Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF

Notes de publication pour la version 13.1—48.47 de NetScaler

March 17, 2024
Contributeur: 
C

Ce document des notes de mise à jour décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 13.1—48.47 de NetScaler.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Nouveautés

Les améliorations et modifications disponibles dans les versions 13.1—48.47.

Équilibrage de charge

  • Amélioration de la méthode d’équilibrage de charge de proximité statique

    Actuellement, lorsque vous configurez la méthode d’équilibrage de charge de proximité statique et qu’il existe plusieurs serveurs situés à différents emplacements, un serveur est choisi en fonction de l’adresse IP du client plutôt que de l’adresse IP de bouclage NetScaler. Par conséquent, le temps de réponse peut être plus long dans certains cas. Le paramètre ProximityFromSelf est ajouté aux paramètres d’équilibrage de charge et au profil d’équilibrage de charge pour réduire le temps de réponse, en sélectionnant un serveur plus proche de NetScaler plutôt que du client. Pour plus d’informations, consultez la section Proximité statique pour l’emplacement de NetScaler.

    [NSLB-9530]

  • La synchronisation complète du GSLB n’est pas déclenchée lorsque l’état HA change

    La synchronisation GSLB complète n’est plus déclenchée lorsque l’état HA change soit sur le site GSLB principal, soit sur les sites subordonnés. Auparavant, la synchronisation complète avec les sites subordonnés était déclenchée même lorsque les nœuds HA étaient synchronisés et qu’aucune modification de la configuration GSLB n’avait été apportée pendant la transition d’état HA. En ne lançant pas la synchronisation GSLB complète, les modifications de configuration incrémentielles après le changement d’état HA se synchronisent désormais plus rapidement avec les sites subordonnés.

    [NSLB-9477]

  • Lemoniteur Oracle ECV prend en charge les derniers protocoles d’authentification Oracle
    Le moniteur NetScaler Oracle ECV prend désormais en charge toutes les versions d’Oracle jusqu’à 21c et tous les protocoles d’authentification basés sur un mot de passe.

    Pour plus d’informations, consultez Oracle ECV Monitor.

    [NSHELP-9819]

Web App Firewall NetScaler

  • Amélioration de la fonctionnalité de limite de débit

    Vous pouvez désormais limiter le type de trafic et ajouter des conditions supplémentaires dans la fonction de limite de débit BOT à l’aide des paramètres de type de limite de débit et de condition de limite de débit. Pour plus d’informations, consultez la section Détection de bots.

    [NSWAF-9535]

Réseau

  • Un fichier de configuration unifié pour les configurations NetScaler, les configurations de routage dynamique et la configuration du module de sécurité matérielle

    L’appliance NetScaler prend désormais en charge un fichier de configuration unifié (unified.conf) qui contient les configurations NetScaler (ns.conf), les configurations de routage dynamique (zebos.conf) et les configurations du module de sécurité matérielle (HSM) (chrystoki.conf).

    Le fichier de configuration unifié fournit une vue unique des différents types de configurations. Ce fichier de configuration unifié est uniquement destiné à la visualisation et ne peut pas être utilisé pour appliquer des configurations dans un autre dispositif NetScaler.

    Le chemin complet du fichier de configuration unifiée dans l’appliance NetScaler est le suivant : « /nsconfig/unified.conf ». Vous pouvez accéder au fichier de configuration unifié à l’aide de l’invite de commande du shell. Le fichier de configuration unifié est uniquement pris en charge pour les appliances NetScaler autonomes et les configurations à haute disponibilité.

    [ NSNET-27559 ]

  • Ports réseau VMware VMXNET3 en tant que ports DPDK : prise en charge des appliances NetScaler BLX

    Une appliance NetScaler BLX intégrée à une machine virtuelle hôte Linux exécutée sur une plate-forme de virtualisation VMware prend désormais en charge les ports réseau VMXNET3 en tant que ports DPDK.

    [NSNET-27244]

Plateforme

  • Support pour le mode IMDSv2 de l’instance AWS EC2

    Le mode Instance Metadata Service Version 2 (IMDSv2) pour l’instance AWS EC2 est désormais pris en charge dans l’appliance NetScaler. IMDSv1 et IMDSv2 sont deux modes disponibles pour accéder aux métadonnées d’instance à partir d’une instance AWS EC2 en cours d’exécution. IMDSv2 est plus sécurisé que IMDSv1. Auparavant, l’IMDSv2 n’était pas pris en charge par NetScaler. Ainsi, lorsque l’instance AWS EC2 utilisait le mode IMDSv2, l’appliance NetScaler remplaçait la route statique par défaut après un redémarrage à froid.

    [ NSPLAT-21205 ]

System

  • Prise encharge de la stratégie de réponse pour le protocole proxy sur un serveur virtuel de type TCPRN
    NetScaler prend désormais en charge la stratégie de réponse pour le protocole proxy sur un serveur virtuel de type TCP.rn

    Auparavant, la stratégie de répondeur pour le protocole proxy n’était prise en charge que sur un serveur virtuel de type HTTP.rn

    Pour plus d’informations, consultez la section Proxy Protocol.

    [NSHELP-33193]

Interface utilisateur

  • Balises HTML dans les expressions de stratégie de l’interface graphique NetScaler

    Les balises HTML sont désormais prises en charge dans l’interface graphique de NetScaler lors de la création d’expressions de stratégie.

    [NSUI-18918]

  • Catégorie de filtre CVE dans la page d’affichage des critères de filtre de signature

    Le CVE est ajouté en tant que catégorie dans la liste des critères de filtre d’affichage de la page d’ affichage des signatures. Utilisez CVE comme option de filtre pour afficher uniquement les détails liés au journal dans la fenêtre Résultats filtrés sur la droite.

    [NSUI-18512, NSCXLCM-616]

Problèmes résolus

Les problèmes qui sont résolus dans les versions 13.1—48.47.

Authentification, autorisation et audit

  • Dans un déploiement NetScaler en cluster, vous ne pouvez pas lier une action d’attribution à une stratégie d’authentification.

    [NSHELP-33974]

  • Lorsque NetScaler est configuré en tant que fournisseur de services SAML, la validation de l’assertion SAML peut échouer en raison d’un problème d’analyse de la balise SAML:StatusCode.

    [NSHELP-33574]

  • Lorsque vous modifiez un profil de session sur la page Sécurité > AAA - Trafic des applications > Stratégies > Stratégies et profils de session > Profils de session, l’option « Authentification unique aux applications Web » est activée même si elle était définie sur OFF lors de la création du profil de session.

    [NSHELP-33067]

  • Le chiffrement ou le déchiffrement du secret OTP peut échouer avec des attributs à valeurs multiples.

    [NSHELP-31057]

Équilibrage de charge

  • Lorsqu’un NetScaler configuré en tant que serveur ADNS reçoit une requête via le protocole UDP ou TCP, il envoie la réponse en fonction de la configuration. Toutefois, si plusieurs requêtes sont envoyées via la même session TCP ou UDP, seule la réponse à la première requête est correctement envoyée. La stratégie DNS active UNDEF pour les requêtes suivantes sur la même connexion.

    [NSLB-10103]

  • NetScaler peut se bloquer lorsque la séquence de conditions suivante est remplie :

    1. Les services GSLB sont liés aux serveurs virtuels GSLB par ordre de priorité.
    2. La méthode d’équilibrage de charge du serveur virtuel GSLB est identique à la méthode d’équilibrage de charge de sauvegarde.
    3. Tous les services GSLB sont indépendants du serveur virtuel GSLB.
    4. Le serveur virtuel GSLB est supprimé.

    [NSHELP-34694]

  • Les pertes de paquets sont observées dans NetScaler en raison d’un retard dans la collecte des statistiques. Le retard est dû au fait que plusieurs groupes de services sont liés à la même adresse IP de service sur différents ports.

    [NSHELP-34171, NSCXLCM-319]

  • La commande « Afficher le nom du serveur » affiche l’état du service comme étant inconnu même si le service est lié au serveur.

    [ NSHELP-33668 ]

  • NetScaler peut se bloquer et vider le noyau si un grand nombre de groupes de services GSLB autoscale sont configurés.

    [NSHELP-33545]

  • L’appliance NetScaler déclenche une alerte SNMP incorrecte en cas de connexion serveur élevée en raison d’un calcul erroné du nombre de serveurs.

    [NSHELP-31582]

NetScaler Gateway

  • Un NetScaler avec un proxy ICA activé sur NetScaler Gateway peut se bloquer lors d’un déploiement DMZ à double saut.

    [NSHELP-33369]

  • Dans un déploiement NetScaler en cluster, lorsque le paramètre ICA Only est défini sur ON, NetScaler Gateway ne parvient pas par intermittence à déconnecter les sessions utilisateur, même lorsque le paramètre de temporisation forcée est activé.

    [NSHELP-33014]

  • Les signets RDP ajoutés pour des utilisateurs spécifiques sont affichés pour les autres utilisateurs qui n’ont pas ajouté ces URL à leurs favoris.

    [NSHELP-29904]

  • Lors de l’effacement des configurations à l’aide de l’interface graphique ou de la CLI, une appliance NetScaler peut se bloquer lorsque les entités liées à la Secure Token Authority (STA) sont effacées.

    [CGOP-23152]

Appliance NetScaler SDX

  • Dans de rares cas, un NetScaler SDX peut se bloquer et ne pas être accessible en raison de valeurs indésirables dans certains champs, tels que l’adresse IP.

    [NSHELP-34925]

Web App Firewall NetScaler

  • L’appliance NetScaler peut se bloquer en raison d’informations d’en-tête HTTP non valides. Ce problème se produit lorsque les conditions suivantes sont remplies :

    • Une violation SQL/XSS se produit dans le corps de la requête HTTP.
    • La journalisation détaillée est définie sur « PatternPayloadHeader ».

    [NSHELP-35297]

  • NetScaler signale un nombre de compteurs de requêtes du Web Application Firewall supérieur au nombre total de compteurs de demandes, car le compteur de demandes est incrémenté deux fois pour les requêtes XML.

    [NSHELP-34591]

  • Dans de rares cas, NetScaler peut consommer davantage de mémoire lorsque la limite du corps des publications est définie sur une valeur plus élevée.

    [NSHELP-34507]

Réseau

  • Lorsque vous redémarrez NetScaler CPX après avoir enregistré la configuration, NetScaler CPX ne démarre pas.

    [NSNET-28691]

  • L’appliance NetScaler peut supprimer les paquets reçus en raison d’un problème de temporisation interne visant à nettoyer les mappages temporaires IPv6 obsolètes sur l’appliance.

    [NSHELP-34607]

  • Lors de la configuration de BGP, la ligne de commande VTYSH ne s’exécute pas automatiquement et n’affiche aucune suggestion de commande lorsque vous appuyez sur la touche de tabulation après avoir saisi la commande de redistribution.

    [NSHELP-34332]

  • En mode Layer-3 avec PMTU activé, l’appliance NetScaler supprime au lieu de transférer les paquets ICMP marqués de la mention « Fragmentation requise mais bit DF défini » pour le trafic ESP.

    [NSHELP-34318]

  • Dans une configuration NAT (LSN) à grande échelle, l’appliance NetScaler peut se bloquer en raison d’un problème interne lié à la gestion des files d’attente LSN.

    [NSHELP-33499]

Plateforme

  • L’appliance NetScaler se bloque si le VRID est lié à un canal LA dont aucune interface membre n’est configurée.

    [ NSPLAT-26707 ]

  • Si NetScaler VPX sur Azure utilise Azure Accelerated Networking, les interfaces de virtualisation des E/S à racine unique (SR-IOV) d’Azure Accelerated Networking peuvent être détachées et rattachées dynamiquement par Azure pendant l’exécution de NetScaler. En raison du détachement et du rattachement dynamiques de la carte réseau, NetScaler peut ne pas répondre dans certains scénarios.

    [NSHELP-34515, NSCXLCM-171, NSCXLCM-908]

  • Lorsque vous essayez d’arrêter une appliance NetScaler SDX, l’appliance redémarre au lieu de s’arrêter dès la première tentative. Ce comportement peut se produire lorsque l’appliance génère un core dump alors qu’elle essaie de s’arrêter.

    [NSHELP-33276, NSHELP-33192]

Stratégies

  • Dans une configuration HA, l’expression REGEX_REPLACE peut entrer en boucle si elle est configurée avec l’option ALL et une chaîne de remplacement vide, ce qui entraîne un basculement.

    [NSHELP-34640]

SSL

  • Dans une configuration de cluster, vous ne pouvez pas associer un profil par défaut ou personnalisé à un service interne SSL.

    [NSSSL-12763]

  • La validation des certificats à signature croisée échoue lorsqu’il existe une longue chaîne et que l’un des certificats intermédiaires de la chaîne est un certificat racine à signature croisée.

    [NSHELP-34615]

  • Une appliance NetScaler, contenant des puces Intel Coleto ou Intel Lewisburg, peut tomber en panne pendant la phase de renégociation principale si le serveur homologue négocie un chiffrement différent de celui qu’il a initialement négocié.

    [NSHELP-34324]

  • Une appliance NetScaler contenant des puces Intel Coleto ou Intel Lewisburg peut se bloquer si le chiffrement DH 512 est utilisé lors d’un échange de clés.

    [NSHELP-34094]

  • Dans une configuration de cluster qui comporte uniquement des chiffrements personnalisés liés à des services internes, le groupe de chiffrement DEFAULT est également lié aux services internes lorsque vous mettez à niveau la configuration du cluster de la version 13.0 vers la version 13.1.

    [NSHELP-33883]

System

  • Le module d’audit SYSLOG d’une appliance NetScaler peut se bloquer et vider plusieurs fichiers principaux après la mise à niveau de l’appliance vers une version ultérieure à la version 13.0—88.16.

    [NSHELP-33505]

  • Une appliance NetScaler peut se bloquer lorsqu’elle reçoit une réponse HTTP 1xx (par exemple « 100 Continuer ») des serveurs principaux lorsque le paramètre RetryOnTimeout est configuré dans la configuration AppQoE.

    [NSHELP-33438]

  • Les horodatages des messages Syslog sont incorrects pendant la période d’été.

    [NSHELP-30137]

Interface utilisateur

  • Vous ne pouvez pas sélectionner le profil HTTP lors de la création d’un serveur virtuel HTTP_QUIC à l’aide de l’interface graphique. Ce problème se produit car le profil HTTP est désactivé pour la création d’un serveur virtuel HTTP_QUIC.

    [NSUI-18816]

  • Sur l’interface graphique, vous ne pouvez pas créer de stratégie d’authentification avancée associée à une action par e-mail. Cela est dû au fait que, lorsque vous créez la stratégie d’authentification, l’option E-mail ne figure pas dans la liste déroulante du champ Type d’action.

    [NSHELP-35065]

  • Dans une configuration de cluster, l’ajout des fichiers du jeu de modèles à l’aide de l’interface de ligne de commande ou de l’interface graphique échoue.

    [NSHELP-34996]

  • La connexion d’un utilisateur à une partition autre que celle par défaut peut échouer lorsque l’interface graphique ou l’API NITRO est utilisée.

    [NSHELP-34849]

  • Le démon HTTPD peut se bloquer lorsqu’il fait face à une exception lors du traitement d’une requête HTTP GET groupée de l’API NITRO.

    [ NSHELP-34399 ]

  • La fonctionnalité de sauvegarde et de restauration d’une appliance NetScaler peut ne pas effectuer une sauvegarde correcte de l’appliance lorsqu’elle contient 6 partitions d’administration ou plus.

    [NSHELP-34370]

  • Dans l’interface graphique de NetScaler, vous ne pouvez pas lier une stratégie d’équilibrage de charge à des serveurs virtuels de type UDP et SSL car ces options ne sont pas répertoriées sous Protocole sur la page LB Policy Manager.

    [NSHELP-33724]

  • L’erreur suivante apparaît sur l’interface utilisateur de NetScaler lorsqu’il existe une énorme différence entre la configuration enregistrée et la configuration en cours d’exécution :

    « Erreur lors de la récupération de la configuration »

    [NSHELP-32752]

  • Lorsque vous configurez la fonctionnalité de partition d’administration sur NetScaler et que vous exécutez en continu des commandes de configuration dans la partition du nœud secondaire, l’enregistrement des configurations sur la partition du nœud secondaire à l’aide de la commande save ns config peut échouer.

    [NSHELP-31663]

  • Sur l’interface graphique de NetScaler, l’écran Configuration enregistrée ou en cours d’exécution (Système > Diagnostics) affiche de manière incorrecte les balises HTML au lieu d’afficher du texte brut.

    [NSHELP-27169]

  • L’ajout d’un profil réseau pour un service d’équilibrage de charge DTLS peut échouer lorsque vous utilisez l’interface graphique NetScaler.

    [NSHELP-23676]

Problèmes connus

Les problèmes qui existent dans la version 13.1—48.47.

Authentification, autorisation et audit

  • L’appliance NetScaler peut se bloquer lorsque le serveur virtuel d’authentification est utilisé dans une partition autre que celle par défaut.

    [NSHELP-32054, NSCXLCM-640]

  • Un NetScaler se bloque lorsque les conditions suivantes sont remplies :

    • L’authentification par certificat basée sur 401 s’effectue via un serveur virtuel d’équilibrage de charge.
    • Aucune stratégie d’authentification n’est liée à un serveur virtuel d’authentification.
    • La journalisation des débogues est activée.

    [ NSAUTH-13259 ]

  • Les administrateurs ne peuvent pas effectuer de journalisation personnalisée des échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies du répondeur NetScaler ne détectent pas les erreurs liées aux échecs de connexion.

    [ NSAUTH-11151 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au NetScaler actif principal du cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

  • La page Configurer le serveur LDAP d’authentification sur l’interface graphique de NetScaler ne répond plus si vous suivez les étapes suivantes :

    • L’option Tester l’accessibilité LDAP est ouverte.
    • Les informations d’identification de connexion non valides sont renseignées et envoyées.
    • Les identifiants de connexion valides sont renseignés et envoyés.

    Solution : fermez et ouvrez l’option Tester l’accessibilité LDAP.

    [ NSAUTH-2147 ]

Gestion des bots

  • L’appliance NetScaler peut se bloquer si la stratégie BOT utilise une action de journal avec des règles de stratégie complexes.

    [NSHELP-34999]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Dans de rares cas, une appliance NetScaler peut se bloquer et générer un core dump lorsque les conditions suivantes sont remplies :

    • La sonde de surveillance DNS basée sur TCP est utilisée pour surveiller un service principal.
    • La mémoire de l’appliance est insuffisante.

    [NSHELP-35289]

  • Le format ServiceGroupName utilisé dans le entityofstrap pour le groupe de services est le suivant : <service(group)name>?<ip/DBS>?<port>

    Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (« ? ») est utilisé comme séparateur. NetScaler envoie l’interruption avec le point d’interrogation (« ? »). Le format apparaît de la même manière dans l’interface graphique de NetScaler ADM. C’est le comportement attendu.

    [ NSHELP-28080 ]

Divers

  • Lorsqu’une synchronisation forcée a lieu dans une configuration à haute disponibilité, l’appliance exécute la commande « set urlfiltering parameter » dans le nœud secondaire.
    Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre « TimeOfDayToUpdateDB ».

    [ NSSWG-849 ]

  • Lorsqu’une configuration de cluster est inactive, la messagerie nœud à nœud (NNM) peut ajouter un délai de 20 millisecondes pour les paquets ping d’une taille sndbuf spécifiée (commande ping avec option -S).

    [NSHELP-34774]

  • Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

    [NSHELP-31836]

  • Une appliance NetScaler peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

    [ NSHELP-22409 ]

NetScaler Gateway

  • Sur un appareil Mac utilisant Chrome, l’extension VPN se bloque lors de l’accès à deux noms de domaine complets.

    [NSHELP-32144]

  • Le message personnalisé du journal des défaillances EPA ne s’affiche pas sur le portail NetScaler Gateway. Au lieu de cela, le message « erreur interne » s’affiche.

    [NSHELP-31434]

  • Parfois, l’ouverture de session automatique de Windows ne fonctionne pas lorsqu’un utilisateur se connecte à l’ordinateur Windows en mode de service permanent. Le tunnel de la machine ne passe pas au tunnel utilisateur et au message « Connexion… » s’affiche dans l’interface utilisateur du plug-in VPN.

    [NSHELP-31357, CGOP-21192, NSCXLCM-612]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance NetScaler Gateway après avoir modifié le paramètre de profil always on networkAccessOnVPNFailure de fullAccess à onlyToGateway.

    [NSHELP-30236]

  • Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

    • L’appliance NetScaler Gateway est configurée pour la fonctionnalité Always On
    • L’appliance est configurée pour une authentification basée sur des certificats avec l’authentification à deux facteurs « désactivée »

    [ NSHELP-23584 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Dans une configuration de cluster NetScaler, HDX Insight et Gateway Insight ne peuvent pas être activés simultanément.

    [CGOP-23570]

  • L’option du système d’exploitation Windows ne figure pas dans la liste déroulante Expression Editor pour les stratégies de pré-authentification et les actions d’authentification sur l’interface graphique de NetScaler. Toutefois, si vous avez déjà configuré l’analyse du système d’exploitation Windows sur une version précédente de NetScaler à l’aide de l’interface graphique ou de l’interface de ligne de commande, la mise à niveau n’a aucune incidence sur les fonctionnalités. Vous pouvez utiliser l’interface de ligne de commande pour apporter des modifications, si nécessaire.

    Solution :

    Utilisez les commandes CLI pour la configuration.

    • Pour configurer l’action EPA avancée dans l’authentification nFactor, utilisez la commande suivante.
      add authentication epaAction adv_win_scan -csecexpr "sys.client_expr("sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]")
    • Pour configurer une action de pré-authentification classique, utilisez les commandes suivantes.
      add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]') EXISTS" win_scan_action

    [CGOP-22966]

  • Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité Windows Logon, il est recommandé de passer à NetScaler Gateway 13.0 ou version ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

    [ CGOP-19355 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration à haute disponibilité, lors du basculement de NetScaler, le nombre de SR augmente au lieu du nombre de basculements dans NetScaler ADM.

    [ CGOP-13511 ]

  • Lorsque la fonction EDT Insight est activée, les canaux audio peuvent parfois échouer en cas de divergence réseau.

    [CGOP-13493]

  • Un message d’erreur s’affiche lorsque vous ajoutez ou modifiez une stratégie de session depuis l’interface graphique de NetScaler.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique. De plus, la page ne répond plus.

    [ CGOP-7269 ]

Réseau

  • Dans une appliance NetScaler BLX compatible DPDK, les VLAN balisés ne sont pas pris en charge pour les ports NIC Intel i350 DPDK. Ceci est observé car il s’agit d’un problème connu présent sur le pilote DPDK.

    [NSNET-25299]

  • Une appliance NetScaler BLX avec DPDK peut ne pas redémarrer si toutes les conditions suivantes sont remplies :

    • L’appliance NetScaler BLX est dotée d’un faible nombre de « pages volumineuses ». Par exemple, 1G.
    • L’appliance NetScaler BLX est affectée à un nombre élevé de processus de travail. Par exemple, 28.

    Le problème est enregistré sous forme de message d’erreur dans « /var/log/ns.log » :

    • « BLX-DPDK:DPDK Mempool n’a pas pu être initialisé pour PE-x »

    Remarque : x est un nombre <= nombre de processus de travail.

    Solution : allouez un grand nombre de « pages volumineuses », puis redémarrez l’appliance.

    [ NSNET-25173 ]

  • Le redémarrage d’une appliance NetScaler BLX en mode DPDK peut prendre un peu plus de temps en raison de la fonctionnalité de simplicité de DPDK.

    [ NSNET-24449 ]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les X710 10G (i40e) interfaces Intel sur une appliance NetScaler BLX avec DPDK :

    • Désactiver
    • Activer
    • Reset

    [ NSNET-16559 ]

  • L’installation d’une appliance NetScaler BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance NetScaler BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans certains cas de connexions de données FTP, l’appliance NetScaler effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

    [NSNET-5233]

  • Il est possible que l’appliance NetScaler ne génère pas de messages d’interruption SNMP « ColdStart » après un redémarrage à froid.

    [NSHELP-27917]

  • Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance NetScaler, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

    [ NSHELP-21082 ]

Plateforme

  • Certains packages python ne sont pas installés lorsque vous rétrogradez l’appliance NetScaler de la version 13.1-4.x et des versions supérieures vers l’une des versions suivantes :

    • Toute version 11.1
    • 12.1-62.21 et versions antérieures
    • 13.0-81.x et versions antérieures

    [NSPLAT-21691]

  • Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance NetScaler. Utilisez la commande « rm cloudprofile » pour supprimer le profil.

    [NSPLAT-4520]

  • Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche.
    Solution : sautez l’écran et connectez-vous au nœud principal pour créer le profil cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

    [NSPLAT-4451]

  • Si le NetScaler SDX secondaire d’une configuration HA est configuré avec un cœur de processeur partagé et que les pulsations HA sont échangées via un VLAN, il tente sans succès de passer au nœud principal.

    [NSHELP-32412]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données qui doivent être traitées.

    [ NSPOLICY-1267 ]

SSL

  • Sur un cluster hétérogène d’appliances NetScaler SDX 22000 et NetScaler SDX 26000, il y a une perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance NetScaler ne renvoie aucune erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation des crl désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

  • Les clients TLS basés sur OpenSSL 3.x mettent fin à une connexion prématurément, à moins que le serveur n’accuse réception de l’annonce du client concernant la prise en charge de la RFC 5746 (Renegotiation Indication Extension or Secure Renegotiation). Les serveurs virtuels frontaux ignorent cette publicité lorsque la renégociation est désactivée, ce qui entraîne des échecs de connexion. Grâce à ce correctif, les serveurs virtuels frontaux reconnaissent désormais la publicité même lorsque la renégociation est désactivée, ce qui améliore la compatibilité.

    [NSHELP-35120]

System

  • Les pages Web qui utilisent HTTP/2 peuvent ne pas se charger complètement lorsqu’un flux HTTP/2 utilisant la méthode de requête HTTP CONNECT est interrompu.

    [NSHELP-36407, NSBASE-17449]

  • NetScaler peut se bloquer si toutes les conditions suivantes sont remplies :
    • Les événements, les journaux d’audit ou les métriques sont activés dans le profil d’analyse ou les paramètres AppFlow.
    • Une stratégie de réécriture côté réponse est configurée.

    [ NSHELP-35550 ]

  • Un NetScaler avec authentification multifactorielle configurée se bloque lors d’une évaluation des stratégies.

    [NSHELP-33674]

  • L’appliance NetScaler configurée avec un service SSL se bloque lorsqu’elle reçoit un paquet de contrôle TCP FIN suivi d’un paquet de contrôle TCP RESET.

    [NSHELP-31656]

  • Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :

    • une fenêtre de congestion maximale élevée (> 4 Mo) est définie
    • L’algorithme TCP NILE est activé

    Pour qu’une appliance NetScaler utilise l’algorithme NILE pour le contrôle de la congestion, les conditions doivent dépasser le seuil de démarrage lent, qui est associé à la fenêtre de congestion maximale

    Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, NetScaler continue d’accepter des données et se retrouve avec un RTT élevé.

    [NSHELP-31548]

  • Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

    [ NSBASE-18295 ]

  • L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

    [ NSBASE-8506 ]

Interface utilisateur

  • Dans l’interface graphique de NetScaler, le lien « Aide » présent sous l’onglet « Tableau de bord » est cassé.

    [NSUI-14752]

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

    [NSUI-13024]

  • Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

    [NSUI-6838]

  • Dans une configuration à haute disponibilité des appliances NetScaler BLX, le nœud principal peut ne plus répondre en bloquant toute demande de CLI ou d’API.

    Solution : redémarrez le nœud principal.

    [NSCONFIG-6601]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur une appliance NetScaler, les utilisateurs du système risquent de ne pas se connecter à l’appliance NetScaler rétrogradée.

    1. Mettez à niveau l’appliance NetScaler vers l’une des versions
      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Rétrogradez l’appliance NetScaler vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution : Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance NetScaler n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance NetScaler à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, voir How to reset root administrator (nsroot) password.

    [NSCONFIG-3188]

Notes de publication pour la version 13.1—48.47 de NetScaler
March 17, 2024
Contributeur: 
C
March 17, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.