance NetScaler BLX avec DPDK peut ne pas redémarrer si toutes les conditions suivantes sont remplies :

    • L’appliance NetScaler BLX est dotée d’un faible nombre de « pages volumineuses ». Par exemple, 1G.
    • L’appliance NetScaler BLX est affectée à un nombre élevé de processus de travail. Par exemple, 28.

    Le problème est enregistré sous forme de message d’erreur dans « /var/log/ns.log » :

    • « BLX-DPDK:DPDK Mempool n’a pas pu être initialisé pour PE-x »

    Remarque : x est un nombre <= nombre de processus de travail.

    Solution : allouez un grand nombre de « pages volumineuses », puis redémarrez l’appliance.

    [ NSNET-25173 ]

  • Le redémarrage d’une appliance NetScaler BLX en mode DPDK peut prendre un peu plus de temps en raison de la fonctionnalité de simplicité de DPDK.

    [ NSNET-24449 ]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les X710 10G (i40e) interfaces Intel sur une appliance NetScaler BLX avec DPDK :

    • Désactiver
    • Activer
    • Reset

    [ NSNET-16559 ]

  • L’installation d’une appliance NetScaler BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance NetScaler BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans certains cas de connexions de données FTP, l’appliance NetScaler effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

    [NSNET-5233]

  • Il est possible que l’appliance NetScaler ne génère pas de messages d’interruption SNMP « ColdStart » après un redémarrage à froid.

    [NSHELP-27917]

  • Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance NetScaler, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

    [ NSHELP-21082 ]

Plateforme

  • Certains packages python ne sont pas installés lorsque vous rétrogradez l’appliance NetScaler de la version 13.1-4.x et des versions supérieures vers l’une des versions suivantes :

    • Toute version 11.1
    • 12.1-62.21 et versions antérieures
    • 13.0-81.x et versions antérieures

    [NSPLAT-21691]

  • Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance NetScaler. Utilisez la commande « rm cloudprofile » pour supprimer le profil.

    [NSPLAT-4520]

  • Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche.
    Solution : sautez l’écran et connectez-vous au nœud principal pour créer le profil cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

    [NSPLAT-4451]

  • L’appliance NetScaler se bloque si le VRID est lié à un canal LA dont aucune interface membre n’est configurée.

    Solution : configurez les interfaces membres pour un canal LA avant de lier le VRID au canal LA.

    [ NSPLAT-26707 ]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

SSL

  • Sur un cluster hétérogène d’appliances NetScaler SDX 22000 et NetScaler SDX 26000, il y a une perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance NetScaler ne renvoie aucune erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation des crl désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

  • Les pages Web qui utilisent HTTP/2 peuvent ne pas se charger complètement lorsqu’un flux HTTP/2 utilisant la méthode de requête HTTP CONNECT est interrompu.

    [NSHELP-36407, NSBASE-17449]

  • Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :

    • une fenêtre de congestion maximale élevée (> 4 Mo) est définie
    • L’algorithme TCP NILE est activé

    Pour qu’une appliance NetScaler utilise l’algorithme NILE pour le contrôle de la congestion, les conditions doivent dépasser le seuil de démarrage lent, qui est associé à la fenêtre de congestion maximale

    Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, NetScaler continue d’accepter des données et se retrouve avec un RTT élevé.

    [NSHELP-31548]

  • La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas le cadre de paramètres max_concurrent_stream du client.

    [ NSHELP-21240 ]

  • Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

    [ NSHELP-10972 ]

  • Dans un déploiement de cluster, si vous exécutez la commande « forcer la synchronisation du cluster » sur un nœud non CCO, le fichier ns.log contient des entrées de journal dupliquées.

    [NSBASE-16304, NSGI-1293]

  • Lorsque vous installez la console NetScaler sur un cluster Kubernetes, cela ne fonctionne pas comme prévu car les processus requis risquent de ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSBASE-15556 ]

  • L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

    [ NSBASE-8506 ]

Interface utilisateur

  • Dans l’interface graphique de NetScaler, le lien « Aide » présent sous l’onglet « Tableau de bord » est cassé.

    [NSUI-14752]

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de la CLI NetScaler.

    [NSUI-13024]

  • Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

    [NSUI-6838]

  • Dans une configuration à haute disponibilité des appliances NetScaler BLX, le nœud principal peut ne plus répondre en bloquant toute demande de CLI ou d’API.

    Solution : redémarrez le nœud principal.

    [NSCONFIG-6601]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur une appliance NetScaler, les utilisateurs du système risquent de ne pas se connecter à l’appliance NetScaler rétrogradée.

    1. Mettez à niveau l’appliance NetScaler vers l’une des versions
      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Rétrogradez l’appliance NetScaler vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution : Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance NetScaler n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance NetScaler à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [NSCONFIG-3188]

Notes de publication pour la version 13.1-45.64 de NetScaler
March 17, 2024
Contributeur: 
C
March 17, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.