Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF

Notes de mise à jour pour la version 14.1-17.38 de NetScaler

April 15, 2024
Contributeur: 
C

Ce document de notes de version décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 14.1-17.38 de NetScaler.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Nouveautés

Améliorations et modifications disponibles dans la version 14.1-17.38.

Infrastructure d’analyse

  • Prise en charge de l’exportation directe des journaux transactionnels vers Splunk

    Vous pouvez désormais exporter directement les journaux transactionnels de NetScaler vers Splunk au format JSON. Vous pouvez visualiser les données exportées à l’aide des tableaux de bord Splunk pour obtenir des informations pertinentes.

    Pour plus d’informations, consultez Exporter les journaux de transactions directement de NetScaler vers Splunk.

    [ NSANINFRA-3955 ]

Divers

  • Support pour la sécurité des API

    La fonctionnalité de sécurité des API est désormais disponible sur la console NetScaler locale et fournit les fonctionnalités suivantes :

    • Analyse des API (Sécurité > Sécurité des API > Analyse des API) : permet aux administrateurs de visualiser et de surveiller le trafic des API.
    • Découverte des API (Sécurité > Sécurité des API > Découverte des API) : permet aux administrateurs de visualiser les points de terminaison d’API découverts et de gérer les définitions d’API dans les points de terminaison découverts.

    Pour plus d’informations, consultez Discover API endpoints et View API Analytics.

    [NSAPISEC-3038]

NetScaler Gateway

  • Adresse IP source du profil réseau dans une configuration de serveur virtuel VPN DTLS pour le lancement d’UDP

    NetScaler Gateway configuré avec DTLS Listener choisit désormais l’adresse IP source dans le profil réseau pour établir une connexion UDP avec le Virtual Delivery Agent (VDA). Cependant, les administrateurs doivent s’assurer que le profil réseau est configuré sur le serveur virtuel VPN SSL. Pour plus de détails, consultez la section Profils réseau du serveur virtuel VPN SSL.

    [GOPHDX-45]

  • Balises HTML réactivées dans le texte du CLUF

    Les balises HTML suivantes sont réactivées dans le texte du CLUF. Ces balises doivent être utilisées sans les attributs HTML.

     -  <html></html>
 -  <b></b>
 -  <p></p>
 -  <i></i>
 -  <ol></ol>
 -  <ul></ul>
 -  <li></li>
 -  <br></br><br/>
 <!--NeedCopy-->

    Pour plus de détails, voir Créer un CLUF.

    [COP-24748]

Appliance NetScaler SDX

  • Suppression de la prise en charge des machines virtuelles tierces

    NetScaler SDX ne prend plus en charge les machines virtuelles tierces.

    [NSSVM-5805]

  • Gestion du champ de passerelle facultatif dans l’opération de modification et de restauration de NetScaler VPX

    Le champ Passerelle ne peut être facultatif que dans l’une des conditions suivantes :

    • Les adresses IP du service de gestion et de l’instance VPX se trouvent sur le même sous-réseau.
    • L’optionGérer via le réseau interne est activée.

    Même si le champ de passerelle n’est pas spécifié, vous pouvez toujours modifier et restaurer le VPX dans les scénarios suivants :

    Modifier un NetScaler VPX : lors de l’opération de modification, l’instance doit être accessible depuis le service de gestion.

    Pour plus d’informations, consultez Modifier une instance NetScaler.

    Restaurer un NetScaler VPX : lors de la restauration de l’instance, le service de gestion active de force la gestion via le réseau interne et la désactive une fois l’opération terminée afin de garantir que l’instance est accessible pour une restauration réussie.

    Pour plus d’informations, consultez Restaurer l’instance NetScaler.

    [NSSVM-5677]

  • Augmenter la mémoire du service de gestion

    Vous pouvez désormais augmenter la mémoire du service de gestion de 2 Go (par défaut) à 3 Go ou 4 Go dans l’interface utilisateur du service de gestion afin de provisionner un grand nombre d’instances VPX sur NetScaler SDX haut de gamme.

    Accédez à Configuration > Système > Paramètres système > Configurer la mémoire du service de gestion.

    Sélectionnez une valeur dans la liste Mémoire.

    Pour plus d’informations, voir Configuration de la mémoire du service de gestion.

    [NSSVM-5501]

  • Nouvelle alerte SNMP pour l’expiration des licences groupées

Lorsque NetScaler ADM, configuré en tant que serveur de licences, envoie une notification d’expiration de licence groupée au service de gestion sur NetScaler SDX, le service essaie de récupérer une licence.

-  If the check out is a success, it does nothing.
-  If the check out fails:
    -  It now sends an SNMP trap informing the user that the pooled license has expired and SDX will be unlicensed after a reboot.
    -  It tries to check out a license every 10 minutes until the check-out is a success.

Earlier, the Management Service did not send out any alert for pooled license expiry.

[ NSSVM-5434 ]

  • Configuration de l’intervalle d’actualisation de l’inventaire et de l’intervalle de pulsation pour que l’inventaire récupère les détails du serveur de licences groupé.

    Vous pouvez désormais configurer l’intervalle d’actualisation de l’inventaire (en minutes) et l’intervalle cardiaque (en secondes) pour l’inventaire des clients. L’intervalle cardiaque minimum est de 30 secondes, le maximum est de 280 secondes et la valeur par défaut est de 280 secondes. L’intervalle minimal d’actualisation de l’inventaire est de 45 minutes, le maximum est de 1 440 minutes et la valeur par défaut est de 360 minutes.

    Pour définir ces intervalles, sur la ligne de commande NetScaler, tapez :

    set systemsettings heartbeatinterval=30 inventoryrefreshinterval=45

    [NSSVM-5398]

Web App Firewall NetScaler

  • Configurer la charge utile et la limite de valeur des champs lors de la validation du Web App Firewall

    Vous pouvez désormais configurer la limite pour chaque valeur de champ et chaque charge utile lors de la validation du Web App Firewall à l’aide des paramètres suivants :

    • FieldScan, FieldScanLimit, MessageScan et MessagesCanLimit pour les requêtes HTML
    • JSONFieldScan, JSONFieldScanLimit, JSONMessageScan et JSONMessagesCanLimit pour les requêtes JSON

    Le Web App Firewall inspecte uniquement la valeur de champ configurée et la limite de charge utile. Les données dépassant la limite configurée sont contournées sans exécuter la vérification.

    Pour plus d’informations, consultez la section Paramètres de profil du Web Application Firewall.

    [NSWAF-8983]

Réseau

  • Les licences IPv6 sont activées par défaut

    Les licences IPv6 sont désormais activées par défaut sur les appliances NetScaler. Cette amélioration est utile pour une automatisation fluide dans un réseau IPv6.

    [ NSNET-30868 ]

  • Publicité raffinée des adresses VIP

    NetScaler est désormais amélioré pour ne pas publier d’adresse VIP désactivée, même lorsque les conditions suivantes sont remplies :

    • L’injection RHI (Route Health Injection) est activée sur un serveur virtuel associé à l’adresse VIP.
    • Un serveur virtuel de sauvegarde est configuré et il est en état UP.

    [NSNET-27445]

Plateforme

  • Support pour les nouvelles régions AWS

    NetScaler prend désormais en charge les régions AWS d’Hyderabad et de Jakarta. Pour plus d’informations, consultez la matrice de support AWS-VPX.

    [ NSPLAT-28073 ]

  • Prise en charge des outils VMware 12.3.0 sur l’hôte ESXi

    Les outils VMware qui font partie du package NetScaler VM sont désormais mis à niveau vers la version 12.3.0 pour l’hyperviseur ESXi afin d’inclure les correctifs de sécurité.

    [ NSPLAT-27901 ]

  • Prise en charge de la mise à jour 2 de VMware ESX 8.0 sur NetScaler VPX

    NetScaler VPX prend désormais en charge la mise à jour 2 de VMware ESX 8.0 (build 22380479). Pour plus d’informations, consultez la matrice de support et les directives d’utilisation.

    [TRANSLAT-27755]

  • Prise en charge du type d’instance AWS R7iZ

    NetScaler VPX sur le cloud AWS prend désormais en charge le type d’instance R7iZ. Pour plus d’informations, consultez la matrice de support AWS-VPX.

    [TRANSLAT-26632]

  • Prise en charge de la migration dynamique (anciennement XenMotion) sur NetScaler VPX NetScaler
    VPX sur Citrix Hypervisor prend désormais en charge la migration en direct pour déplacer une machine virtuelle en cours d’exécution d’un hôte vers un autre hôte, lorsque les disques de la machine virtuelle se trouvent sur un espace de stockage partagé par les deux hôtes. Cette fonctionnalité permet de niveler la charge de travail, de renforcer la résilience de l’infrastructure et de mettre à niveau le logiciel du serveur, sans interruption de service de la machine virtuelle.

    Pour plus d’informations, consultez la documentation Citrix Hypervisor sur la migrationdes machines virtuelles.

    [ NSPLAT-25843 ]

  • Politique SELinux pour NetScaler BLX

    Vous pouvez désormais exécuter NetScaler BLX sans désactiver SELinux sur un hôte Linux basé sur RPM. La politique BLX SELinux est appliquée à l’hôte Linux lors de l’installation de NetScaler BLX. Cette politique permet à NetScaler BLX de s’exécuter sur l’hôte Linux.

    [NSLINUX-204]

SSL

  • OID et trap SNMP pour une utilisation du chiffrement symétrique et asymétrique par SSL

    Netscaler peut désormais envoyer des pièges pour une utilisation logicielle symétrique et asymétrique du chiffrement lorsque les seuils configurés sont franchis. Il fournit également un OID SNMP pour lire ces valeurs absolues d’utilisation du chiffrement.

    Auparavant, l’appliance ne disposait que d’une interface de ligne de commande pour lire ces valeurs d’utilisation cryptographique.

    [NSSSL-12607]

System

  • Nouveau compteur pour le suivi des demandes d’URL d’interface d’administration non autorisées

    Le compteur (http_err_admin_ui_requests_dropped) est ajouté pour suivre le nombre de demandes d’URL d’interface d’administration non autorisées qui sont bloquées.

    [NSBASE-18523]

Interface utilisateur

  • Possibilité d’exécuter l’outil de vérification de préconfiguration à l’aide de l’interface graphique

    Vous pouvez désormais exécuter l’outil de vérification de préconfiguration à l’aide de l’interface graphique. Auparavant, vous ne pouviez utiliser l’interface de ligne de commande que pour exécuter l’outil.

    Pour plus d’informations, consultez la section Outil de vérification de préconfiguration.

    [NSUI-19179]

  • Améliorations apportées à la licence NetScaler CPX Express

    Les améliorations suivantes ont été apportées à la licence NetScaler CPX Express :

    • La limite de bande passante est augmentée de 20 Mbps à 100 Mbps.
    • Toutes les fonctionnalités de NetScaler CPX sont disponibles avec la licence NetScaler CPX Express.

    Pour plus d’informations, consultez la section Licences NetScaler CPX.

    [NSCONFIG-8059]

  • Amélioration du script installns

    La rétrogradation échoue si le fichier de configuration de la version vers laquelle vous effectuez la rétrogradation n’existe pas. Vous devez utiliser le `. commande /installns -a’ pour sélectionner un fichier de configuration, puis rétrograder le logiciel système manuellement.

    [NSCONFIG-7676]

  • Avertir les utilisateurs en cas de changement de mot de passe nsroot

    Vous pouvez demander aux utilisateurs de modifier le mot de passe de l’administrateur racine NetScaler (nsroot) avant son expiration.

    Vous pouvez désormais configurer les éléments suivants :

    • Le nombre de jours avant l’expiration du mot de passe pour émettre un avertissement
    • Le nombre de jours restant avant l’expiration du mot de passe

    [NSCONFIG-6840]

Problèmes résolus

Les problèmes résolus dans la version 14.1-17.38.

Infrastructure d’analyse

  • Si vous activez l’analyse sur NetScaler configuré avec des partitions d’administration, il est possible que vous observiez une fuite de mémoire sur NetScaler.

    [NSHELP-36584]

  • NetScaler peut se bloquer lorsque toutes les conditions suivantes sont remplies :

    • Un service interne de NetScaler gère la demande de mise à jour du compteur depuis SNMP et le processus de configuration claire est en cours simultanément.
    • L’utilisation du processeur est accrue.
    • La requête initiée par SNMP concernant une partition est supprimée.

    [NSHELP-36400]

  • Après la mise à niveau de NetScaler vers la version 13.1 49.x, une utilisation élevée du processeur est observée.

    [NSHELP-36389]

  • Lorsque vous essayez de lier une politique SYSLOG à l’entité SYSLOG Global dans un service basé sur un domaine (pour une action Syslog) à l’aide du type de liaison par défaut SYSTEM_GLOBAL, le message d’erreur suivant s’affiche :

    AUCUNE RESSOURCE DE CE TYPE »

    Ce problème se produit si vous aviez précédemment dissocié la stratégie SYSLOG de l’entité SYSLOG Global en utilisant le type de liaison global APPFW_GLOBAL, ce qui a entraîné la suppression interne de l’entité serveur.

    [NSHELP-35668]

Authentification, autorisation et audit

  • Dans l’interface graphique, si vous ajoutez un schéma de connexion dans un flux nFactor et si une adresse IP de cluster est configurée sur NetScaler, l’erreur « La ressource existe déjà » apparaît.

    [NSHELP-36180]

  • NetScaler configuré avec la réinitialisation des mots de passe en libre-service peut se bloquer si la réponse du serveur LDAP est retardée.

    [NSHELP-35586]

  • Dans une configuration HA, les utilisateurs redémarrent fréquemment les instances NetScaler secondaires en raison de fuites de mémoire.

    [NSHELP-28659]

Équilibrage de charge

  • Dans une configuration à haute disponibilité, une utilisation élevée du processeur peut être observée sur le nœud secondaire si le processus de synchronisation automatique entre dans une boucle infinie.

    [NSHELP-37013]

  • Le paramètre de port public des services GSLB n’est pas mis à jour dans les sites GSLB secondaires lorsque l’option de synchronisation automatique est activée. Ce problème se produit lorsque le processus de synchronisation automatique exécute la commande « set gslb service -PublicPort » sur des sites secondaires qui ne la prennent pas en charge.

    [NSHELP-36823]

  • NetScaler peut se bloquer lorsque vous liez un profil réseau à un moniteur d’équilibrage de charge configuré avec une règle d’évaluation après avoir essayé de lier un profil réseau inexistant à ce moniteur.

    [NSHELP-36626]

  • Un serveur virtuel d’équilibrage de charge configuré avec le type de port ANY peut ne pas répondre aux demandes si un groupe de services comprenant quatre serveurs IPv6 ou plus y est lié.

    [NSHELP-36498]

  • Si un enregistrement DNS SOA est configuré avec le même nom que le domaine GSLB et que NetScaler est également configuré en tant que résolveur de serveurs de noms DNS, NetScaler peut répondre de manière incorrecte avec NXDOMAIN aux requêtes de domaine GSLB de type autre que A (IPv4).

    [NSHELP-36451]

  • Dans de rares cas, NetScaler peut répondre à une requête de domaine GSLB avec une adresse IP incorrecte. Ce problème se produit lorsque les groupes de services GSLB à mise à l’échelle automatique basés sur le DNS sont liés au serveur virtuel GSLB.

    [NSHELP-36393]

  • Vous pouvez observer une utilisation élevée du processeur lorsque le démon d’auto-guérison se bloque en raison d’autorisations IAM manquantes et qu’il est redémarré toutes les 10 minutes dans le back-end.

    [NSHELP-36220]

  • Dans une configuration de haute disponibilité, NetScaler peut répondre à une requête de domaine GSLB avec une adresse IP incorrecte lorsque les groupes de services GSLB basés sur le DNS sont liés au serveur virtuel GSLB. Ce problème se produit après un basculement.

    [NSHELP-35633]

  • NetScaler peut se bloquer lorsqu’une adresse IP est supprimée alors qu’elle est liée à un domaine. Ce problème est dû à un TTL faible, qui crée une situation de concurrence entre le moment de la liaison de l’adresse IP et celui de sa suppression.

    [NSHELP-34546]

  • Les sondes du moniteur utilisateur de StoreFront peuvent échouer en raison d’un calcul incorrect du délai d’expiration. Ce problème se produit lorsque le délai d’expiration est défini sur 1 ou 2 secondes lors de la configuration du moniteur utilisateur StoreFront.

    [NSHELP-34418]

  • La sonde de surveillance échoue lorsqu’un utilisateur lie et dissocie un serveur basé sur un domaine à un groupe de services

    [ NSHELP-29330 ]

Divers

  • Après une mise à niveau, NetScaler en mode HA se bloque lorsque AppFlow est activé.

    [NSHELP-37142, NSCXLCM-3613]

  • Les utilisateurs ne peuvent pas lancer de sessions ICA via UDP lorsque le routage basé sur des règles est configuré sur NetScaler Gateway.

    [NSHELP-36448]

  • Après une mise à niveau, les utilisateurs ne peuvent pas télécharger le fichier de configuration de NetScaler Gateway depuis StoreFront.

    [NSHELP-36322]

  • NetScaler peut se bloquer en raison de problèmes liés à l’audio UDP.

    [NSHELP-36188, NSCXLCM-2303]

  • Après une mise à niveau, NetScaler se bloque lorsqu’il ne parvient pas à nettoyer les données de session ICA.

    [NSHELP-36169]

  • Une fuite de mémoire est observée sur NetScaler lors de l’utilisation d’extensions de protocole.

    [ NSEXT-472 ]

NetScaler Gateway

  • Les pages Web accessibles depuis le portail NetScaler Gateway contiennent le protocole HTTP dans l’URL. Avec ce correctif, HTTP est remplacé par HTTPS dans les URL des pages Web accessibles depuis NetScaler Gateway.

    [NSHELP-36832]

  • Dans l’interface graphique de NetScaler (Configuration > Système > Authentification), la section Stratégies avancées est absente pour les utilisateurs possédant une licence NetScaler Gateway.

    [NSHELP-36762]

  • Dans l’interface utilisateur NetScaler (Configuration > Système), après une mise à niveau, la section Profils disparaît lorsqu’une licence NetScaler Gateway est ajoutée.

    [NSHELP-36496]

  • Dans l’interface graphique de NetScaler Gateway, les stratégies ICA liées à un serveur virtuel VPN n’apparaissent pas dans la section NetScaler Gateway > Stratégies > Stratégies et profils ICA NetScaler Gateway > Stratégies ICA.

    [NSHELP-36324]

  • La liaison d’un profil TCP à un service en mode VPN complet ne prend pas effet si le serveur virtuel VPN utilise le profil TCP par défaut.

    [NSHELP-36132]

  • Après une mise à niveau, les paramètres proxy de NetScaler Gateway ne fonctionnent pas en mode VPN complet.

    [NSHELP-35853]

  • Après une mise à niveau, vous ne pouvez pas accéder à l’interface utilisateur de NetScaler via HTTPS via une adresse SNIP lorsque vous êtes connecté à un VPN.

    [NSHELP-35747]

  • Certaines applications intranet ne sont pas accessibles lorsqu’une action de changement de contenu contient un serveur virtuel d’authentification ou un serveur virtuel VPN comme serveur virtuel cible.

    [NSHELP-35582]

Appliance NetScaler SDX

  • Lorsque vous vous connectez à l’interface utilisateur du service de gestion en tant qu’administrateur root à l’aide des informations d’identification par défaut pour la première fois, vous devez modifier le mot de passe par défaut.

    [NSSVM-5767]

  • L’authentification auprès du serveur LDAP externe peut échouer après la mise à niveau du service de gestion.

    [NSHELP-36455, NSHELP-36842]

  • Le message d’erreur attendu ne s’affiche pas dans l’interface utilisateur du service de gestion lorsque vous effectuez les étapes suivantes :

    • Configurez une instance VPX avec l’option Autoriser le mode L2 activée pour un canal de gestion et entrez une valeur pour le paramètre VLAN Tag.
    • Configurez davantage d’instances VPX avec l’option Autoriser le mode L2 activée pour le même canal de gestion et entrez la même valeur pour la balise VLAN que l’instance VPX précédemment configurée.

    [NSHELP-36321]

Web App Firewall NetScaler

  • Les détails de configuration affichés sont incorrects lorsque vous exécutez la commande show après avoir ajouté une liste de contournement et de refus au profil Web App Firewall.

    [NSHELP-37079]

  • NetScaler peut se bloquer lorsque le cookie de session du pare-feu de l’application Web entre en boucle et ne se ferme pas au moment opportun. Ce problème peut se produire lorsque la session passe aux derniers octets du cookie une fois que celui-ci correspond à la valeur configurée, sans modifier la longueur des données restantes.

    [NSHELP-36515]

  • NetScaler peut se bloquer lorsque le contrôle de protection par injection de commandes prend plus de temps que prévu pour effectuer le contrôle de protection par injection de commandes.

    [NSHELP-36343, NSCXLCM-2189]

Réseau

  • Le trafic non TCP vers l’adresse IPv6 du NSIP (NSIP6) peut échouer en raison d’un grand nombre de fuites de ports.

    [NSHELP-36764]

  • Lorsque vous activez le paramètre tcpproxy dans la configuration RNAT, NetScaler peut utiliser les SNiP qui ne sont pas spécifiés dans l’ensemble d’adresses IP et le profil réseau comme adresse IP source pour les communications dorsales.

    [NSHELP-36562, NSCXLCM-2223]

  • NetScaler peut se bloquer en raison d’une incohérence dans la gestion du nombre de références de session.

    [NSHELP-36379]

  • NetScaler peut se bloquer lors du routage d’une réponse TCP si les conditions suivantes sont remplies :

    • Le domaine de trafic et la partition d’administration sont tous deux configurés.
    • Les paquets TCP sont envoyés au même port et à la même adresse IP depuis le domaine de trafic et la partition d’administration simultanément.

    [NSHELP-36202]

  • Le BGP n’a pas pu installer les routes par défaut après le redémarrage de NetScaler en raison d’un retard dans les événements de l’interface réseau de la carte réseau.

    [NSHELP-30262]

  • Il est possible que l’appliance NetScaler ne génère pas de messages d’interruption SNMP « ColdStart » après un redémarrage à froid.

    [NSHELP-27917]

  • L’interface graphique ou la CLI peuvent ne pas afficher tous les gestionnaires SNMP configurés sur NetScaler avec des sessions simultanées

    [NSHELP-25952]

Plateforme

  • NetScaler VPX sur les plates-formes KVM équipées de cartes réseau VirtIO peut signaler un blocage Tx lorsqu’il fonctionne en mode PE unique.

    [NSHELP-37106]

  • Le disque secondaire attaché à une instance NetScaler VPX déployée sur AWS n’est pas détecté pour les types d’instances AWS Xen.

    [NSHELP-36504]

  • Sur NetScaler SDX avec des cartes réseau Intel Fortville, la vitesse de l’interface n’est pas mise à jour dans l’instance VPX lorsque le changement de vitesse de la carte réseau physique se produit quelques secondes après le passage à l’état UP de la liaison.

    [NSHELP-36361]

  • Dans de rares cas, un NetScaler utilisant des cartes réseau 10G et exécutant la version 13.1 peut se bloquer lorsque le trafic est négligeable.

    [ NSHELP-36274 ]

  • Sur NetScaler SDX avec des cartes d’interface réseau Intel Fortville, l’utilisation du processeur de gestion par une instance VPX augmente de 1 % pour chaque interface Fortville ajoutée à l’instance VPX.

    [NSHELP-35445, NSCXLCM-768]

Stratégies

  • Des erreurs peuvent survenir lors de la mise à niveau de NetScaler si les liaisons CMP classiques intégrées par défaut sont présentes dans le fichier ns.conf.

    [ NSPOLICY-5562 ]

  • La mise à niveau d’un NetScaler exécutant la version 13.0 ou antérieure du logiciel vers la version 13.1 ou ultérieure à l’aide de l’API NITRO peut échouer.

    [NSHELP-36685]

  • Dans une configuration de cluster, l’erreur suivante peut se produire lorsque vous tentez de supprimer une action de répondeur de type NOOP :

    « L’action par défaut ne peut pas être supprimée »

    [NSHELP-36194]

SSL

  • Configurer le délai d’expiration DTLS pour retransmettre le dernier paquet depuis NetScaler Dans un déploiement DTLS, vous pouvez désormais configurer la valeur de temporisation initiale pour retransmettre le dernier paquet depuis NetScaler
    . Vous pouvez sélectionner entre 1 seconde et 3 secondes avec la valeur par défaut définie sur 3 secondes.

    Auparavant, 3 secondes étaient codées en dur alors que la RFC recommandait 1 seconde.

    [NSSSL-8868]

  • Vous pouvez observer des échecs d’établissement de liaison SSL après un basculement HA lorsque HSM est configuré à l’aide de l’adresse SNIP.

    [NSHELP-37121]

  • Sur les plates-formes NetScaler MPX et NetScaler SDX contenant des puces Intel SSL, les cartes peuvent ne pas s’afficher après le premier redémarrage ou après un redémarrage à chaud.

    [NSHELP-36506, NSCXLCM-2699, NSCXLCM-2796]

  • Une instance VPX sur SDX FIPS 14000 peut se bloquer en raison d’une possible corruption de la mémoire, si elle est configurée avec des contextes SSL (sessions) supérieurs à 250 K.

    [NSHELP-36503, NSSVM-6019, NSCXLCM-1759]

System

  • La valeur du compteur SI_TOT_ResponseBytes pour les services est beaucoup plus élevée que la taille de réponse réelle sur le serveur virtuel. Cette situation est due à une réorganisation des paquets ou à une perte de paquets sur le réseau entre NetScaler et le serveur.

    [NSHELP-36743]

  • NetScaler peut se bloquer lorsqu’il tente de libérer un segment de mémoire déjà libéré. Ce problème se produit lors de la gestion des données du protocole proxy sur un serveur virtuel d’équilibrage de charge TCP lié à une politique de répondeur dont l’action est définie sur RESET.

    [NSHELP-36729, NSCXLCM-2733, NSHELP-37102]

  • Les pages Web qui utilisent HTTP/2 peuvent ne pas se charger complètement lorsqu’un flux HTTP/2 utilisant la méthode de requête HTTP CONNECT est interrompu.

    [NSHELP-36407, NSBASE-17449]

  • Les requêtes gRPC envoyées au client (VIP) échouent si la taille de la fenêtre pour HTTP/2 est inférieure au message de réponse gRPC de NetScaler.

    [NSHELP-36335]

  • Côté client, les pages HTML peuvent parfois ne pas se charger lorsque Analytics (mesures côté client dans AppFlow) est activé sur NetScaler Console.

    [NSHELP-36318]

  • Les services d’équilibrage de charge attachés au profil TCP dont la valeur d’échelle de fenêtre est supérieure à 12 peuvent tomber en panne lorsqu’ils sont liés à un moniteur de type HTTP.

    [NSHELP-35947]

  • NetScaler peut vider le noyau lorsque vous utilisez la commande unset nstcpprofile pour annuler les paramètres du profil TCP.

    [NSBASE-18724]

  • Dans un NetScaler BLX sur le cloud AWS, le fichier nstrace socket (nstrace.sock) stocké dans le répertoire /var/tmp est parfois supprimé par le processus de nettoyage de systemd.

    [NSBASE-18548]

Interface utilisateur

  • X_25519 n’est pas disponible dans la liste EC_CURVES lorsque vous essayez de lier un EC CURVE à un serveur virtuel ou à un profil SSL.

    [NSUI-18895]

  • Vous ne pouvez pas créer un ensemble de données au format CIDR IPv4 à l’aide de l’interface graphique NetScaler.

    [NSHELP-36659]

  • La modification d’une ACL étendue basée sur un ensemble de données à l’aide de l’interface graphique peut échouer et un message d’erreur s’affiche.

    [ NSHELP-36655 ]

  • Dans l’interface graphique, la page Politiques d’authentification (Serveur virtuel d’authentification > Politique d’authentification > Policy Binding) affiche seulement 25 politiques en raison de problèmes de pagination.

    [NSHELP-36577]

  • Si le mot de passe d’un compte utilisateur expire sur le serveur TACACS, la connexion à l’aide du même compte utilisateur risque de ne pas fonctionner.

    Assurez-vous que les mots de passe de tous les comptes utilisateurs sont mis à jour au plus tard à leur expiration.

    [NSHELP-36453, NSCXLCM-2312]

  • L’interface graphique de NetScaler ne répond pas correctement lors de la configuration de l’exportation des données vers Splunk via l’interface graphique.

    [ NSHELP-36334 ]

  • L’interface graphique NetScaler met plus de temps que d’habitude à afficher les enregistrements DNS, et une utilisation élevée du processeur peut également être observée. Ce problème se produit lorsque le nombre d’enregistrements mis en cache par proxy DNS est élevé.

    [NSHELP-34788]

  • Dans une configuration à haute disponibilité configurée avec un grand nombre (des milliers) de certificats SSL, la synchronisation de la configuration peut prendre plus de temps que d’habitude. Par conséquent, il est possible que l’état de synchronisation soit en cours pendant une longue période.

    [NSHELP-32959, NSCXLCM-1752, NSCXLCM-1989, NSHELP-35003]

  • Interface de ligne de commande (ID de problème 0379234)
    La commande show ns runningConfig affiche l’heure actuelle au lieu de la dernière modification de la configuration.

    [NSHELP-9654]

  • NetScaler peut se bloquer en cas de consommation de mémoire élevée.

    [NSCONFIG-7972, NSCONFIG-7716, NSCXLCM-3380]

Problèmes connus

Les problèmes qui existent dans les versions 14.1-17.38.

Infrastructure d’analyse

  • Lorsque vous installez la console NetScaler sur un cluster Kubernetes, cela ne fonctionne pas comme prévu car les processus requis risquent de ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSANINFRA-1504 ]

Authentification, autorisation et audit

  • Les administrateurs ne peuvent pas effectuer de journalisation personnalisée des échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies du répondeur NetScaler ne détectent pas les erreurs liées aux échecs de connexion.

    [ NSAUTH-11151 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au NetScaler actif principal du cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

  • La page Configurer le serveur LDAP d’authentification sur l’interface graphique de NetScaler ne répond plus si vous suivez les étapes suivantes :

    • L’option Tester l’accessibilité LDAP est ouverte.
    • Les informations d’identification de connexion non valides sont renseignées et envoyées.
    • Les identifiants de connexion valides sont renseignés et envoyés.

    Solution : fermez et ouvrez l’option Tester l’accessibilité LDAP.

    [ NSAUTH-2147 ]

Équilibrage de charge

  • Lorsqu’un site GSLB est renommé, la synchronisation complète de la configuration s’effectue au lieu d’une synchronisation incrémentielle, même si l’option de synchronisation incrémentielle est activée dans NetScaler.

    [NSLB-10884]

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • NetScaler peut se bloquer lorsque les conditions suivantes sont remplies :

    • Un serveur virtuel d’équilibrage de charge ou GSLB est lié à plus de 64 services actifs ou membres de groupes de services.
    • La méthode d’équilibrage de charge de proximité statique est configurée.

    [NSHELP-37111]

Divers

  • Dans une configuration de cluster NetScaler SDX, lorsque vous ajoutez une instance VPX au cluster, l’instance peut se bloquer si toutes les conditions suivantes sont remplies :

    • Le VLAN SDX est configuré.
    • L’adresse SNIP est attachée au VLAN SDX.
    • La synchronisation des clusters de force est effectuée.

    [NSHELP-33874]

NetScaler Gateway

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • L’option du système d’exploitation Windows ne figure pas dans la liste déroulante Expression Editor pour les stratégies de pré-authentification et les actions d’authentification sur l’interface graphique de NetScaler. Toutefois, si vous avez déjà configuré l’analyse du système d’exploitation Windows sur une version précédente de NetScaler à l’aide de l’interface graphique ou de l’interface de ligne de commande, la mise à niveau n’a aucune incidence sur les fonctionnalités. Vous pouvez utiliser l’interface de ligne de commande pour apporter des modifications, si nécessaire.

    Solution :

    Utilisez les commandes CLI pour la configuration.

    • Pour configurer l’action EPA avancée dans l’authentification nFactor, utilisez la commande suivante.
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • Pour configurer une action de pré-authentification classique, utilisez les commandes suivantes.
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [CGOP-22966]

  • Pour utiliser la fonctionnalité Always On VPN avant de se connecter à Windows, il est recommandé de mettre à niveau votre NetScaler Gateway vers la version 13.0 ou ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

    [ CGOP-19355 ]

  • Un message d’erreur s’affiche lorsque vous ajoutez ou modifiez une stratégie de session depuis l’interface graphique de NetScaler.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique. De plus, la page ne répond plus.

    [ CGOP-7269 ]

NetScaler Secure Web Gateway

  • Une appliance NetScaler peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

    [ NSHELP-22409 ]

Réseau

  • Dans certains cas de connexions de données FTP, l’appliance NetScaler effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

    [NSNET-5233]

  • Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance NetScaler, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

    [ NSHELP-21082 ]

Plateforme

  • Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance NetScaler. Utilisez la commande « rm cloudprofile » pour supprimer le profil.

    [NSPLAT-4520]

  • Lorsque vous activez l’hôte géré NetScaler BLX sur le cloud Oracle, la configuration de passerelle de l’hôte Linux n’est pas ajoutée à NetScaler BLX.

    [NSLINUX-155]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les X710 10G (i40e) interfaces Intel sur une appliance NetScaler BLX avec DPDK :

    • Désactiver
    • Activer
    • Reset

    [NSLINUX-64]

  • L’installation d’une appliance NetScaler BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance NetScaler BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get install libc6:i386

    [NSLINUX-5]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

SSL

  • Sur un cluster hétérogène d’appliances NetScaler SDX 22000 et NetScaler SDX 26000, il y a une perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance NetScaler ne renvoie aucune erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation des crl désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

  • Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :

    • une fenêtre de congestion maximale élevée (> 4 Mo) est définie
    • L’algorithme TCP NILE est activé

    Pour qu’une appliance NetScaler utilise l’algorithme NILE pour le contrôle de la congestion, les conditions doivent dépasser le seuil de démarrage lent, qui est associé à la fenêtre de congestion maximale

    Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, NetScaler continue d’accepter des données et se retrouve avec un RTT élevé.

    [NSHELP-31548, NSCXLCM-159]

  • Les sessions ICA peuvent échouer quelques minutes après leur lancement si vous utilisez le navigateur HTML5 et le protocole de transport QUIC.
    Solution: définissez la valeur maximale du délai d’inactivité à 3 600 secondes lorsque vous configurez le profil QUIC.

    [NSBASE-18402]

  • L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

    [ NSBASE-8506 ]

Interface utilisateur

  • Dans l’interface graphique de NetScaler, le lien « Aide » présent sous l’onglet « Tableau de bord » est cassé.

    [NSUI-14752]

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de la CLI NetScaler.

    [NSUI-13024]

  • Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

    [NSUI-6838]

  • Les utilisateurs risquent de ne pas se connecter à l’appliance NetScaler rétrogradée si la séquence de conditions suivante est remplie :

    1. Vous devez effectuer l’une des étapes suivantes :
      • Après la mise à niveau vers la version actuelle, vous ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis vous enregistrez la configuration.
      • Provisionnez une nouvelle instance NetScaler VPX, BLX ou CPX avec la version actuelle.
    2. Rétrogradez l’appliance vers l’une des versions suivantes :
      • 13.1-4.x
      • 13.0-82.x ou version antérieure
      • 12.1-62.x ou version antérieure

    Pour consulter la liste des utilisateurs concernés après la rétrogradation, à l’invite de commande, tapez :
    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
    Solution : Réinitialisez le mot de passe des utilisateurs concernés. Pour plus d’informations, consultez Comment réinitialiser le mot de passe de l’administrateur root (nsroot).
    Remarque : Si vous rétrogradez une version précédemment mise à niveau, utilisez le fichier de configuration sauvegardé (ns.conf) de la version précédente pour éviter ce problème.

    [NSCONFIG-8068]

  • Les utilisateurs risquent de ne pas se connecter à l’appliance NetScaler rétrogradée si la séquence de conditions suivante est remplie :

    1. Vous devez effectuer l’une des étapes suivantes :
      • Après la mise à niveau vers la version actuelle, vous ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis vous enregistrez la configuration.
      • Provisionnez une nouvelle instance VPX, BLX ou CPX avec la version actuelle.
    2. Rétrogradez l’appliance vers l’une des versions suivantes :
      • 13.0-47.x ou version antérieure
      • 12.1-56.x ou version antérieure
      • 11.1-64.x ou version antérieure

    Pour afficher la liste des utilisateurs concernés après la rétrogradation, à l’invite de commande, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution : réinitialisez le mot de passe des utilisateurs concernés. Pour plus d’informations, consultez Comment réinitialiser le mot de passe de l’administrateur root (nsroot).

    Remarque : Si vous rétrogradez une version précédemment mise à niveau, utilisez le fichier de configuration sauvegardé (ns.conf) de la version précédente pour éviter ce problème.

    [NSCONFIG-3188]

Notes de mise à jour pour la version 14.1-17.38 de NetScaler
April 15, 2024
Contributeur: 
C
April 15, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.