ADC

Notes de mise à jour pour la version 13.1-52.19 de NetScaler

April 15, 2024

Contributeur:

Ce document de notes de version décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 13.1-52.19 de NetScaler.

Remarques

Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Nouveautés

Améliorations et modifications disponibles dans la version 13.1-52.19.

NetScaler Secure Web Gateway

Obsolète de la catégorisation des URL dans la fonction de filtrage des URL

La catégorisation des URL dans la fonction de filtrage des URL est obsolète dans cette version.

Remarque : Les fonctionnalités obsolètes ne sont pas supprimées immédiatement. NetScaler continue de conserver cette fonctionnalité obsolète jusqu’à ce qu’elle soit supprimée dans une version ultérieure.

[NSSWG-1370]

Plateforme

Support pour les nouvelles régions AWS

NetScaler prend désormais en charge les régions AWS d’Hyderabad et de Jakarta. Pour plus d’informations, consultez la matrice de support AWS-VPX.

[ NSPLAT-28073 ]
Prise en charge de la mise à jour 2 de VMware ESX 8.0 sur NetScaler VPX

NetScaler VPX prend désormais en charge la mise à jour 2 de VMware ESX 8.0 (build 22380479). Pour plus d’informations, consultez la matrice de support et les directives d’utilisation.

[TRANSLAT-27755]
Prise en charge de l’augmentation de l’espace disque principal sur NetScaler VPX

L’espace disque principal de NetScaler VPX peut désormais être augmenté dynamiquement de 20 Go à 1 To à la fois. Pour augmenter l’espace disque, étendez le disque principal d’au moins 1 Go dans l’interface utilisateur du cloud ou de l’hyperviseur correspondante.

[TRANSLAT-27622]
Prise en charge du type d’instance AWS R7iZ

NetScaler VPX sur le cloud AWS prend désormais en charge le type d’instance R7iZ. Pour plus d’informations, consultez la matrice de support AWS-VPX.

[TRANSLAT-26632]

SSL

Soutenir les opérations de mise à jour sur les ensembles de certificats

Les opérations de mise à jour sont désormais prises en charge sur les ensembles de certificats. Vous pouvez désormais mettre à jour directement un ensemble de certificats. Auparavant, vous deviez d’abord dissocier et supprimer un ensemble de certificats, puis ajouter et lier un ensemble de certificats.

[NSSSL-12613]

Interface utilisateur

API NetScaler Next-Gen (aperçu technique)

L’API NetScaler Next-Gen est une API avancée et robuste RESTful qui vous permet de configurer l’appliance NetScaler par programmation de manière simple et conviviale. L’API est basée sur une interface déclarative, à l’état souhaité et centrée sur l’application.

L’API vise à supprimer et à simplifier de nombreuses complexités de bas niveau des configurations NetScaler traditionnelles. Ces fonctionnalités d’API la rendent plus adaptée aux développeurs d’applications qui ne sont pas des experts en réseaux ou qui ne sont pas des experts de NetScaler.

Le concept de base de l’API Next-Gen est l’application. Tous les éléments de configuration liés à la même application sont regroupés, ce qui permet d’appliquer les modifications de manière atomique facilement et en toute sécurité.

Actuellement, les fonctionnalités ci-dessous sont prises en charge par l’API Next-Gen :
1. Commutation de contenu (protocoles HTTP, HTTPs)
2. Équilibrage de charge (protocoles HTTP, HTTPs)
3. Déchargement SSL
4. Redirection HTTP, répondeur HTTP
5. Contrôles de santé du serveur
[NSCONFIG-8040]

Problèmes résolus

Les problèmes résolus dans la version 13.1-52.19.

Infrastructure d’analyse

Lorsqu’une politique Syslog avancée est liée à Syslog Global, certains messages relatifs au SSLVPN n’apparaissent pas dans le fichier ns.log :
- CONNEXION SSLVPN
- DÉCONNEXION SSLVPN
[NSHELP-37051]
Si vous activez l’analyse sur NetScaler configuré avec des partitions d’administration, il est possible que vous observiez une fuite de mémoire sur NetScaler.

[NSHELP-36584]
NetScaler peut se bloquer lorsque toutes les conditions suivantes sont remplies :
- Un service interne de NetScaler gère la demande de mise à jour du compteur depuis SNMP et le processus de configuration claire est en cours simultanément.
- L’utilisation du processeur est accrue.
- La requête initiée par SNMP concernant une partition est supprimée.
[NSHELP-36400]
Après la mise à niveau de NetScaler vers la version 13.1 49.x, une utilisation élevée du processeur est observée.

[NSHELP-36389, NSCXLCM-3856]

Authentification, autorisation et audit

Dans une configuration de haute disponibilité, si l’action d’IdP SAML et le profil d’IdP SAML sont configurés avec l’URL des métadonnées, NetScaler peut se bloquer si l’une des conditions suivantes est remplie :
- Lors d’un basculement HA.
- Lorsque l’action SAML et le profil IDP SAML sont supprimés.
- Les deux ci-dessus.
[NSHELP-36573]
L’authentification unique peut échouer lorsque le profil SSO SAML ou le profil IdP SAML utilisent des expressions de politique personnalisées.

[NSHELP-36412, NSCXLCM-626]
NetScaler configuré avec la réinitialisation des mots de passe en libre-service peut se bloquer si la réponse du serveur LDAP est retardée.

[NSHELP-35586]
Dans une configuration HA, les utilisateurs redémarrent fréquemment les instances NetScaler secondaires en raison de fuites de mémoire.

[NSHELP-28659]

Gestion des bots

Certains bons robots sont supprimés tandis que d’autres mauvais robots sont autorisés, ce qui entraîne des faux positifs. Ce problème se produit lorsque le fichier de signature AWS est mis à jour avec une action incorrecte pour quelques signatures de robots au cours du processus de mise à jour automatique.

[NSBOT-1121]

Équilibrage de charge

Un serveur virtuel d’équilibrage de charge réinitialise la connexion lorsqu’un service de type protocole MQTT version 5 lui est lié et envoie une requête avec un niveau de QoS 1.

[NSHELP-37134]
Dans la configuration d’une partition d’administration, vous remarquerez peut-être une utilisation élevée du processeur lors du processus de synchronisation automatique, que la configuration GSLB (Global Server Load Balancing) soit présente ou non. Ce problème se produit généralement lorsqu’un grand nombre de partitions sont configurées.

[NSHELP-37015, NSCXLCM-3207]
Un serveur virtuel d’équilibrage de charge configuré avec le type de port ANY peut ne pas répondre aux demandes si un groupe de services comprenant quatre serveurs IPv6 ou plus y est lié.

[NSHELP-36498]
Dans de rares cas, NetScaler peut répondre à une requête de domaine GSLB avec une adresse IP incorrecte. Ce problème se produit lorsque les groupes de services GSLB à mise à l’échelle automatique basés sur le DNS sont liés au serveur virtuel GSLB.

[NSHELP-36393]
Vous pouvez observer une utilisation élevée du processeur lorsque le démon d’auto-guérison se bloque en raison d’autorisations IAM manquantes et qu’il est redémarré toutes les 10 minutes dans le back-end.

[NSHELP-36220]
Dans une configuration de haute disponibilité, NetScaler peut répondre à une requête de domaine GSLB avec une adresse IP incorrecte lorsque les groupes de services GSLB basés sur le DNS sont liés au serveur virtuel GSLB. Ce problème se produit après un basculement.

[NSHELP-35633]
NetScaler peut se bloquer lorsqu’une adresse IP est supprimée alors qu’elle est liée à un domaine. Ce problème est dû à un TTL faible, qui crée une situation de concurrence entre le moment de la liaison de l’adresse IP et celui de sa suppression.

[NSHELP-34546]
Le NetScaler peut se bloquer en raison d’un problème de synchronisation entre la récupération des enregistrements limitant le débit et le processus de vieillissement des enregistrements.

[NSHELP-33349]
NetScaler peut se bloquer en cas d’échec de la sonde de surveillance pour quelques serveurs virtuels internes.

[NSHELP-30985]

Divers

En mode HA, l’instance NetScaler secondaire se bloque lors du traitement des paquets ICA.

[NSHELP-37256, NSCXLCM-3410, NSCXLCM-3573]
Après une mise à niveau, NetScaler en mode HA se bloque lorsque AppFlow est activé.

[NSHELP-37142, NSCXLCM-3613]
Les utilisateurs ne peuvent pas lancer de sessions ICA via UDP lorsque le routage basé sur des règles est configuré sur NetScaler Gateway.

[NSHELP-36448]
Après une mise à niveau, les utilisateurs ne peuvent pas télécharger le fichier de configuration de NetScaler Gateway depuis StoreFront.

[NSHELP-36322]

NetScaler Gateway

Les pages Web accessibles depuis le portail NetScaler Gateway contiennent le protocole HTTP dans l’URL. Avec ce correctif, HTTP est remplacé par HTTPS dans les URL des pages Web accessibles depuis NetScaler Gateway.

[NSHELP-36832]
NetScaler affiche les messages Syslog sur plusieurs lignes en raison de la présence de chaînes redondantes.

[NSHELP-36775]
Dans l’interface graphique de NetScaler (Configuration > Système > Authentification), la section Stratégies avancées est absente pour les utilisateurs possédant une licence NetScaler Gateway.

[NSHELP-36762]
Après une mise à niveau, les paramètres proxy de NetScaler Gateway ne fonctionnent pas en mode VPN complet.

[NSHELP-35853]
Certaines applications intranet ne sont pas accessibles lorsqu’une action de changement de contenu contient un serveur virtuel d’authentification ou un serveur virtuel VPN comme serveur virtuel cible.

[NSHELP-35582]
Après une mise à niveau, le volet de navigation de l’interface graphique de NetScaler n’affiche pas les fonctionnalités de la section « Sécurité » lorsque l’option « Configuration > Afficher les fonctionnalités sans licence » est sélectionnée.

[COP-25521]

Appliance NetScaler SDX

L’authentification auprès du serveur LDAP externe peut échouer après la mise à niveau du service de gestion.

[NSHELP-36455, NSHELP-36842]

Web App Firewall NetScaler

Les détails de configuration affichés sont incorrects lorsque vous exécutez la commande show après avoir ajouté une liste de contournement et de refus au profil Web App Firewall.

[NSHELP-37079]
Le Web App Firewall peut toujours bloquer le trafic d’un ID de signature qui a été supprimé du fichier de signature personnalisé lors du processus de mise à jour automatique. Ce problème se produit car le processus de mise à jour automatique ne parvient pas à envoyer le fichier objet de signature personnalisé mis à jour vers le moteur de paquets lorsque sa version correspond à la version par défaut du fichier de signature.

[NSHELP-37008]
NetScaler peut se bloquer lorsque le contrôle de protection par injection de commandes prend plus de temps que prévu pour effectuer le contrôle de protection par injection de commandes.

[NSHELP-36343, NSCXLCM-2189]

Réseau

Le trafic non TCP vers l’adresse IPv6 du NSIP (NSIP6) peut échouer en raison d’un grand nombre de fuites de ports.

[NSHELP-36764]
Dans une configuration NAT à grande échelle (LSN), NetScaler peut se bloquer en raison d’un problème interne lié à la gestion des files d’attente LSN.

[NSHELP-36605]
Lorsque vous activez le paramètre tcpproxy dans la configuration RNAT, NetScaler peut utiliser les SNiP qui ne sont pas spécifiés dans l’ensemble d’adresses IP et le profil réseau comme adresse IP source pour les communications dorsales.

[NSHELP-36562, NSCXLCM-2223]
Dans une configuration NAT (LSN) à grande échelle, l’appliance NetScaler peut se bloquer en cas de décalage interne entre le nombre de connexions frontales et dorsales LSN.

[ NSHELP-36391 ]
NetScaler peut se bloquer en raison d’une incohérence dans la gestion du nombre de références de session.

[NSHELP-36379]
Dans une configuration NAT (LSN) à grande échelle, l’appliance NetScaler peut se bloquer en raison d’une opération de codage de bits incorrecte.

[ NSHELP-36124 ]
Dans une configuration de haute disponibilité, si le paramètre tag-all est activé, les paquets HA sont envoyés avec la balise VLAN. Si la configuration synchronisée n’est pas appliquée au nœud secondaire dans l’intervalle mort HA configuré (la valeur par défaut est de 3 secondes), cela peut entraîner un scénario de split-brain dans lequel les nœuds principal et secondaire tentent de revendiquer le statut principal.

[NSHELP-35628]
Le BGP n’a pas pu installer les routes par défaut après le redémarrage de NetScaler en raison d’un retard dans les événements de l’interface réseau de la carte réseau.

[NSHELP-30262]

Plateforme

Lorsque la configuration de l’interface est désactivée, le laser Tx peut ne pas être éteint après le redémarrage de l’appliance.

[NSPLAT-28484, NSHELP-35272]
Lorsque vous activez l’hôte géré NetScaler BLX, toutes les adresses IP configurées sur l’hôte ne sont pas ajoutées à NetScaler BLX.

[NSLINUX-1044]
Lorsque vous mettez à niveau le NetScaler BLX, le package nitro-python peut ne pas être mis à jour. Par conséquent, l’erreur suivante peut apparaître lors de la mise à niveau :

“tar: /var/netscaler/nitro/ns_nitro-python_artesa_xx_xx.tar: Not found in archive”

[NSLINUX-1008]
En mode dédié, NetScaler BLX utilise les ports 9080 et 9443 comme ports de gestion par défaut pour HTTP et HTTPS au lieu des ports 80 et 443.

[NSLINUX-977]
NetScaler VPX sur les plates-formes KVM équipées de cartes réseau VirtIO peut signaler un blocage Tx lorsqu’il fonctionne en mode PE unique.

[NSHELP-37106]
Sur NetScaler SDX avec des cartes réseau Intel Fortville, la vitesse de l’interface n’est pas mise à jour dans l’instance VPX lorsque le changement de vitesse de la carte réseau physique se produit quelques secondes après le passage à l’état UP de la liaison.

[NSHELP-36361]
Sur NetScaler SDX avec des cartes d’interface réseau Intel Fortville, l’utilisation du processeur de gestion par une instance VPX augmente de 1 % pour chaque interface Fortville ajoutée à l’instance VPX.

[NSHELP-35445, NSCXLCM-768]
NetScaler VPX sur la plate-forme SDX peut se bloquer en cas de trafic intense.

[NSHELP-34775]

Stratégies

Des erreurs peuvent survenir lors de la mise à niveau de NetScaler si les liaisons CMP classiques intégrées par défaut sont présentes dans le fichier ns.conf.

[ NSPOLICY-5562 ]

SSL

Configurer le délai d’expiration DTLS pour retransmettre le dernier paquet depuis NetScaler Dans un déploiement DTLS, vous pouvez désormais configurer la valeur de temporisation initiale pour retransmettre le dernier paquet depuis NetScaler
. Vous pouvez sélectionner entre 1 seconde et 3 secondes avec la valeur par défaut définie sur 3 secondes.

Auparavant, 3 secondes étaient codées en dur alors que la RFC recommandait 1 seconde.

[NSSSL-8868]
Une instance VPX sur SDX FIPS 14000 peut se bloquer en raison d’une possible corruption de la mémoire, si elle est configurée avec des contextes SSL (sessions) supérieurs à 250 K.

[NSHELP-36503, NSSVM-6019, NSCXLCM-1759, NSCXLCM-3465]

System

La valeur du compteur SI_TOT_ResponseBytes pour les services est beaucoup plus élevée que la taille de réponse réelle sur le serveur virtuel. Cette situation est due à une réorganisation des paquets ou à une perte de paquets sur le réseau entre NetScaler et le serveur.

[NSHELP-36743]
NetScaler peut se bloquer lorsqu’il tente de libérer un segment de mémoire déjà libéré. Ce problème se produit lors de la gestion des données du protocole proxy sur un serveur virtuel d’équilibrage de charge TCP lié à une politique de répondeur dont l’action est définie sur RESET.

[NSHELP-36729, NSCXLCM-2733, NSHELP-37102]
Lorsque vous exécutez la commande start nstrace -nodes <nodeId> dans un déploiement de cluster, un traçage réseau est effectué sur chaque nœud. Cependant, le comportement attendu est de capturer la trace du réseau uniquement sur les nœuds spécifiés et sur le coordinateur du cluster.

[NSHELP-36489]
Les requêtes gRPC envoyées au client (VIP) échouent si la taille de la fenêtre pour HTTP/2 est inférieure au message de réponse gRPC de NetScaler.

[NSHELP-36335]
Côté client, les pages HTML peuvent parfois ne pas se charger lorsque Analytics (mesures côté client dans AppFlow) est activé sur NetScaler Console.

[NSHELP-36318]
NetScaler supprime les paquets SYN qui répondent à toutes les conditions suivantes :
- Porte un numéro de séquence plus ancien
- L’option d’horodatage est activée
- Correspond au tuple 4 (IP source, port source, IP de destination et port de destination) de la connexion existante qui est à l’état TIME_WAIT.
Les paquets SYN étant supprimés, vous êtes invité à établir à nouveau la connexion à l’aide d’un autre port source.

[NSHELP-35867]
NetScaler peut vider le noyau lorsque vous utilisez la commande unset nstcpprofile pour annuler les paramètres du profil TCP.

[NSBASE-18724]

Interface utilisateur

Vous ne pouvez pas créer un ensemble de données au format CIDR IPv4 à l’aide de l’interface graphique NetScaler.

[NSHELP-36659]
Si le mot de passe d’un compte utilisateur expire sur le serveur TACACS, la connexion à l’aide du même compte utilisateur risque de ne pas fonctionner.

Assurez-vous que les mots de passe de tous les comptes utilisateurs sont mis à jour au plus tard à leur expiration.

[NSHELP-36453, NSCXLCM-2312]
L’interface graphique de NetScaler ne répond pas correctement lors de la configuration de l’exportation des données vers Splunk via l’interface graphique.

[ NSHELP-36334 ]
Vous ne pouvez pas accéder à la page de mise à niveau du système via l’interface graphique ou SSH après avoir mis à niveau NetScaler à l’aide de l’interface graphique.

[NSHELP-35785]
L’interface graphique NetScaler met plus de temps que d’habitude à afficher les enregistrements DNS, et une utilisation élevée du processeur peut également être observée. Ce problème se produit lorsque le nombre d’enregistrements mis en cache par proxy DNS est élevé.

[NSHELP-34788]
Dans une configuration à haute disponibilité configurée avec un grand nombre (des milliers) de certificats SSL, la synchronisation de la configuration peut prendre plus de temps que d’habitude. Par conséquent, il est possible que l’état de synchronisation soit en cours pendant une longue période.

[NSHELP-32959, NSCXLCM-1752, NSCXLCM-1989, NSHELP-35003]

Problèmes connus

Les problèmes qui existent dans les versions 13.1-52.19.

Infrastructure d’analyse

Lorsque vous installez NetScaler ADM sur un cluster Kubernetes, cela ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

Solution : redémarrez le module Gestion.

[ NSANINFRA-1504 ]

Authentification, autorisation et audit

NetScaler se bloque dans les scénarios suivants :
- Si une action SAML configurée avec une URL de métadonnées est modifiée.
- Si une action SAML configurée avec une URL de déconnexion et une URL de métadonnées est enregistrée et que NetScaler est redémarré. Ce crash est répétitif.
[NSAUTH-14541]
Dans une configuration de SP SAML, l’authentification SAML échoue si le paramètre nom du serveur virtuel d’authentification (authnVsName) est configuré dans un serveur virtuel d’équilibrage de charge.

[NSAUTH-14566]
Après une mise à niveau de Citrix SSO pour iOS, les notifications push que vous recevez à des fins d’authentification peuvent ne pas être accompagnées d’un son.

[ NSHELP-27525 ]
Les administrateurs ne peuvent pas effectuer de journalisation personnalisée des échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies du répondeur NetScaler ne détectent pas les erreurs liées aux échecs de connexion.

[ NSAUTH-11151 ]
Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
show adfsproxyprofile <profile name>

Solution : connectez-vous au NetScaler actif principal du cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

[ NSAUTH-5916 ]
La page Configurer le serveur LDAP d’authentification sur l’interface graphique de NetScaler ne répond plus si vous suivez les étapes suivantes :
- L’option Tester l’accessibilité LDAP est ouverte.
- Les informations d’identification de connexion non valides sont renseignées et envoyées.
- Les identifiants de connexion valides sont renseignés et envoyés.
Solution : fermez et ouvrez l’option Tester l’accessibilité LDAP.

[ NSAUTH-2147 ]

Équilibrage de charge

Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

[ NSLB-7679 ]
Dans une configuration de cluster, un serveur virtuel de commutation de contenu peut répertorier des informations incorrectes lorsqu’une politique de commutation de contenu lui est liée. Ce problème se produit lorsque la longueur de l’expression de la règle de politique est supérieure à 255 caractères.

[NSHELP-37118]
NetScaler peut se bloquer lorsque les conditions suivantes sont remplies :
- Un serveur virtuel d’équilibrage de charge ou GSLB est lié à plus de 64 services actifs ou membres de groupes de services.
- La méthode d’équilibrage de charge de proximité statique est configurée.
[NSHELP-37111]
Lorsque NetScaler reçoit une demande, au lieu de répondre avec les détails, il renvoie la requête. Ce problème peut se produire lorsque les conditions suivantes sont remplies :
- Le service ADNS et le serveur virtuel d’équilibrage de charge DNS sont configurés sur le même NetScaler.
- Une requête DNS est envoyée au serveur virtuel qui reçoit une réponse négative. Cependant, pendant la période de mise en cache, la même requête est envoyée au service ADNS.
[ NSHELP-35878 ]
Des enregistrements CNAME supplémentaires apparaissent dans la configuration en cours lorsque vous effectuez les étapes suivantes à l’aide de l’interface graphique de NetScaler :
1. Créez un serveur virtuel GSLB avec un enregistrement DNS de type CNAME
2. Configuration d’un enregistrement DNS de type CNAME
3. Enregistrez la configuration
Ce problème est esthétique et n’affecte pas les fonctionnalités.

[NSHELP-29217]
Le format ServiceGroupName utilisé dans le entityofstrap pour le groupe de services est le suivant : <service(group)name>?<ip/DBS>?<port>

Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (« ? ») est utilisé comme séparateur. NetScaler envoie l’interruption avec le point d’interrogation (« ? »). Le format apparaît de la même manière dans l’interface graphique de NetScaler ADM. C’est le comportement attendu.

[ NSHELP-28080 ]

NetScaler Gateway

Dans l’interface utilisateur NetScaler (Configuration > Système), après une mise à niveau, la section Profils disparaît lorsqu’une licence NetScaler Gateway est ajoutée.

[NSHELP-36496]
NetScaler se bloque si toutes les conditions suivantes sont réunies :
- Le serveur virtuel VPN est configuré avec une adresse IPv6.
- Seules les adresses IIP IPv4 (aucune adresse IIP IPv6) sont configurées sur le serveur virtuel IPv6.
[NSHELP-35559]
Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

[ NSHELP-21897 ]
L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

[COP-25905]
L’option du système d’exploitation Windows ne figure pas dans la liste déroulante Expression Editor pour les stratégies de pré-authentification et les actions d’authentification sur l’interface graphique de NetScaler. Toutefois, si vous avez déjà configuré l’analyse du système d’exploitation Windows sur une version précédente de NetScaler à l’aide de l’interface graphique ou de l’interface de ligne de commande, la mise à niveau n’a aucune incidence sur les fonctionnalités. Vous pouvez utiliser l’interface de ligne de commande pour apporter des modifications, si nécessaire.

Solution :

Utilisez les commandes CLI pour la configuration.
- Pour configurer l’action EPA avancée dans l’authentification nFactor, utilisez la commande suivante.
  add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
- Pour configurer une action de pré-authentification classique, utilisez les commandes suivantes.
  add aaa preauthenticationaction win_scan_action ALLOW
  add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[CGOP-22966]
Pour utiliser la fonctionnalité Always On VPN avant de se connecter à Windows, il est recommandé de mettre à niveau votre NetScaler Gateway vers la version 13.0 ou ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

[ CGOP-19355 ]
Un message d’erreur s’affiche lorsque vous ajoutez ou modifiez une stratégie de session depuis l’interface graphique de NetScaler.

[ CGOP-11830 ]
Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique. De plus, la page ne répond plus.

[ CGOP-7269 ]

NetScaler Secure Web Gateway

Une appliance NetScaler peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

[ NSHELP-22409 ]

Réseau

Dans certains cas de connexions de données FTP, l’appliance NetScaler effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

[NSNET-5233]
La commande « show rnat » peut afficher une liste incomplète des entités RNAT configurées sur NetScaler.

[NSHELP-36253]
Il est possible que l’appliance NetScaler ne génère pas de messages d’interruption SNMP « ColdStart » après un redémarrage à froid.

[NSHELP-27917]
L’interface graphique ou la CLI peuvent ne pas afficher tous les gestionnaires SNMP configurés sur NetScaler avec des sessions simultanées

[NSHELP-25952]
Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance NetScaler, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

[ NSHELP-21082 ]

Plateforme

Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance NetScaler. Utilisez la commande « rm cloudprofile » pour supprimer le profil.

[NSPLAT-4520]
Lorsque vous générez un bundle de support technique dans NetScaler CPX, un ensemble de fichiers core dump (core dumps du shell de télétype virtuel) est généré dans le répertoire /cpx/crash/. Ces fichiers de vidage principaux sont fonctionnellement insignifiants et peuvent être ignorés en toute sécurité.

[NSLINUX-1016]
Les opérations d’interface suivantes ne sont pas prises en charge pour les X710 10G (i40e) interfaces Intel sur une appliance NetScaler BLX avec DPDK :
- Désactiver
- Activer
- Reset
[NSLINUX-64]
Une appliance NetScaler BLX avec DPDK peut ne pas redémarrer si toutes les conditions suivantes sont remplies :
- L’appliance NetScaler BLX est dotée d’un faible nombre de « pages volumineuses ». Par exemple, 1G.
- L’appliance NetScaler BLX est affectée à un nombre élevé de processus de travail. Par exemple, 28.
Le problème est enregistré sous forme de message d’erreur dans « /var/log/ns.log » :
- « BLX-DPDK:DPDK Mempool n’a pas pu être initialisé pour PE-x »
Remarque : x est un nombre <= nombre de processus de travail.

Solution : allouez un grand nombre de « pages volumineuses », puis redémarrez l’appliance.

[NSLINUX-42]
Dans une appliance NetScaler BLX compatible DPDK, les VLAN balisés ne sont pas pris en charge pour les ports NIC Intel i350 DPDK. Ceci est observé car il s’agit d’un problème connu présent sur le pilote DPDK.

[NSLINUX-17]
Le redémarrage d’une appliance NetScaler BLX en mode DPDK peut prendre un peu plus de temps en raison de la fonctionnalité de simplicité de DPDK.

[NSLINUX-14]
L’installation d’une appliance NetScaler BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

« Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance NetScaler BLX :
- dpkg –add-architecture i386
- apt-get update
- apt-get install libc6:i386
[NSLINUX-5]
Une erreur peut apparaître lorsque vous mettez à jour un groupe de services d’équilibrage de charge d’un groupe Autoscale pour le profil cloud AWS. Cependant, la configuration est correctement mise à jour comme prévu.

[NSHELP-37030]
Dans certains scénarios, NetScaler BLX peut ne pas capturer les syslogs contenus dans le fichier ns.log.

[NSHELP-36913]

Stratégies

Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

[ NSPOLICY-1267 ]

SSL

Sur un cluster hétérogène d’appliances NetScaler SDX 22000 et NetScaler SDX 26000, il y a une perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

Solution :
1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
2. Enregistrez la configuration.
[NSSSL-9572]
Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

[NSSSL-6478]
Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance NetScaler ne renvoie aucune erreur.

[NSSSL-6213]
Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
ERREUR : actualisation des crl désactivée

[NSSSL-6106]
L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

[NSSSL-4427]
Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

[NSSSL-4001]
Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

[NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :
- une fenêtre de congestion maximale élevée (> 4 Mo) est définie
- L’algorithme TCP NILE est activé
Pour qu’une appliance NetScaler utilise l’algorithme NILE pour le contrôle de la congestion, les conditions doivent dépasser le seuil de démarrage lent, qui est associé à la fenêtre de congestion maximale

Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, NetScaler continue d’accepter des données et se retrouve avec un RTT élevé.

[NSHELP-31548, NSCXLCM-159]

Interface utilisateur

Dans l’interface graphique de NetScaler( page Système > Informations sur le système FIPS ), les champs suivants sont vides :
- Version du plan de contrôle
- Version du plan de données
- Version du module graphique
[NSUI-19559]
Dans l’interface graphique de NetScaler, le lien « Aide » présent sous l’onglet « Tableau de bord » est cassé.

[NSUI-14752]
L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de la CLI NetScaler.

[NSUI-13024]
Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

[NSUI-6838]
Dans l’interface graphique de NetScaler, l’option d’exportation du rapport de différences depuis Système -> Diagnostics -> Pre v/s Post Upgrade -> Exporter le rapport de différences ne fonctionne pas comme prévu.

[NSHELP-37188]
Lorsque vous modifiez le champ Condition de limite de débit dans un profil sur lequel la fonctionnalité de limite de débit est activée, l’erreur suivante peut s’afficher : Une entité portant le nom est déjà liée, aucune ressource de liaison de ce type

[NSHELP-36747, NSCXLCM-3290]
La modification d’une ACL basée sur un ensemble de données, dont un ensemble de données est défini sur le paramètre IP de destination, échoue avec l’erreur suivante lorsque vous utilisez l’interface graphique NetScaler :

Argument pre-requisite missing [operator, destIP]

[ NSHELP-36666 ]
Dans l’interface graphique, la page Politiques d’authentification (Serveur virtuel d’authentification > Politique d’authentification > Policy Binding) affiche seulement 25 politiques en raison de problèmes de pagination.

[NSHELP-36577]
Vous ne pouvez pas ajouter de stratégies d’interception SSL depuis Security > SSL Forward Proxy > Stratégies d’interception SSL dans l’interface graphique NetScaler.

[ NSHELP-36166 ]
Pour les configurations de grande taille, il est possible que vous constatiez un retard dans l’application de la configuration à l’aide de la commande CLI batch.

[NSCONFIG-8607]
Les utilisateurs risquent de ne pas se connecter à l’appliance NetScaler rétrogradée si la séquence de conditions suivante est remplie :
1. Vous devez effectuer l’une des étapes suivantes :
  - Après la mise à niveau vers la version actuelle, vous ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis vous enregistrez la configuration.
  - Provisionnez une nouvelle instance NetScaler VPX, BLX ou CPX avec la version actuelle.
2. Rétrogradez l’appliance vers l’une des versions suivantes :
  - 13.1-4.x
  - 13.0-82.x ou version antérieure
  - 12.1-62.x ou version antérieure
Pour consulter la liste des utilisateurs concernés après la rétrogradation, à l’invite de commande, tapez :
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
Solution : Réinitialisez le mot de passe des utilisateurs concernés. Pour plus d’informations, consultez Comment réinitialiser le mot de passe de l’administrateur root (nsroot).
Remarque : Si vous rétrogradez une version précédemment mise à niveau, utilisez le fichier de configuration sauvegardé (ns.conf) de la version précédente pour éviter ce problème.

[NSCONFIG-8068]
Les utilisateurs risquent de ne pas se connecter à l’appliance NetScaler rétrogradée si la séquence de conditions suivante est remplie :
1. Vous devez effectuer l’une des étapes suivantes :
  - Après la mise à niveau vers la version actuelle, vous ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis vous enregistrez la configuration.
  - Provisionnez une nouvelle instance VPX, BLX ou CPX avec la version actuelle.
2. Rétrogradez l’appliance vers l’une des versions suivantes :
  - 13.0-47.x ou version antérieure
  - 12.1-56.x ou version antérieure
  - 11.1-64.x ou version antérieure
Pour afficher la liste des utilisateurs concernés après la rétrogradation, à l’invite de commande, tapez :

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solution : réinitialisez le mot de passe des utilisateurs concernés. Pour plus d’informations, consultez Comment réinitialiser le mot de passe de l’administrateur root (nsroot).

Remarque : Si vous rétrogradez une version précédemment mise à niveau, utilisez le fichier de configuration sauvegardé (ns.conf) de la version précédente pour éviter ce problème.

[NSCONFIG-3188]

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Notes de mise à jour pour la version 13.1-52.19 de NetScaler

April 15, 2024

Contributeur:

April 15, 2024

Contributeur:

Cela vous a-t-il été utile ?