ADC

Notes de publication pour NetScaler 13.1-50.23 Build

February 13, 2024

Contributeur:

Ce document de notes de publication décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 13.1-50.23 de NetScaler.

Remarques

Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.1-50.23.

Divers

Jeton d’authentification pour télécharger le pack de support technique

Lorsque vous téléchargez le bundle de support technique directement depuis NetScaler vers le serveur de support technique Citrix, vous avez désormais besoin d’un jeton d’authentification. Auparavant, vous aviez besoin d’un nom d’utilisateur et d’un mot de passe Citrix pour télécharger le bundle de support technique. Pour plus d’informations, consultez Comment générer un bundle de support technique pour résoudre les problèmes liés à l’appliance.

[NSTOOLS-3019]

Plateforme

Prise en charge d’une nouvelle MIB SNMP pour la métrique de limite de débit

Ajout d’une nouvelle MIB SNMP pour obtenir des paquets par seconde et des bits par seconde pour NetScaler. Cette MIB vous aide à comprendre la métrique de limite de débit actuelle pour NetScaler. Pour plus d’informations, consultez la référence OID SNMP de NetScaler 13.1.

[NSPLAT-26679]
Prise en charge du pilote et du microprogramme de carte réseau mis à jour sur NetScaler SDX avec des cartes d’interface réseau 10G/25G/40G

Lorsque vous effectuez une mise à niveau vers la version 14.1-8.x et versions ultérieures ou 13.1-50.x et versions ultérieures, le pilote et le microprogramme de la carte réseau 10G/25G/40G sont automatiquement mis à niveau vers la version 8.70 sur les plateformes suivantes. La version 8.70 du microprogramme de la carte réseau corrige les problèmes CVE-2020-8690, CVE-2020-8691, CVE-2020-8692 et CVE-2020-8693.
- SDX 8900
- SDX 14000-40G
- SDX 15000
- SDX 15000-50G
- SDX 25000-40G
- SDX 16000
- SDX 9100
- SDX 26000
- SDX 26000-50S
[ NSPLAT-23460 ]

Problèmes résolus

Les problèmes résolus dans la version 13.1-50.23.

Infrastructure d’analyse

Lorsque plusieurs stratégies AppFlow sont liées globalement à un NetScaler, le fait de délier une stratégie rend les autres également inefficaces.

[ NSHELP-35960 ]
NetScaler peut se bloquer si toutes les conditions suivantes sont remplies :
- Les événements, les journaux d’audit ou les mesures sont activés dans le profil d’analyse ou dans les paramètres AppFlow.
- Une stratégie de réécriture côté réponse est configurée.
[ NSHELP-35550 ]
Après le redémarrage de NetScaler, l’alarme SNMP est automatiquement réactivée même si elle avait été précédemment désactivée.

[NSHELP-34745]
Un NetScaler avec authentification multifactorielle configurée se bloque lors d’une évaluation des stratégies.

[NSHELP-33674]
Après un redémarrage, si le fichier de configuration newnslog est vide, VPX continue de redémarrer.

[NSHELP-33373]
Dans un déploiement de cluster, un nœud autre que CCO n’envoie pas les messages syslog TCP à un serveur syslog externe lorsque vous effectuez l’opération de « synchronisation forcée du cluster » ou de « redémarrage » sur le nœud.

[NSHELP-32925]
La commande show syslogAction affiche une adresse IP non résolue dans la sortie lorsque les deux conditions suivantes sont remplies :
- L’action SYSLOG avec un nom de domaine en mode transport UDP est utilisée.
- ICMP est désactivé sur le serveur.
Ce problème se produit parce que le moniteur ping par défaut marque le service comme ÉTANT HORS SERVICE car le serveur n’est pas accessible via ICMP. Par conséquent, l’adresse IP n’est pas affichée dans la sortie même si elle est résolue.

[NSHELP-32886, NSHELP-33392]
Le ns.log fichier génère les journaux de débogage même lorsque le niveau du journal d’audit est défini sur Aucun et dépasse donc la limite de taille de fichier configurée. Le problème se produit car la stratégie avancée est liée à la journalisation locale, même si cela n’est pas nécessaire.

[NSHELP-32404, NSCXLCM-1374, NSCXLCM-1551, NSCXLCM-1708]
Dans un environnement de cluster, NetScaler peut voir nsppe se bloquer lorsqu’une stratégie Syslog est liée à un serveur virtuel LB.

[NSHELP-30983, NSANINFRA-21]

Authentification, autorisation et audit

Après une mise à niveau, le message « AAA DHT : la notification de reprise de l’entrée du VPN a échoué en raison d’un sous-type 1 non valide » apparaît à plusieurs reprises dans le fichier journal NetScaler.

[ NSHELP-35649 ]
Après une mise à niveau, les utilisateurs ne peuvent pas réinitialiser le mot de passe NetScaler Gateway expiré. Ce problème se produit lorsque l’authentification StoreFront avec un schéma de connexion à double authentification est configurée en tant que deuxième facteur dans un flux nfactor.

[NSHELP-35631]
Sur la page Serveurs d’authentification NetScaler GUI(Configuration > AuthentificationTableau de bord), la colonne État ne se charge pas correctement et le message « Petite image en cours » apparaît. Ce problème se produit pour les entrées où la configuration du serveur est en cours.

[NSHELP-34534]
L’authentification unique Kerberos peut échouer en cas de grand nombre de demandes entrantes simultanées.

[NSHELP-34177]
L’exécution des commandes à l’aide de la CLI NetScaler peut être retardée si l’authentification TACACS est configurée avec une adresse IP NAT.

[ NSHELP-32960 ]
NetScaler configuré en tant que fournisseur de services SAML peut envoyer deux réponses à une demande de déconnexion SAML. Ce problème se produit lorsque la demande de déconnexion contient le paramètre « Demande SAML ».

[NSHELP-32555]
NetScaler peut se bloquer lorsque le serveur virtuel d’authentification est utilisé dans une partition autre que celle par défaut.

[NSHELP-32054, NSCXLCM-640, NSCXLCM-1577]
NetScaler peut se bloquer si l’une des méthodes d’authentification suivantes est utilisée comme deuxième facteur et que d’autres facteurs sont configurés et nécessitent une intervention de l’utilisateur dans un flux nFactor.
- SAML
- OAuth
- Certificat client
[NSHELP-29573, NSCXLCM-492, NSCXLCM-872, NSCXLCM-1216, NSHELP-32631, NSHELP-32765]

Gestion des bots

Dans de rares cas, il est possible que la page Web ne se charge pas lorsque la technique de détection des empreintes digitales de l’appareil est utilisée.

[NSHELP-34742]

Équilibrage de charge

La synchronisation GSLB pour le nœud secondaire échoue lorsque le mot de passe RPC du nœud secondaire est modifié.

[NSLB-9788]
NetScaler peut se bloquer lorsque la réponse GLSB comporte plus de 300 adresses IP.

[ NSHELP-35792 ]
Dans les déploiements de domaines de trafic, l’équilibrage de charge des requêtes DNS peut échouer lorsque le profil réseau est lié au serveur virtuel DNS.

[NSHELP-35675]
Le NetScaler peut se bloquer lorsque vous faites référence à un service basé sur un nom de domaine (DBS) une fois que la séquence de conditions suivante est remplie :
1. Une entrée de localisation est configurée pour l’adresse IP à laquelle le nom de domaine DBS est résolu.
2. Le nom de domaine DBS est supprimé, ce qui entraîne une réponse NXDOMAIN de la part du serveur de noms.
3. L’entrée de localisation est supprimée.
[NSHELP-35370]
Dans de rares cas, une appliance NetScaler peut se bloquer et générer un core dump lorsque les conditions suivantes sont remplies :
- Une sonde de surveillance DNS basée sur le protocole TCP est utilisée pour surveiller un service principal.
- La mémoire de l’appliance est insuffisante.
[NSHELP-35289]
Dans une configuration HA, la base de données de proximité statique peut ne pas se charger lorsque le nœud secondaire est redémarré.

[NSHELP-35271]
Le moniteur NTLM ne prend pas en charge les options suivantes :
- Analyse simultanée par des moniteurs des configurations NTLM version 1 et version 2.
- Diriger la sonde vers l’adresse IP du serveur lorsque l’URL du paramètre « ScriptArg » renvoie à une adresse IP différente.
- Version 2 de NTLM.
[NSHELP-35185]
Les services liés aux moniteurs utilisateur peuvent être indisponibles par intermittence si plus de 30 services sont liés à un moniteur utilisateur.

[NSHELP-34669, NSCXLCM-1373]
Dans une configuration de cluster de huit nœuds ou plus, la fonction d’identifiant de limite de débit peut ne pas fonctionner comme prévu.

[NSHELP-34555]
Les sondes envoyées au moniteur utilisateur de StoreFront peuvent échouer en raison d’un calcul incorrect du délai d’expiration. Ce problème se produit lorsque le délai d’expiration est défini sur 1 ou 2 secondes lors de la configuration du moniteur utilisateur StoreFront.

[NSHELP-34418]
Après un basculement HA, les entrées de session de persistance ne sont pas supprimées du nœud principal, même après l’expiration du délai de persistance. Les entrées de session sont conservées jusqu’à ce que le nœud secondaire soit opérationnel.

[NSHELP-34378]
Une utilisation élevée du processeur peut être observée si la proximité statique est configurée comme méthode GSLB et si la recherche de l’emplacement du client à partir de la base de données échoue.

[NSHELP-33823]
Dans une configuration à haute disponibilité, la suppression d’une partition après un basculement peut entraîner une utilisation élevée du processeur.

[NSHELP-33701]
NetScaler peut se bloquer lorsque les conditions suivantes sont remplies :
- Un serveur virtuel d’équilibrage de charge est configuré avec une URL de redirection dans plusieurs partitions.
- Une restauration de mémoire est déclenchée.
[NSHELP-33638, NSCXLCM-227, NSCXLCM-509]
Dans les informations de contact SOA, lorsque vous entrez une adresse e-mail comportant plusieurs points (par exemple, john.doe.example.com), elle se traduit par. john@doe.example.com Vous pouvez désormais utiliser une barre oblique inverse () comme personnage d’évasion. Par conséquent, john.doe.example.com se traduit par. john.doe@example.com

[ NSHELP-33610 ]
La fonctionnalité de redirection du cache est désactivée mais le serveur virtuel traite toujours le trafic. Ce problème se produit lorsque l’adresse IP et le numéro de port d’un serveur virtuel de redirection de cache sont ajoutés à un service GSLB.

[NSHELP-33495]
Lorsque vous effectuez une synchronisation incrémentielle, la synchronisation complète est déclenchée si le paramètre « resptimeout » est modifié pour le moniteur.

[NSHELP-31987]

Divers

Les journaux des réponses STA contenus dans le fichier ns.log sont imprimés au niveau du débogage.

[ NSHELP-35956 ]
Lorsque NetScaler supprime un cookie généré par NetScaler d’une requête HTTP entrante avant qu’il ne soit envoyé à un serveur HTTP en amont, le serveur en amont peut refuser la demande. Ce problème se produit car la suppression de la paire nom-valeur du cookie peut empêcher le champ d’en-tête du cookie de respecter les spécifications du protocole HTTP.

[NSHELP-35855]
NetScaler peut se bloquer lorsqu’un serveur virtuel VPN avec des connexions ICA actives est renommé.

[ NSHELP-35804 ]
NetScaler peut se bloquer lorsque les conditions suivantes sont remplies :
- Il existe une connexion ICA active via EDT.
- Un service UDP avec la même adresse IP et le même numéro de port que ceux du Citrix VDA est ajouté.
- Il existe des problèmes de connectivité entre NetScaler Gateway et Citrix VDA.
[NSHELP-35637]
Après une mise à niveau, l’appliance NetScaler peut se bloquer lorsque HDX Insight est activé.

[NSHELP-35058, NSCXLCM-1220, NSCXLCM-1467]
Lorsqu’une configuration de cluster est inactive, la messagerie nœud à nœud (NNM) peut ajouter un délai de 20 millisecondes pour les paquets ping d’une taille sndbuf spécifiée (commande ping avec option -S).

[NSHELP-34774]
NetScaler configuré avec HDX Insight peut redémarrer lorsque le nœud secondaire reçoit les paquets à traiter.

[NSHELP-34152]
NetScaler Gateway signale à NetScaler ADM les demandes d’accès autorisé en cas d’échec de l’authentification unique. Par conséquent, la page Gateway > Gateway Insight de l’interface utilisateur de NetScaler ADM affiche des rapports d’échec SSO incorrects provoquant de fausses alarmes.

[ NSHELP-27992 ]
NetScaler se bloque lorsqu’une connexion EDT ICA est lancée. Ce problème se produit lorsque le profil d’analyse AppFlow pour HDX Insight est lié à un serveur virtuel VPN.

[GOPHDX-5014]

NetScaler Gateway

Il se peut que vous ne puissiez pas accéder à certaines applications (internes et externes) car le serveur principal rejette les demandes de proxy en mode HTTP/1.0.

[ NSHELP-35919 ]
Dans l’interface graphique de NetScaler, la liaison de la stratégie IDP SAML avec le serveur virtuel VPN n’est pas affichée même si la liaison est réussie.

[NSHELP-35663]
Lorsque l’accès VPN sans client avancé est configuré sur NetScaler Gateway, les pages peuvent ne pas être chargées à partir des URL enregistrées dans les favoris.

[NSHELP-33771]
Parfois, lorsque vous établissez une connexion VPN via NetScaler Gateway, vous êtes redirigé vers la page d’accueil avec un texte incorrect dans l’URL. Ce problème se produit lorsque NetScaler est configuré avec le thème du portail RFWebUI.

[NSHELP-30097, NSCXLCM-481]
Lorsque vous créez une entité EULA, le texte s’affiche sur une seule ligne sur le thème du portail RFWebUI de NetScaler Gateway. Ce problème se produit en raison de la balise de saut de <br> ligne HTML. Toutes les balises HTML ainsi que les balises <br> sont temporairement désactivées dans le texte du CLUF. Vous pouvez essayer d’ajouter des sauts de ligne en utilisant « n ».

[CGOP-24534]
À partir de la version 13.1 build 50.23 de NetScaler, l’accès aux fichiers PHP est bloqué dans tous les répertoires lors de l’accès via le serveur virtuel NetScaler Gateway ou le serveur virtuel d’authentification.

[ CGOP-22974 ]

Appliance NetScaler SDX

Sur NetScaler SDX FIPS, lors du provisionnement ou de la modification d’une instance NetScaler, l’option « Activer FIPS » n’est pas disponible.

[NSSVM-5848]
Vous ne pouvez pas activer le réseau de gestion interne pour NetScaler VPX si le VPX est mis à niveau d’une version dans laquelle le réseau de gestion interne n’est pas pris en charge vers une version dans laquelle il est pris en charge.

[NSSVM-5634]
Si les adresses IP des VPX présents dans NetScaler SDX ont un nombre de chiffres différent dans leurs octets respectifs, l’appel get risque de ne pas renvoyer de réponse pour tous snmpwalk les VPX.

[NSHELP-35877]
La validation du contrôle du débit maximal pour la création de canaux LACP à l’aide de ports 25G, 40G ou 100G échoue.

[NSHELP-35743]

NetScaler Secure Web Gateway

Dans de rares cas, NetScaler peut se bloquer lors de la capture de paquets. Ce problème peut se produire lorsqu’une variable de profil TCP dans la structure du PCB possède une valeur NULL.

[NSHELP-36081]

Web App Firewall NetScaler

Les journaux de débogage des demandes de fichiers de transformation sont générés lorsque le profil de transformation d’URL est appliqué à la demande.

[NSWAF-10356]
L’utilisation de certains mots clés prédéfinis peut générer des faux positifs lorsque la fonctionnalité de protection basée sur la grammaire SQL est activée.

[ NSHELP-36138 ]
Le filtre de trafic de limite de débit BOT fonctionne en interne comme un filtre Smooth même s’il est configuré comme un filtre Bursty .

[NSHELP-36095]
NetScaler peut se bloquer lorsque le profil Web App Firewall est associé à des signatures qui vérifient la protection contre les injections SQL.

[NSHELP-35989]
Lorsque vous utilisez la stratégie de transformation d’URL pour mettre à jour l’en-tête de l’hôte, l’en-tête de réponse est mis à jour deux fois avec le numéro de port.

[NSHELP-35840]
Vous ne pouvez pas modifier ou supprimer les règles de relaxation des scripts intersites JSON à l’aide de l’interface graphique NetScaler si les règles sont configurées avec une paire clé-valeur.

[ NSHELP-35610 ]
Le contrôle de protection grammaticale par injection de commande JSON bloque une demande si elle contient des formats de date. Cependant, les données ne sont pas mises à jour dans les fichiers journaux et les compteurs ne sont pas incrémentés.

[ NSHELP-35577 ]
Dans de rares cas, NetScaler peut se bloquer lorsque la mémoire configurée est insuffisante et que le profil Web App Firewall est utilisé.

[NSHELP-35463]
La fonction de protection contre le piratage de cookies ne fonctionne pas comme prévu lorsque les cookies d’une session valide sont réutilisés lors d’une autre session. NetScaler autorise la requête au lieu de la bloquer.

[ NSHELP-33723 ]

Réseau

Les paramètres de la carte réseau NetScaler BLX peuvent toujours être présents sur l’hôte Linux lorsque vous désinstallez l’appliance NetScaler BLX alors qu’elle est en cours d’exécution.

Solution. Arrêtez l’appliance NetScaler BLX avant de la désinstaller.

[NSNET-29109]
Lorsque vous liez un moniteur de routage à partir d’une partition autre que celle par défaut, le message d’erreur suivant apparaît : « Opération non autorisée » Cependant, l’état du moniteur de routage est affiché comme UP si la route correspondante est présente dans une partition autre que celle par défaut.

[NSNET-28589]
Après la mise à niveau de NetScaler BLX, les paramètres « blx-managed-host » et « host-ipaddress » sont absents du nouveau fichier « blx.config ». Cela entraîne une perte d’accès à l’adresse IP de l’hôte géré.

[NSHELP-36092]
L’appliance NetScaler peut ne pas répondre aux requêtes « SNMP GETBULK ».

[NSHELP-35902]
Le terminal VTYSH affiche « plus » à la fin de la sortie de la commande show avant de revenir à l’invite VTYSH. Ce problème est dû au fait que le système d’exploitation FreeBSD sous-jacent de l’appliance NetScaler a été mis à niveau vers la version 11.4.

[NSHELP-35829]
Lorsque vous supprimez l’une des partitions d’administration, NetScaler peut également supprimer le tampon de paquets des autres partitions. Par conséquent, NetScaler peut se bloquer lorsque vous supprimez une partition dont le tampon de paquets a été supprimé.

[NSHELP-35595]
Dans une configuration NAT (LSN) à grande échelle, l’appliance NetScaler peut se bloquer en cas de décalage interne entre le nombre de connexions frontales et dorsales LSN.

[ NSHELP-35318 ]
Lorsqu’une appliance NetScaler, qui contient un cache intégré de grande taille ou une configuration NAT à grande échelle, est mise à niveau de la version 12.1 ou 13.0 vers la version 13.1 ou 14.1, le temps de restauration après une panne du moteur de paquets est relativement plus long que dans la version pré-mise à niveau.

[NSHELP-33797]
Dans une configuration à haute disponibilité, l’état d’un nœud met au moins 60 secondes pour être activé lorsque toutes les conditions suivantes sont remplies :
- La sécurité intégrée est activée pour la configuration HA
- La surveillance HA est activée sur plusieurs interfaces
- L’une des interfaces activées pour la surveillance de la haute disponibilité devient inaccessible
- Au moins l’une des interfaces de surveillance HA est accessible
Maintenant, avec ce correctif, l’état du nœud devient immédiatement UP lorsque toutes ces conditions sont remplies.

[NSHELP-32157]

Plateforme

NetScaler VPX sur l’hyperviseur ESX peut se bloquer avec les interfaces VMXNET3.

[NSPLAT-27262, NSHELP-36781, NSCXLCM-3163]
Dans de rares cas, un NetScaler utilisant des cartes réseau 10G et exécutant la version 13.1 peut se bloquer lorsque le trafic est négligeable.

[ NSHELP-36274 ]
Les instances NetScaler VPX qui prennent en charge le réseau accéléré Azure avec des cartes d’interface réseau Mellanox ConnectX3 peuvent réduire le trafic par intermittence.

[NSHELP-35666]
Sur NetScaler SDX avec des cartes d’interface réseau Intel Fortville, l’utilisation du processeur de gestion par une instance VPX augmente de 1 % pour chaque interface Fortville ajoutée à l’instance VPX.

[NSHELP-35445, NSCXLCM-768]
Vous ne pouvez plus accéder à un Citrix Hypervisor hébergé sur NetScaler SDX à l’aide de protocoles SSL existants, tels que SSLv3, TLS 1.0 et TLS 1.1.

[NSHELP-33196]

SSL

NetScaler peut se bloquer en raison de fichiers journaux exceptionnellement volumineux. Par exemple, si le niveau de journalisation est défini sur DEBUG pour surveiller les journaux d’établissement de contacts SSL, la taille du fichier journal augmente considérablement car le fichier inclut également les journaux de débogage détaillés des autres modules. Vous pouvez obtenir les journaux de débogage SSL en réglant le niveau de journalisation sur INFO à l’aide du bouton « nsapimgr ». Par conséquent, la taille du fichier journal est également réduite.

[NSSSL-13206]
NetScaler peut se bloquer lors de la suppression du groupe de certificats CA par défaut si NetScaler utilise beaucoup de mémoire et si la configuration est fréquemment effacée.

[NSHELP-35441]
Le trafic DTLS sur NetScaler peut entraîner une accumulation importante de mémoire, car la mémoire n’est pas correctement libérée lors de la gestion d’un vol de liaison retransmis par un client.

[NSHELP-35359, NSCXLCM-999, NSCXLCM-1968, NSCXLCM-2405, NSCXLCM-2482]
Sur un NetScaler MPX/SDX 14000 FIPS fonctionnant en mode hybride, la mémoire des clés peut être réinitialisée après la réception de données corrompues dans le cadre d’un échange de clés.

[NSHELP-35020]
Le téléchargement peut échouer lorsque l’application cliente télécharge un fichier volumineux avec rembourrage via une connexion SSL TLS1.3. L’échec se produit parce que la mémoire tampon de réception TCP est pleine car les octets remplis ne sont pas libérés de la mémoire tampon de réception.

[NSHELP-34490]
Une appliance NetScaler contenant des puces Intel Coleto ou Intel Lewisburg peut se bloquer si le chiffrement DH 512 est utilisé lors de l’échange de clés.

[NSHELP-34094]
Sur les plateformes NetScaler contenant des puces Coleto, la renégociation SSL échoue lorsque la taille du message de poignée de main est supérieure à la taille quantique.

[NSHELP-33924]
Vous pouvez subir un impact momentané sur les performances en cas de trafic intense si la taille totale des certificats client, serveur et CA échangés lors d’une liaison SSL dépasse la limite de 16 000.

[NSHELP-33905]
Dans un déploiement NetScaler avec un serveur virtuel SSL_TCP (frontal) et un service TCP (back-end), la demande du client peut échouer par intermittence. L’échec se produit parce que NetScaler transmet le message d’accueil du client SSL reçu sur le front-end, mais le back-end n’est pas en mesure de le traiter et la demande échoue.

[NSHELP-32806]
Les clients TLS basés sur OpenSSL 3.x mettent fin à une connexion prématurément, à moins que le serveur n’accuse réception de l’annonce du client concernant la prise en charge de la RFC 5746 (Renegotiation Indication Extension or Secure Renegotiation). Les serveurs virtuels frontaux ignorent cette publicité lorsque la renégociation est désactivée, ce qui entraîne des échecs de connexion. Grâce à ce correctif, les serveurs virtuels frontaux reconnaissent désormais la publicité même lorsque la renégociation est désactivée, ce qui améliore la compatibilité.

[NSHELP-35120]

System

Dans une connexion TLS HTTP/2, NetScaler n’envoie pas le message HTTP/2 Goaway lorsqu’un message de notification de fermeture TLS est reçu sans indicateur TCP FIN préalable.

[ NSHELP-36248 ]
NetScaler peut envoyer des réponses incorrectes lorsque les fonctionnalités AppFlow et HTTP Compression sont activées.

[NSHELP-35862]
Lorsque NetScaler reçoit une requête HTTP CONNECT sur une connexion TCP client, il ne réutilise pas la connexion TCP précédente au serveur sur laquelle une réponse HTTP « Authentification proxy 407 requise » est déjà envoyée. NetScaler transmet plutôt la requête HTTP CONNECT via une nouvelle connexion TCP au serveur principal. Le transfert de la demande sur une nouvelle connexion TCP rompt les protocoles d’authentification par proxy tels que NTLM, qui nécessitent l’échange de plusieurs messages d’authentification HTTP sur la même connexion TCP.

[NSHELP-35717, NSCXLCM-1514, NSCXLCM-1835, NSCXLCM-1910]
Dans de rares cas, NetScaler peut se bloquer lorsque la fonctionnalité d’optimisation du front end (FEO) est activée.

[NSHELP-34861]
NetScaler peut arrêter le transfert de données si les conditions suivantes sont remplies :
- Plusieurs fonctionnalités sont activées.
- Plusieurs fonctionnalités tentent de supprimer la même partie de la charge utile TCP ou HTTP.
[NSHELP-33793, NSCXLCM-1512, NSCXLCM-1954]
Lorsque le serveur principal envoie une erreur 464 pour une requête HTTP, NetScaler ne la transmet pas au client et, par conséquent, la connexion côté client est bloquée.

[NSHELP-33571, NSCXLCM-1098]
NetScaler peut bloquer le transfert de données sur une connexion HTTP/2 lorsqu’une fonctionnalité HTTP tente de mettre en mémoire tampon une grande quantité de données d’application.

[NSHELP-32612]
L’appliance NetScaler configurée avec un service SSL se bloque lorsqu’elle reçoit un paquet de contrôle TCP FIN suivi d’un paquet de contrôle TCP RESET.

[NSHELP-31656]

Interface utilisateur

Dans une configuration HA, même si vous disposez de certificats SSL uniques pour l’adresse NSIP des nœuds principal et secondaire, le certificat du nœud secondaire est remplacé par le certificat du nœud principal.

[ NSHELP-35938 ]
Dans l’interface graphique de NetScaler, lorsque vous modifiez un serveur virtuel GSLB, la section de stratégie n’est pas répertoriée sur la page du serveur virtuel GSLB après avoir lié une stratégie d’équilibrage de charge au serveur virtuel .

[NSHELP-35899]
Les paramètres de chiffrement d’un serveur virtuel d’équilibrage de charge de type DTLS ne peuvent pas être configurés à l’aide de l’interface graphique lorsque le profil SSL par défaut est activé.

[NSHELP-35704]
Lorsque vous forcez la synchronisation d’une configuration GSLB à l’aide de l’interface de ligne de commande ou de l’interface graphique, la synchronisation échoue et le message suivant apparaît. « Certaines commandes ont échoué ».

Ce problème se produit si la configuration utilise les commandes globales bind DNS.

[ NSHELP-35699 ]
Certaines configurations intégrées ne sont pas disponibles lors de la création d’une instance NetScaler ADC.

[NSHELP-33451, NSCXLCM-502]
Dans l’interface graphique de NetScaler, l’authentification nFactor échoue et l’erreur « Aucune stratégie active lors de l’authentification » apparaît. Ce problème se produit lorsqu’une action d’affectation est configurée mais n’est pas liée à une stratégie d’authentification.

[NSHELP-33339]

Problèmes connus

Les problèmes qui existent dans les versions 13.1-50.23.

Infrastructure d’analyse

Dans un déploiement de cluster, si vous exécutez une commande « force cluster sync » sur un nœud autre que CCO, le fichier ns.log contient des entrées de journal dupliquées.

[NSANINFRA-2850, NSGI-1293]
Lorsque vous installez NetScaler ADM sur un cluster Kubernetes, cela ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

Solution : redémarrez le module Gestion.

[ NSANINFRA-1504 ]

Authentification, autorisation et audit

Après une mise à niveau de Citrix SSO pour iOS, les notifications push que vous recevez à des fins d’authentification peuvent ne pas être accompagnées d’un son.

[ NSHELP-27525 ]
Les administrateurs ne peuvent pas effectuer de journalisation personnalisée pour les échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies du répondeur NetScaler ne détectent pas les erreurs liées aux échecs de connexion.

[ NSAUTH-11151 ]
Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante. show adfsproxyprofile <profile name>

Solution : connectez-vous au NetScaler actif principal du cluster et exécutez la show adfsproxyprofile <profile name>commande. Il afficherait l’état du profil proxy.

[ NSAUTH-5916 ]
La page Configurer le serveur LDAP d’authentification sur l’interface graphique de NetScaler ne répond plus si vous suivez les étapes suivantes :
- L’option Tester l’accessibilité LDAP est ouverte.
- Les informations d’identification de connexion non valides sont renseignées et envoyées.
- Les identifiants de connexion valides sont renseignés et envoyés.
Solution : fermez et ouvrez l’option Tester l’accessibilité LDAP.

[ NSAUTH-2147 ]

Équilibrage de charge

Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

[ NSLB-7679 ]
Le NetScaler peut se bloquer en raison d’un problème de synchronisation entre la récupération des enregistrements limitant le débit et le processus de vieillissement des enregistrements.

[NSHELP-33349]
NetScaler peut se bloquer en cas d’échec de la sonde de surveillance pour quelques serveurs virtuels internes.

[NSHELP-30985]
La sonde de surveillance échoue lorsqu’un utilisateur lie et dissocie un serveur basé sur un domaine à un groupe de services.

[ NSHELP-29330 ]
Des enregistrements CNAME supplémentaires apparaissent dans la configuration en cours lorsque vous effectuez les étapes suivantes à l’aide de l’interface graphique de NetScaler :
1. Créez un serveur virtuel GSLB avec un enregistrement DNS de type CNAME
2. Configuration d’un enregistrement DNS de type CNAME
3. Enregistrez la configuration
Ce problème est esthétique et n’affecte pas les fonctionnalités.

[NSHELP-29217]
Le format ServiceGroupName utilisé dans le entityofs piège pour le groupe de services est le suivant : <service(group)name>?<ip/DBS>?<port>

Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (« ? ») est utilisé comme séparateur. NetScaler envoie l’interruption avec le point d’interrogation (« ? »). Le format apparaît de la même manière dans l’interface graphique de NetScaler ADM. C’est le comportement attendu.

[ NSHELP-28080 ]

NetScaler Gateway

NetScaler se bloque si toutes les conditions suivantes sont réunies :
- Le serveur virtuel VPN est configuré avec une adresse IPv6.
- Seules les adresses IIP IPv4 (aucune adresse IIP IPv6) sont configurées sur le serveur virtuel IPv6.
[NSHELP-35559]
Après une mise à niveau, il peut arriver que l’interface graphique de NetScaler ne soit pas accessible via HTTP si vous êtes connecté à un VPN via NetScaler Gateway.

[NSHELP-35015]
Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

[ NSHELP-21897 ]
L’option du système d’exploitation Windows ne figure pas dans la liste déroulante Expression Editor pour les stratégies de pré-authentification et les actions d’authentification sur l’interface graphique de NetScaler. Toutefois, si vous avez déjà configuré l’analyse du système d’exploitation Windows sur une version précédente de NetScaler à l’aide de l’interface graphique ou de l’interface de ligne de commande, la mise à niveau n’a aucune incidence sur les fonctionnalités. Vous pouvez utiliser l’interface de ligne de commande pour apporter des modifications, si nécessaire.

Solution :

Utilisez les commandes CLI pour la configuration.
- Pour configurer l’action EPA avancée dans l’authentification nFactor, utilisez la commande suivante. add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
- Pour configurer une action de pré-authentification classique, utilisez les commandes suivantes. add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[CGOP-22966]
Pour utiliser la fonctionnalité Always On VPN avant de se connecter à Windows, il est recommandé de mettre à niveau votre NetScaler Gateway vers la version 13.0 ou ultérieure. Cela vous permet d’utiliser les améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

[ CGOP-19355 ]
Un message d’erreur s’affiche lorsque vous ajoutez ou modifiez une stratégie de session depuis l’interface graphique de NetScaler.

[ CGOP-11830 ]
Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique . De plus, la page ne répond plus.

[ CGOP-7269 ]

NetScaler Secure Web Gateway

Une appliance NetScaler peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

[ NSHELP-22409 ]

Réseau

Lorsque vous mettez à niveau le NetScaler BLX, le package nitro-python peut ne pas être mis à jour. Par conséquent, l’erreur suivante peut apparaître lors de la mise à niveau :

“tar: /var/netscaler/nitro/ns_nitro-python_artesa_xx_xx.tar: Not found in archive”

Solution :

Vous devez exécuter la commande « rm -rf /var/netscaler/nitro/ns_nitro-python_ *.tar » avant de mettre à niveau le NetScaler BLX.

[ NSNET-27927 ]
Dans une appliance NetScaler BLX compatible DPDK, les VLAN balisés ne sont pas pris en charge pour les ports NIC Intel i350 DPDK. Ceci est observé car il s’agit d’un problème connu présent sur le pilote DPDK.

[NSNET-25299]
Une appliance NetScaler BLX avec DPDK peut ne pas redémarrer si toutes les conditions suivantes sont remplies :
- L’appliance NetScaler BLX est dotée d’un faible nombre de « pages volumineuses ». Par exemple, 1G.
- L’appliance NetScaler BLX est affectée à un nombre élevé de processus de travail. Par exemple, 28.
Le problème est enregistré sous forme de message d’erreur dans « /var/log/ns.log » :
- « BLX-DPDK:DPDK Mempool n’a pas pu être initialisé pour PE-x »
Remarque : x est un nombre <= nombre de processus de travail.

Solution : allouez un grand nombre de « pages volumineuses », puis redémarrez l’appliance.

[ NSNET-25173 ]
Le redémarrage d’une appliance NetScaler BLX en mode DPDK peut prendre un peu plus de temps en raison de la fonctionnalité de simplicité de DPDK.

[ NSNET-24449 ]
Les opérations d’interface suivantes ne sont pas prises en charge pour les X710 10G (i40e) interfaces Intel sur une appliance NetScaler BLX avec DPDK :
- Désactiver
- Activer
- Reset
[ NSNET-16559 ]
L’installation d’une appliance NetScaler BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et versions ultérieures) avec l’erreur de dépendance suivante :

“The following packages have unmet dependencies: blx-core-libs: i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable”

Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance NetScaler BLX :
- dpkg –add-architecture i386
- apt-get update
- apt-get install libc6:i386
[NSNET-14602]
Dans certains cas de connexions de données FTP, l’appliance NetScaler effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

[NSNET-5233]
Lorsque vous configurez NetScaler BLX avec la prise en charge DPDK, NetScaler BLX peut ne pas détecter les ports de carte réseau compatibles avec DPDK dans certaines versions du microprogramme de la carte réseau. Par conséquent, les ports NIC sont ajoutés en tant que ports non DPDK au NetScaler BLX.

[ NSHELP-36290 ]
Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance NetScaler, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

[ NSHELP-21082 ]

Plateforme

Lorsque vous mettez à niveau le logiciel vers les versions 14.1-8.x et versions ultérieures ou 13.1-50.x et versions ultérieures, les interfaces 25G dotées d’un émetteur-récepteur SFP 1G en cuivre ne parviennent pas à se connecter au commutateur distant ou au périphérique réseau.

Ce problème se produit sur les plates-formes suivantes dotées de cartes réseau 25G :
- SDX 9100
- SDX 15000
- SDX 16000
- SDX 26000
- SDX 26000-50S
[NSPLAT-27864]
Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance NetScaler. Utilisez la commande « rm cloudprofile » pour supprimer le profil.

[NSPLAT-4520]
Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche. Solution : sautez l’écran et connectez-vous au nœud principal pour créer le profil cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

[NSPLAT-4451]
Si le NetScaler SDX secondaire d’une configuration HA est configuré avec un cœur de processeur partagé et que les pulsations HA sont échangées via un VLAN, il tente sans succès de passer au nœud principal.

[NSHELP-32412, NSCXLCM-789, NSCXLCM-1847, NSCXLCM-2063, NSHELP-36440]

Stratégies

Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données qui doivent être traitées.

[ NSPOLICY-1267 ]

SSL

Sur un cluster hétérogène d’appliances NetScaler SDX 22000 et NetScaler SDX 26000, il y a une perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

Solution :
1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
2. Enregistrez la configuration.
[NSSSL-9572]
Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

[NSSSL-6478]
Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance NetScaler ne renvoie aucune erreur.

[NSSSL-6213]
Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM. ERREUR : actualisation des crl désactivée

[NSSSL-6106]
L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

[NSSSL-4427]
Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

[NSSSL-4001]
Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

[NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

Un RTT élevé est observé pour une connexion TCP si les conditions suivantes sont remplies :
- une fenêtre de congestion maximale élevée (> 4 Mo) est définie
- L’algorithme TCP NILE est activé
Pour qu’une appliance NetScaler utilise l’algorithme NILE pour le contrôle de la congestion, les conditions doivent dépasser le seuil de démarrage lent, qui est associé à la fenêtre de congestion maximale

Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, NetScaler continue d’accepter des données et se retrouve avec un RTT élevé.

[NSHELP-31548]
Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

[ NSBASE-18295 ]
NetScaler peut vider le noyau lorsque vous utilisez la commande unset nstcpprofile pour annuler les paramètres du profil TCP.

Solution : utilisez plutôt la commande set nstcpprofile avec la valeur de paramètre souhaitée.

[NSBASE-18724]
Dans de rares cas, NetScaler peut lancer une trame GoAway HTTP/2 avec une erreur interne sur une connexion client HTTP/2 si toutes les conditions suivantes sont remplies :
- Le client ou le serveur principal essaie de fermer le dernier flux WebSocket ou Connect sur la connexion HTTP/2 du client.
- Le multiplexage est activé.
L’erreur n’a aucun impact sur les transactions en cours sur la connexion HTTP/2 du client.

Solution : désactivez le multiplexage des connexions pour le profil HTTP/2 associé à l’aide de la commande suivante :

“set httpProfile <name> [-conMultiplex ( ENABLED DISABLED )]”

[NSBASE-17449]
L’IP du client et l’IP du serveur sont inversées dans l’enregistrement HDX Insight SkipFlow lorsque le type de transport LogStream est configuré pour Insight.

[ NSBASE-8506 ]

Interface utilisateur

Vous ne pouvez pas télécharger le bundle de support technique sur le serveur de support technique Citrix à l’aide de l’interface graphique.

Solution : utilisez l’interface de ligne de commande pour télécharger le pack de support technique.

[NSUI-19315]
Dans l’interface graphique de NetScaler, le lien « Aide » présent sous l’onglet « Tableau de bord » est cassé.

[NSUI-14752]
L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

[NSUI-13024]
Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

[NSUI-6838]
Vous ne pouvez pas accéder à la page de mise à niveau du système via l’interface graphique ou SSH après avoir mis à niveau NetScaler à l’aide de l’interface graphique.

[NSHELP-35785]
Les utilisateurs risquent de ne pas se connecter à l’appliance NetScaler rétrogradée si la séquence de conditions suivante est remplie :
1. Vous devez effectuer l’une des étapes suivantes :
  - Après la mise à niveau vers la version actuelle, vous ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis vous enregistrez la configuration.
  - Provisionnez une nouvelle instance NetScaler VPX, BLX ou CPX avec la version actuelle.
2. Rétrogradez l’appliance vers l’une des versions suivantes :
  - 13.1-4.x
  - 13.0-82.x ou version antérieure
  - 12.1-62.x ou version antérieure
Pour consulter la liste des utilisateurs concernés après la rétrogradation, tapez à l’invite de commande : query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>] Solution : réinitialisez le mot de passe des utilisateurs concernés. Pour plus d’informations, consultez Comment réinitialiser le mot de passe de l’administrateur root (nsroot). Remarque : Si vous rétrogradez une version précédemment mise à niveau, utilisez le fichier de configuration sauvegardé (ns.conf) de la version précédente pour éviter ce problème lors de la rétrogradation.

[NSCONFIG-8068]
Les utilisateurs risquent de ne pas se connecter à l’appliance NetScaler rétrogradée si la séquence de conditions suivante est remplie :
1. Vous devez effectuer l’une des étapes suivantes :
  - Après la mise à niveau vers la version actuelle, vous ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis vous enregistrez la configuration.
  - Provisionnez une nouvelle instance VPX, BLX ou CPX avec la version actuelle.
2. Rétrogradez l’appliance vers l’une des versions suivantes :
  - 13.0-47.x ou version antérieure
  - 12.1-56.x ou version antérieure
  - 11.1-64.x ou version antérieure
Pour afficher la liste des utilisateurs concernés après la rétrogradation, à l’invite de commande, tapez :

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solution : réinitialisez le mot de passe des utilisateurs concernés. Pour plus d’informations, consultez Comment réinitialiser le mot de passe de l’administrateur root (nsroot).

Remarque : Si vous rétrogradez une version précédemment mise à niveau, utilisez le fichier de configuration sauvegardé (ns.conf) de la version précédente lors de la rétrogradation pour éviter ce problème.

[NSCONFIG-3188]

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Notes de publication pour NetScaler 13.1-50.23 Build

February 13, 2024

Contributeur:

February 13, 2024

Contributeur: