ADC

Notes de mise à jour pour la version 14.1-12.35 de NetScaler

March 17, 2024

Contributeur:

Ce document de notes de version décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 14.1-12.35 de NetScaler.

Remarques

Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
Les versions 14.1-12.35 et ultérieures corrigent les failles de sécurité décrites dans https://support.citrix.com/article/CTX584986.
La version 14.1-12.35 remplace la version 14.1-12.30.

Nouveautés

Améliorations et modifications disponibles dans la version 14.1-12.35.

Infrastructure d’analyse

Mises à jour des paramètres du fichier YAML de configuration de Prometheus Scrape

Les modifications suivantes sont apportées aux paramètres du fichier de configuration de scrape YAML de Prometheus :
- Le metrics_pathparamètre est désormais facultatif et /metricsconstitue le chemin par défaut. Si aucune valeur n’est définie dans metrics_pathle fichier YAML, Prometheus l’ajoute /metricscomme chemin. Auparavant, le metrics_pathparamètre était obligatoire et le chemin par défaut l’était /nitro/v1/config/systemfile.
- Le profilenameparamètre est désormais facultatif et accepte un nom de profil de série chronologique défini par l’utilisateur. Si le paramètre du nom du profil est absent, il ns_analytics_time_series_profileest considéré comme le nom du profil. Auparavant, le profilenameparamètre était obligatoire.
Pour plus d’informations, consultez la section Surveillance de NetScaler, des applications et de la sécurité des applications à l’aide de Prometheus.

[ NSANINFRA-599 ]
Exportez les journaux de gestion directement vers Splunk

NetScaler prend désormais en charge l’exportation des journaux de gestion et des journaux hôtes (journaux autres que les journaux du moteur de paquets) vers Splunk ou un serveur Syslog externe. Vous pouvez visualiser les données exportées à l’aide des outils de visualisation de Splunk pour obtenir des informations pertinentes. Pour plus d’informations, consultez Exporter les journaux de gestion directement depuis NetScaler vers Splunk.

[ NSANINFRA-516 ]

Équilibrage de charge

Renommer un site GSLB existant

Vous pouvez désormais renommer un site GSLB existant au lieu de le supprimer et de créer un site. En renommant le site GSLB, vous pouvez conserver toutes les entités de configuration GSLB associées aux sites.

Pour plus d’informations, voir Configuration d’un site GSLB de base.

[NSLB-10477]
Prise en charge des services DNS et ADNS via TLS

NetScaler prend désormais en charge le DNS sur TLS (DOT) pour crypter les demandes et les réponses DNS. Cette prise en charge est ajoutée pour les modes proxy ADNS et DNS à l’aide d’un type de service DOT. Lorsque ce service est configuré, NetScaler valide le format de paquet de chaque requête DNS, la chiffre et répond au client.

Pour plus d’informations, consultez la section Configurer l’équilibrage de charge de base.

[NSLB-9825]
Automatiser la fonctionnalité de gestion des clés DNSSEC

Vous pouvez désormais automatiser le processus de transfert des clés DNSSEC en fonction de la période de fréquence configurée.

Pour plus d’informations, voir Configurer DNSSEC.

[NSLB-9380]
Distribution automatique des clés DNSSEC aux sites GSLB

Vous pouvez désormais synchroniser les clés DNSSEC entre les sites GSLB à l’aide du paramètre de transfert de zone.

Pour plus d’informations, consultez la section Maintenance des zones.

[NSLB-9379]

Divers

Expression de stratégie avancée utilisant la spécification de l’API

Vous pouvez désormais créer une expression de stratégie avancée à l’aide de la spécification d’API importée dans NetScaler. Vous pouvez configurer les actions appropriées pour le trafic d’API entrant en fonction des expressions. Le trafic API entrant peut être de type gRPC ou REST.

Pour plus d’informations, consultez la section Expressions de stratégie avancées utilisant la spécification d’API.

[NSAPISEC-2558]
Validation des spécifications d’API

Vous pouvez désormais valider le trafic entrant par rapport à la spécification d’API importée. Grâce à cette fonctionnalité, vous pouvez vous assurer que les demandes d’API garantissent la qualité et la cohérence de vos données. Outre la validation du trafic, vous pouvez également définir des règles de relaxation pour contourner les contrôles de validation du schéma sur certains types de trafic.

Pour plus d’informations, consultez la section Validation des spécifications d’API.

[ NSAPISEC-2555 ]
Spécification de l’API d’importation

Vous pouvez désormais importer les fichiers de spécification d’API dans NetScaler à l’aide de l’option d’importation de la page Web App Firewall. Le Web App Firewall valide la demande de l’utilisateur par rapport au schéma spécifié dans le fichier de spécification de l’API.

Pour plus d’informations, consultez la section Importations.

[NSAPISEC-2351]

Appliance NetScaler SDX

Suppression de la restriction concernant le retrait des licences d’instance sur NetScaler SDX

Sur NetScaler SDX avec une licence groupée, la restriction d’extraction d’un nombre minimum de licences d’instance est supprimée. En d’autres termes, vous pouvez consulter au moins une licence d’instance. Auparavant, le nombre minimum de licences d’instance que vous pouviez consulter variait selon les plateformes.

Pour plus d’informations, consultez le Tableau 1 de la section NetScaler pooled capacity .

[NSSVM-5881]
Limites de licence accrues pour NetScaler SDX 16000

La limite de licence pour NetScaler SDX 16000 passe de 240 Go à 250 Go.

[NSSVM-5807]

Réseau

Prise en charge du trafic interne NetScaler dans un tunnel GRE basé sur PBR

Par défaut, l’appliance NetScaler n’envoie aucun type de trafic interne NetScaler dans un tunnel GRE basé sur PBR.

Un paramètre global de couche 3 (L3) Implicit PBR (ImplicitPBR) a été introduit pour autoriser le trafic interne NetScaler suivant dans un tunnel GRE basé sur PBR lorsque le trafic correspond à la règle PBR. Par défaut, ce paramètre L3 global est désactivé.
- Trafic BGP - port 179
- trafic de synchronisation Zebos - port 4001
- Trafic RIP et IPv6 RIP - port 520
- Trafic RPC : ports 3008, 3009, 3010 et 3011
- Trafic UDP - port 520
- Trafic UDP à haute disponibilité - port 3003
- Trafic TCP à haute disponibilité - port 22
- Port de trafic UDP 7000 du cluster
- trafic mondial ssh
Lorsque le paramètre PBR (ImplicitPBR) implicite est activé, seul le trafic lié aux nouvelles sessions est autorisé dans un tunnel basé sur PBR. Par exemple, seul le trafic BGP d’une nouvelle session est autorisé dans un tunnel GRE basé sur PBR lorsque le trafic correspond à la règle PBR. Les sessions BGP existantes continuent d’utiliser le routage standard basé sur la destination au lieu du PBR.

[NSNET-28989]
Prise en charge des messages de pulsation sécurisés dans un cluster NetScaler

NetScaler prend désormais en charge les messages de pulsation sécurisés dans une configuration de cluster. Lorsque vous activez les messages de pulsation sécurisés, NetScaler authentifie les paquets de pulsation et vérifie l’intégrité des paquets afin de vous protéger contre les attaques réseau telles que les attaques de falsification et de rediffusion.

Pour plus d’informations, voir Configuration des pulsations cardiaques sécurisées.

[NSNET-28009]
Support des hôtes Ubuntu Linux pour NetScaler BLX

NetScaler BLX est désormais compatible avec la version 22.04 d’Ubuntu.

[NSNET-27434]

Plateforme

Création de profils cloud optimisée dans NetScaler VPX

NetScaler VPX réduit désormais le temps nécessaire à la création d’un profil cloud lors de l’utilisation de l’autoscaling principal. En effet, vous n’avez pas besoin de spécifier de stratégie de réduction dès maintenant lors de la création du groupe d’autoscaling principal. L’optimisation s’applique à la fois aux clouds Azure et AWS. Toutefois, dans AWS, vous devez spécifier au moins une stratégie de réduction si vous utilisez la fonctionnalité Graceful Timeout.

Pour plus d’informations, voir Ajouter un service principal d’autoscaling AWS.

[ NSPLAT-26628 ]
Prise en charge de la gestion des identités dans le cloud Azure

NetScaler VPX prend désormais en charge les identités gérées dans le cloud Azure. Les identités gérées sont utilisées pour associer un principal de service à une ressource Azure telle qu’une machine virtuelle. Grâce à la gestion des identités, vous n’avez pas besoin de gérer les informations d’identification du cloud, évitant ainsi les risques de sécurité.

Auparavant, vous pouviez uniquement définir manuellement les informations d’identification cloud dans NetScaler VPX. Les informations d’identification du cloud se composent de l’identifiant de l’application, du secret de l’application et de l’identifiant du locataire.

Lorsque vous configurez à la fois une identité gérée et des informations d’identification cloud dans NetScaler VPX, l’identité gérée a priorité sur les informations d’identification cloud. Actuellement, NetScaler VPX ne prend en charge que l’identité gérée attribuée au système et une identité gérée attribuée à un seul utilisateur. L’identité gérée attribuée à plusieurs utilisateurs n’est pas prise en charge.

Pour plus d’informations, consultez la section Ajouter un service principal d’autoscaling Azure.

[ NSPLAT-23111 ]

Stratégies

Prise en charge de la conversion des configurations de stratégies SSL classiques à l’aide de l’outil NSPEPI

L’outil NSPEPI convertit désormais les configurations de stratégie SSL classiques en configurations avancées.

[ NSPOLICY-5422 ]
Option permettant d’exécuter l’outil NSPEPI lors de la mise à niveau de NetScaler

Vous pouvez désormais exécuter l’outil NSPEPI dans le cadre de la mise à niveau de NetScaler.

Pour convertir les stratégies classiques en stratégies avancées lors de la mise à niveau, sélectionnez l’option -M dans la commande ./installns. L’option -M déclenche l’outil NSPEPI et met à jour le fichier ns.conf existant avec la configuration modifiée. L’ancienne configuration est présente dans /nsconfig/ns.conf_old pour référence future.

Remarque :

Il est recommandé de convertir les stratégies classiques en stratégies avancées avant la mise à niveau. Grâce à cette amélioration, même si vous n’avez pas réussi à convertir les stratégies classiques avant la mise à niveau, vous pouvez choisir de les convertir en stratégies avancées lors de la mise à niveau.

Pour plus d’informations, voir Conversion d’expressions de stratégie à l’aide de l’outil NSPEPI.

[ NSPOLICY-5339 ]
Dérivez le nom du patset ou du jeu de données à l’aide d’expressions ; rn Vous pouvez désormais utiliser une expression pour dériver le nom du patset ou de l’ensemble de données dans des méthodes liées au patset ou à l’ensemble de données, telles que CONTAINS_ANY (), EQUALS_ANY (). ; Pour utiliser le patset ou le jeu de données de manière dynamique, vous devez configurer le jeu de données ou le jeu de données avec le paramètre dynamic. Auparavant, vous ne pouviez donner que le nom ou la chaîne statique. rn

Pour plus d’informations, voir Configuration d’un jeu de modèles et Configuration d’un ensemble de données.

[ NSHELP-22114 ]

SSL

Soutenir les opérations de mise à jour sur les ensembles de certificats

Les opérations de mise à jour sont désormais prises en charge sur les ensembles de certificats. Vous pouvez désormais mettre à jour directement un ensemble de certificats. Auparavant, vous deviez d’abord dissocier et supprimer un ensemble de certificats, puis ajouter et lier un ensemble de certificats.

[NSSSL-12613]
Prise en charge de la courbe EC 25519 sur les serveurs virtuels et les profils SSL

Les serveurs virtuels et les profils SSL prennent désormais en charge l’échange de clés X25519 dans les poignées de main TLS 1.3. Utilisez le serveur virtuel SSL ou les commandes SSL profile bind pour lier cette courbe de manière explicite. Cette courbe est également incluse dans le nom de courbe EC « ALL » à l’aide duquel vous pouvez lier toutes les courbes EC à des serveurs virtuels SSL ou à des profils SSL.

[NSSSL-1371]

System

Limiter le nombre de trames HTTP/2 RESET reçues par connexion en une minute

Vous pouvez désormais limiter le nombre de trames HTTP/2 RESET reçues sur une connexion HTTP/2 par minute. Si le nombre de trames RESET dépasse la limite configurée, NetScaler supprime silencieusement les paquets de cette connexion.

Grâce à cette amélioration, vous pouvez atténuer l’attaque DoS HTTP/2 lorsqu’un attaquant ouvre plusieurs flux HTTP/2 et annule immédiatement ces flux en envoyant des trames RESET STREAM.

Pour plus d’informations, voir Atténuation des attaques par déni de service HTTP/2.

[NSBASE-18564]
Journalisation désactivée pour les URL de l’interface utilisateur d’administration

Cette amélioration réduit les messages de journal détaillés générés lorsque l’accès à certaines URL de l’interface utilisateur d’administration spécifiquement interdites est empêché. Bien que les messages du journal aident à identifier les URL pour lesquelles l’accès a été refusé, ils ont tendance à augmenter la taille du journal. Grâce à cette amélioration, NetScaler ne génère pas les journaux par défaut. Cependant, vous pouvez activer les journaux à l’aide d’un nsapimgrbouton.

[ NSBASE-18455 ]
NetScaler prend en charge le transfert des TLV du Proxy Protocol V2

NetScaler prend en charge le transfert des informations TLV (Type Length Value) envoyées dans le Proxy Protocol V2 vers les serveurs principaux si la fonctionnalité Proxy Protocol est activée sur le serveur virtuel et le service.

Avant la publication de NetScaler 14.1-12.30, NetScaler ne pouvait pas analyser les TLV et les a donc supprimés.

Pour plus d’informations, consultez la section Protocole proxy.

[NSBASE-18418]

Interface utilisateur

API NetScaler Next-Gen (aperçu technique)

L’API NetScaler Next-Gen est une API avancée et robuste RESTful qui vous permet de configurer l’appliance NetScaler par programmation de manière simple et conviviale. L’API est basée sur une interface déclarative, à l’état souhaité et centrée sur l’application.

L’API vise à supprimer et à simplifier de nombreuses complexités de bas niveau des configurations NetScaler traditionnelles. Ces fonctionnalités d’API la rendent plus adaptée aux développeurs d’applications qui ne sont pas des experts en réseaux ou qui ne sont pas des experts de NetScaler.

Le concept de base de l’API Next-Gen est l’application. Tous les éléments de configuration liés à la même application sont regroupés, ce qui permet d’appliquer les modifications de manière atomique facilement et en toute sécurité.

Actuellement, les fonctionnalités ci-dessous sont prises en charge par l’API Next-Gen :
1. Commutation de contenu (protocoles HTTP, HTTPs)
2. Équilibrage de charge (protocoles HTTP, HTTPs)
3. Déchargement SSL
4. Redirection HTTP, répondeur HTTP
5. Contrôles de santé du serveur
[NSCONFIG-8040]
Mises à jour de la documentation de l’API NITRO pour la fonctionnalité de routage

La documentation relative aux ressources relatives au routage dynamique suivantes est désormais disponible dans le guide de référence de l’API :
- accessList
- bfdInterface
- bgpPrefix
- bgpRouter
- ipRoute
- ospf6Database
- ospf6Interface
- ospf6Neighbor
- ospf6Router
- ospfDatabase
- ospfInterface
- ospfNeighbor
- ospfRouter
- routeMap
La documentation de l’API NITRO est disponible dans l’onglet Téléchargement de l’interface graphique NetScaler.

[NSCONFIG-7765]
Les requêtes GET de l’API NITRO pour les fichiers système ne parviennent pas à lire le contenu du fichier lorsque les conditions suivantes sont remplies :
- Le niveau d’autorisation des fichiers est défini sur 640.
- Les répertoires associés n’ont pas d’autorisation d’exécution.
[NSCONFIG-7732]

Problèmes résolus

Les problèmes résolus dans la version 14.1-12.35.

Infrastructure d’analyse

Lorsque vous exécutez la commande /netscaler/nsconmsg, NetScaler affiche des informations de débogage incomplètes sur les serveurs virtuels sur les partitions d’administration.

[ NSHELP-36185 ]
Lorsque plusieurs stratégies AppFlow sont liées globalement à un NetScaler, le fait de délier une stratégie rend les autres également inefficaces.

[ NSHELP-35960 ]
Dans un déploiement de cluster, un nœud autre que CCO n’envoie pas les messages syslog TCP à un serveur syslog externe lorsque vous effectuez l’opération de « synchronisation forcée du cluster » ou de « redémarrage » sur le nœud.

[NSHELP-32925]

Authentification, autorisation et audit

Dans certains cas, NetScaler configuré en tant que SP OAuth peut se bloquer si l’IdP OAuth met en cache des copies périmées des certificats SP.

[ NSHELP-36150 ]
NetScaler configuré en tant qu’IdP OAuth peut envoyer un en-tête de type de contenu incorrect lorsqu’il répond aux parties utilisatrices.

[ NSHELP-35918 ]
NetScaler configuré en tant que fournisseur de services SAML peut se bloquer lorsqu’il attend une réponse à une demande envoyée au serveur IDP SAML.

[ NSHELP-35771 ]
Après une mise à niveau, le message « AAA DHT : la notification de reprise de l’entrée du VPN a échoué en raison d’un sous-type 1 non valide » apparaît à plusieurs reprises dans le fichier journal NetScaler.

[ NSHELP-35649 ]
L’exécution des commandes à l’aide de la CLI NetScaler peut être retardée si l’authentification TACACS est configurée avec une adresse IP NAT.

[ NSHELP-32960 ]

Gestion des bots

Dans de rares cas, la page Web peut ne pas se charger lorsque la technique de détection des empreintes digitales de l’appareil est utilisée.

[NSHELP-34742]

Équilibrage de charge

Dans une configuration HA, le serveur DNS peut envoyer une réponse vide pour une requête de domaine GSLB par intermittence lorsque les conditions suivantes sont remplies :
- La persistance est configurée sur le serveur virtuel GSLB.
- Un grand nombre de déploiements d’équilibrage de charge sont configurés.
- Le basculement du HA se produit.
[NSHELP-35981]
Dans un déploiement ADNS, un serveur DNS peut répondre avec l’adresse IP d’une vue DNS à un utilisateur non autorisé. Ce problème peut se produire si vous avez configuré la stratégie du répondeur DNS avec l’action de suppression.

[ NSHELP-35928 ]
Lorsque NetScaler reçoit une demande, au lieu de répondre avec les détails, il renvoie la requête. Ce problème peut se produire lorsque les conditions suivantes sont remplies :
- Le service ADNS et le serveur virtuel d’équilibrage de charge DNS sont configurés sur le même NetScaler.
- Une requête DNS est envoyée au serveur virtuel qui reçoit une réponse négative. Cependant, pendant la période de mise en cache, la même requête est envoyée au service ADNS.
[ NSHELP-35878 ]
NetScaler peut se bloquer lorsque la réponse GLSB comporte plus de 300 adresses IP.

[ NSHELP-35792 ]
Après un basculement HA, les entrées de session de persistance ne sont pas supprimées du nœud principal, même après l’expiration du délai de persistance. Les entrées de session sont conservées jusqu’à ce que le nœud secondaire soit opérationnel.

[NSHELP-34378]

Divers

Lorsque vous configurez NetScaler BLX avec la prise en charge DPDK, NetScaler BLX peut ne pas détecter les ports de carte réseau compatibles avec DPDK dans certaines versions du microprogramme de la carte réseau. Par conséquent, les ports NIC sont ajoutés en tant que ports non DPDK au NetScaler BLX.

[ NSHELP-36290 ]
NetScaler peut se bloquer lorsqu’un serveur virtuel VPN avec des connexions ICA actives est renommé.

[ NSHELP-35804 ]

NetScaler Gateway

L’option Gestion du trafic > SSL > Fichiers SSL est absente de l’interface graphique si les conditions suivantes sont remplies :
- Une licence NetScaler Gateway est utilisée.
- Le logiciel est mis à niveau vers la version 13.0 build 91.x de NetScaler.
[ NSHELP-36186 ]
Il se peut que vous ne puissiez pas accéder à certaines applications (internes et externes) car le serveur principal rejette les demandes de proxy en mode HTTP/1.0.

[ NSHELP-35919 ]
Lors de la configuration d’un serveur virtuel DTLS à l’aide de l’interface graphique de NetScaler Gateway, les paramètres SSL sont supprimés si le profil SSL par défaut est activé sur le serveur virtuel DTLS.

[ NSHELP-34723 ]
L’analyse EPA échoue par intermittence sur NetScaler en raison d’un débordement de la mémoire tampon.

[ NSHELP-34039 ]

Appliance NetScaler SDX

Lorsque vous modifiez une instance VPX dans l’interface utilisateur du service de gestion, l’ adresse IPv6 de la passerelle n’apparaît pas dans l’interface utilisateur du service de gestion et le service de gestion supprime donc la valeur de l’inventaire.

[NSSVM-5865]
Lorsque vous vous connectez à l’interface utilisateur du service de gestion en tant qu’administrateur root à l’aide des informations d’identification par défaut pour la première fois, vous devez modifier le mot de passe par défaut.

[NSSVM-5767]
Sur le tableau de bord NetScaler SDX, les données de débit et les graphiques ne sont pas disponibles.

[ NSHELP-36586 ]
La mise à niveau de NetScaler SDX version 13.1 de la version 42.47 vers la version 49.13 peut échouer en raison de délais d’expiration des connexions SCP/SSH entre le service de gestion et XenServer. Le message d’erreur suivant apparaît dans l’interface utilisateur du service de gestion :

Attempted to upgrade on Platform but it did not come up with new version.

[NSHELP-36311, NSCXLCM-2086]
Lorsque vous téléchargez le fichier SDX-MIB-SMIV2.mib depuis la page Téléchargements de l’interface utilisateur du service de gestion, le champ LAST-UPDATED n’est pas mis à jour.

[ NSHELP-36174 ]

Web App Firewall NetScaler

Les journaux de débogage des demandes de fichiers de transformation sont générés lorsque le profil de transformation d’URL est appliqué à la demande.

[NSWAF-10356]
Dans un déploiement en cluster, NetScaler peut se bloquer lorsque la fonctionnalité Web App Firewall est activée.

[ NSHELP-36362 ]
L’utilisation de certains mots clés prédéfinis peut générer des faux positifs lorsque la fonctionnalité de protection basée sur la grammaire SQL est activée.

[ NSHELP-36138 ]
Le contrôle de protection grammaticale par injection de commande JSON bloque une demande si elle contient des formats de date. Cependant, les données ne sont pas mises à jour dans les fichiers journaux et les compteurs ne sont pas incrémentés.

[ NSHELP-35577 ]
La fonction de protection contre le piratage de cookies ne fonctionne pas comme prévu lorsque les cookies d’une session valide sont réutilisés dans une autre session. NetScaler autorise la requête au lieu de la bloquer.

[ NSHELP-33723 ]

Réseau

Lorsque vous activez l’hôte géré NetScaler BLX, toutes les adresses IP configurées sur l’hôte ne sont pas ajoutées à NetScaler BLX.

[NSNET-30389]
Lorsque vous mettez à niveau le NetScaler BLX, le package nitro-python peut ne pas être mis à jour. Par conséquent, l’erreur suivante peut apparaître lors de la mise à niveau :

tar: /var/netscaler/nitro/ns_nitro-python_artesa_xx_xx.tar: Not found in archive

[ NSNET-27927 ]
Dans une configuration NAT (LSN) à grande échelle, l’appliance NetScaler peut se bloquer en cas de décalage interne entre le nombre de connexions frontales et dorsales LSN.

[ NSHELP-36391 ]
Lorsqu’un échec d’authentification est identifié par rapport à un nom d’utilisateur ou de communauté, les messages de journalisation des interruptions d’authentification SNMPv2 affichent des valeurs non valides pour le nom de l’utilisateur ou de la communauté.

[NSHELP-36213, NSCXLCM-1848]
Dans une configuration NAT (LSN) à grande échelle, l’appliance NetScaler peut se bloquer en raison d’une opération de codage de bits incorrecte.

[ NSHELP-36124 ]
Dans une configuration HA avec une configuration IP sur IP, le nœud secondaire peut se bloquer lors d’un basculement HA.

[ NSHELP-36060 ]
Après une mise à niveau, NetScaler configuré avec un VPN SSL se bloque en raison d’une erreur lors de la gestion des informations HDX.

[NSHELP-35895, NSCXLCM-1519, NSCXLCM-2321]
L’appliance NetScaler peut se bloquer lorsque vous configurez une ACL basée sur un jeu de données.

[NSHELP-35744, NSCXLCM-2170, NSCXLCM-2195, NSCXLCM-2203, NSCXLCM-2376, NSCXLCM-2748]
La surveillance des interruptions SNMP peut ne pas permettre de lire les interruptions en cas de non-correspondance entre le fichier MIB et les varbinds réels.

[ NSHELP-35629 ]
Dans une configuration NAT (LSN) à grande échelle, l’appliance NetScaler peut se bloquer en cas de décalage interne entre le nombre de connexions frontales et dorsales LSN.

[ NSHELP-35318 ]
Pour les services SSL internes sur un port HTTPS autre que celui par défaut, même si vous modifiez la liaison du certificat SSL par défaut et redémarrez l’appliance, le certificat par défaut continue d’être lié aux services internes.

[NSHELP-24034]

SSL

NetScaler peut se bloquer en raison de fichiers journaux exceptionnellement volumineux. Par exemple, si le niveau de journalisation est défini sur DEBUG pour surveiller les journaux d’établissement de contacts SSL, la taille du fichier journal augmente considérablement car le fichier inclut également les journaux de débogage détaillés des autres modules. Vous pouvez obtenir les journaux de débogage SSL en réglant le niveau de journalisation sur INFO à l’aide du bouton « nsapimgr ». Par conséquent, la taille du fichier journal est également réduite.

[NSSSL-13206]
Dans certains cas, lorsqu’un client TLS 1.3 refuse d’envoyer un certificat, le serveur virtuel d’authentification ne parvient pas à appliquer la stratégie d’authentification suivante (de secours).

[ NSHELP-36479 ]
NetScaler peut se bloquer si vous utilisez des trames géantes avec une configuration TLS 1.3.

[ NSHELP-36153 ]
NetScaler renvoie un message d’erreur lorsque les clients retransmettent les précédents messages d’établissement de contacts.

[NSHELP-34608, NSCXLCM-348]

System

Dans une connexion TLS HTTP/2, NetScaler n’envoie pas le message HTTP/2 Goaway lorsqu’un message de notification de fermeture TLS est reçu sans indicateur TCP FIN préalable.

[ NSHELP-36248 ]
La commande start and stop est traitée comme une commande de configuration et vous invite donc à enregistrer la configuration même si aucune modification n’a été apportée à la configuration.

[ NSHELP-28413 ]
Les sessions ICA peuvent échouer quelques minutes après leur lancement si vous utilisez le navigateur HTML5 et le protocole de transport QUIC.

[NSBASE-18402]

Interface utilisateur

L’utilisateur peut recevoir un message d’erreur Impossible de terminer la demande de mise à jour du fichier système lors de la modification ou de l’ajout d’un objet de signature. Ce problème se produit lorsque l’une des conditions suivantes est remplie :
- L’objet de signature est de grande taille.
- Le délai d’appel est expiré.
[NSHELP-36751]
Vous ne pouvez pas ajouter de stratégies d’interception SSL depuis Security > SSL Forward Proxy > Stratégies d’interception SSL dans l’interface graphique NetScaler.

[ NSHELP-36166 ]
Un utilisateur disposant de privilèges limités peut supprimer les rapports créés par un utilisateur disposant de privilèges plus élevés.

[ NSHELP-36042 ]
La synchronisation des fichiers du cluster peut ne pas fonctionner correctement lorsqu’un grand nombre de demandes de comptabilité sont reçues pour des utilisateurs d’authentification externes. Il est possible que davantage d’espace disque soit consommé pendant cette période.

[ NSHELP-35985 ]
Dans une configuration HA, même si vous disposez de certificats SSL uniques pour l’adresse NSIP du nœud principal et secondaire, le certificat du nœud secondaire est remplacé par le certificat du nœud principal.

[ NSHELP-35938 ]
Lorsque vous créez ou supprimez plusieurs partitions, des ID de partition dupliqués peuvent être générés. Par conséquent, l’erreur suivante peut apparaître lors de la création d’une partition.

« L’ID de partition est déjà utilisé par une autre partition »

[NSHELP-35042]
Dans une configuration de cluster NetScaler, la sortie CLI de la commande show nstrace n’apparaît pas correctement sur l’adresse NSIP des nœuds du cluster.

[ NSHELP-33712 ]

Problèmes connus

Les problèmes qui existent dans les versions 14.1-12.35.

Infrastructure d’analyse

Lorsque vous installez NetScaler ADM sur un cluster Kubernetes, cela ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

Solution : redémarrez le module Gestion.

[ NSANINFRA-1504 ]

Authentification, autorisation et audit

Les administrateurs ne peuvent pas effectuer de journalisation personnalisée des échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies du répondeur NetScaler ne détectent pas les erreurs liées aux échecs de connexion.

[ NSAUTH-11151 ]
Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante. show adfsproxyprofile <profile name>

Solution : connectez-vous au NetScaler actif principal du cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

[ NSAUTH-5916 ]
La page Configurer le serveur LDAP d’authentification sur l’interface graphique de NetScaler ne répond plus si vous suivez les étapes suivantes :
- L’option Tester l’accessibilité LDAP est ouverte.
- Les informations d’identification de connexion non valides sont renseignées et envoyées.
- Les identifiants de connexion valides sont renseignés et envoyés.
Solution : fermez et ouvrez l’option Tester l’accessibilité LDAP.

[ NSAUTH-2147 ]

Équilibrage de charge

Lorsqu’un site GSLB est renommé, la synchronisation complète de la configuration s’effectue au lieu d’une synchronisation incrémentielle, même si l’option de synchronisation incrémentielle est activée dans NetScaler.

[NSLB-10884]
Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

[ NSLB-7679 ]

Divers

Lorsque vous activez l’hôte géré NetScaler BLX sur le cloud Oracle, la configuration de passerelle de l’hôte Linux n’est pas ajoutée à NetScaler BLX.

[NSLINUX-155]
Les opérations d’interface suivantes ne sont pas prises en charge pour les X710 10G (i40e) interfaces Intel sur une appliance NetScaler BLX avec DPDK :
- Désactiver
- Activer
- Reset
[NSLINUX-64]
L’installation d’une appliance NetScaler BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance NetScaler BLX :
- dpkg –add-architecture i386
- apt-get update
- apt-get install libc6:i386
[NSLINUX-5]

NetScaler Gateway

Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

[ NSHELP-21897 ]
L’option du système d’exploitation Windows ne figure pas dans la liste déroulante Expression Editor pour les stratégies de pré-authentification et les actions d’authentification sur l’interface graphique de NetScaler. Toutefois, si vous avez déjà configuré l’analyse du système d’exploitation Windows sur une version précédente de NetScaler à l’aide de l’interface graphique ou de l’interface de ligne de commande, la mise à niveau n’a aucune incidence sur les fonctionnalités. Vous pouvez utiliser l’interface de ligne de commande pour apporter des modifications, si nécessaire.

Solution:

Utilisez les commandes CLI pour la configuration.
- Pour configurer l’action EPA avancée dans l’authentification nFactor, utilisez la commande suivante. add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
- Pour configurer une action de pré-authentification classique, utilisez les commandes suivantes. add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[CGOP-22966]
Pour utiliser la fonctionnalité Always On VPN avant de se connecter à Windows, il est recommandé de mettre à niveau votre NetScaler Gateway vers la version 13.0 ou ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

[ CGOP-19355 ]
Un message d’erreur s’affiche lorsque vous ajoutez ou modifiez une stratégie de session depuis l’interface graphique de NetScaler.

[ CGOP-11830 ]
Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique. De plus, la page ne répond plus.

[ CGOP-7269 ]

NetScaler Secure Web Gateway

Une appliance NetScaler peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

[ NSHELP-22409 ]

Réseau

Dans certains cas de connexions de données FTP, l’appliance NetScaler effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

[NSNET-5233]
Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance NetScaler, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

[ NSHELP-21082 ]

Plateforme

Lorsque vous mettez à niveau le logiciel vers les versions 14.1-8.x et versions ultérieures ou 13.1-50.x et versions ultérieures, les interfaces 25G dotées d’un émetteur-récepteur SFP 1G en cuivre ne parviennent pas à se connecter au commutateur distant ou au périphérique réseau.

Ce problème se produit sur les plates-formes suivantes dotées de cartes réseau 25G :
- SDX 9100
- SDX 15000
- SDX 16000
- SDX 26000
- SDX 26000-50S
[NSPLAT-27864]
Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance NetScaler. Utilisez la commande « rm cloudprofile » pour supprimer le profil.

[NSPLAT-4520]
Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche.

Solution: sautez l’écran et connectez-vous au nœud principal pour créer le profil cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

[NSPLAT-4451]

Stratégies

Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

[ NSPOLICY-1267 ]

SSL

Sur un cluster hétérogène d’appliances NetScaler SDX 22000 et NetScaler SDX 26000, il y a une perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

Solution:
1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
2. Enregistrez la configuration.
[NSSSL-9572]
Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

[NSSSL-6478]
Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance NetScaler ne renvoie aucune erreur.

[NSSSL-6213]
Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM. ERREUR : actualisation des crl désactivée

[NSSSL-6106]
L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

[NSSSL-4427]
Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

[NSSSL-4001]
Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

[NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

Les pages Web qui utilisent HTTP/2 peuvent ne pas se charger complètement lorsqu’un flux HTTP/2 utilisant la méthode de requête HTTP CONNECT est interrompu.

[NSHELP-36407, NSBASE-17449]
Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :
- une fenêtre de congestion maximale élevée (> 4 Mo) est définie
- L’algorithme TCP NILE est activé
Pour qu’une appliance NetScaler utilise l’algorithme NILE pour le contrôle de la congestion, les conditions doivent dépasser le seuil de démarrage lent, qui est associé à la fenêtre de congestion maximale

Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, NetScaler continue d’accepter des données et se retrouve avec un RTT élevé.

[NSHELP-31548, NSCXLCM-159]
NetScaler peut vider le noyau lorsque vous utilisez la commande unset nstcpprofile pour annuler les paramètres du profil TCP.

Solution : utilisez plutôt la commande set nstcpprofile avec la valeur de paramètre souhaitée.

[NSBASE-18724]
Les sessions ICA peuvent échouer quelques minutes après leur lancement si vous utilisez le navigateur HTML5 et le protocole de transport QUIC.

Solution : définissez le délai d’inactivité maximal à 3 600 secondes lorsque vous configurez le profil QUIC.

[NSBASE-18402]
Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

[ NSBASE-18295 ]
L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

[ NSBASE-8506 ]

Interface utilisateur

Vous ne pouvez pas télécharger le bundle de support technique sur le serveur de support technique Citrix à l’aide de l’interface graphique.

Solution : utilisez l’interface de ligne de commande pour télécharger le pack de support technique.

[NSUI-19315]
Dans l’interface graphique de NetScaler, le lien « Aide » présent sous l’onglet « Tableau de bord » est cassé.

[NSUI-14752]
L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de la CLI NetScaler.

[NSUI-13024]
Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

[NSUI-6838]
Les utilisateurs risquent de ne pas se connecter à l’appliance NetScaler rétrogradée si la séquence de conditions suivante est remplie :
1. Vous devez effectuer l’une des étapes suivantes :
  - Après la mise à niveau vers la version actuelle, vous ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis vous enregistrez la configuration.
  - Provisionnez une nouvelle instance NetScaler VPX, BLX ou CPX avec la version actuelle.
2. Rétrogradez l’appliance vers l’une des versions suivantes :
  - 13.1-4.x
  - 13.0-82.x ou version antérieure
  - 12.1-62.x ou version antérieure
Pour afficher la liste des utilisateurs concernés après la rétrogradation, à l’invite de commande, tapez : query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solution : réinitialisez le mot de passe des utilisateurs concernés. Pour plus d’informations, voir How to reset root administrator (nsroot) password.

Remarque :

Si vous rétrogradez une version précédemment mise à niveau, utilisez le fichier de configuration sauvegardé (ns.conf) de la version précédente lors de la rétrogradation pour éviter ce problème.

[NSCONFIG-8068]
Les utilisateurs risquent de ne pas se connecter à l’appliance NetScaler rétrogradée si la séquence de conditions suivante est remplie :
1. Vous devez effectuer l’une des étapes suivantes :
  - Après la mise à niveau vers la version actuelle, vous ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis vous enregistrez la configuration.
  - Provisionnez une nouvelle instance VPX, BLX ou CPX avec la version actuelle.
2. Rétrogradez l’appliance vers l’une des versions suivantes :
  - 13.0-47.x ou version antérieure
  - 12.1-56.x ou version antérieure
  - 11.1-64.x ou version antérieure
Pour afficher la liste des utilisateurs concernés après la rétrogradation, à l’invite de commande, tapez :

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solution : réinitialisez le mot de passe des utilisateurs concernés. Pour plus d’informations, voir How to reset root administrator (nsroot) password.

Remarque :

Si vous rétrogradez une version précédemment mise à niveau, utilisez le fichier de configuration sauvegardé (ns.conf) de la version précédente lors de la rétrogradation pour éviter ce problème.

[NSCONFIG-3188]

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Notes de mise à jour pour la version 14.1-12.35 de NetScaler

March 17, 2024

Contributeur:

March 17, 2024

Contributeur:

Cela vous a-t-il été utile ?