Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF

Notes de mise à jour pour la version 14.1-4.42 de NetScaler

March 17, 2024
Contributeur: 
C

Ce document de notes de mise à jour décrit les améliorations et les modifications, les problèmes résolus et connus qui existent pour la version 14.1-4.42 de NetScaler.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Nouveautés

Les améliorations et modifications disponibles dans les versions 14.1—4.42.

Infrastructure d’analyse

Authentification, autorisation et audit

  • Stocker les valeurs de référence de la classe de contexte d’authentification

    NetScaler configuré en tant qu’IdP local peut stocker les valeurs ACR (Authentication Context Class Reference) fournies par Citrix Workspace pour prendre en charge la fonctionnalité de connexion multidomaine de Citrix Workspace Platform. Lorsque Citrix Workspace envoie les valeurs ACR au point de terminaison d’autorisation OAuth de l’IdP NetScaler, NetScaler stocke les valeurs ACR.

    Les expressions de stratégie aaa.user.wsp.eq("URL") et aaa.user.acr_values.value("wsp").eq("URL") sont introduites dans le cadre de ce support. Vous pouvez utiliser les valeurs ACR pour déterminer le facteur suivant dans le flux nFactor. Pour plus d’informations, consultez la section Stocker les valeurs de référence de la classe de contexte d’authentification.

    [ NSAUTH-12981 ]

Fourniture d’applications NetScaler et analyses de sécurité

  • Support pour un moniteur StoreFront étendu

    NetScaler introduit un moniteur StoreFront étendu qui peut simuler l’authentification et l’énumération des applications sur le magasin Citrix StoreFront pour le compte d’un utilisateur de test. Vous devez préconfigurer et activer ce compte sur StoreFront à des fins de surveillance. Fournissez les informations d’identification de l’utilisateur de test, le nom du magasin et le nssf_extend.pl script permettant d’utiliser les fonctionnalités de ce moniteur. Pour plus d’informations, consultez la section Surveillance étendue de StoreFront.

    [NSADSA-805]

NetScaler Gateway

  • Améliorations apportées au tableau de bord Gateway Insights
    La page de présentation de Gateway > Gateway Insight de l’interface graphique de NetScaler ADM est améliorée avec les fonctionnalités suivantes dans le cadre de l’EPA (End Point Analysis) :
    • Les défaillances de l’EPA sont également affichées pour l’EPA avancée. Les échecs peuvent être signalés si l’EPA est configurée en tant que facteur dans un flux d’authentification nFactor.
    • Description de l’erreur : dans le champ Description de l’erreur, le message « Echec de la vérification préalable à l’authentification EPA » apparaît en cas d’échec d’une vérification EPA.
    • ID de dossier : Dans le champ Nom d’utilisateur, l’identifiant de dossier est affiché sur les entrées auxquelles aucun nom d’utilisateur n’est attribué si l’EPA est utilisé comme facteur dans un flux nfactor.

    Pour plus d’informations, consultez Gateway Insight.

    [CGOP-17730]

Appliance NetScaler SDX

  • Afficher les informations d’expiration des licences d’abonnement

    Vous pouvez désormais consulter les informations d’expiration des licences d’abonnement NetScaler SDX dans le service de gestion en accédant à Système > Licences.

    [NSSVM-5629]

  • Limites de licence accrues pour l’appliance NetScaler SDX 9100

    La limite de licence pour l’appliance NetScaler SDX 9100 passe de 30 Go à 95 Go.

    [NSSVM-5609]

  • Activer, désactiver et modifier les paramètres BMC (LOM) à l’aide de l’interface utilisateur du service de gestion

    Vous pouvez désormais activer, désactiver et modifier les paramètres BMC (LOM) à l’aide de l’interface utilisateur du service de gestion. Accédez à Configuration > Système > Paramètres système > Configurer les paramètres BMC. Les paramètres suivants sont affichés pour toutes les plateformes.

    • Adresse IP
    • Masque de sous-réseau
    • passerelle par défaut

    Sur les plates-formes SDX 9100 et SDX 16000, le paramètre LOM Access est également affiché. L’accès LOM doit être déverrouillé pour modifier les autres paramètres.

    [NSSVM-5558]

  • Modification de la fréquence de surveillance de l’état de XenServer et des alertes d’échec du ping

    La fréquence de surveillance des propriétés de santé d’un XenServer passe de 14 secondes à 1 minute. De même, si un ping envoyé au XenServer échoue, une alerte n’est déclenchée qu’après 10 échecs continus. Auparavant, une alerte était déclenchée pour chaque panne.

    [NSSVM-5510]

  • Sauvegarder les partitions VPX lors de la sauvegarde d’une appliance SDX

    Une appliance NetScaler SDX sauvegarde et restaure désormais les propriétés suivantes des partitions VPX lors de la sauvegarde et de la restauration de l’appliance SDX.

    • Fichier répondeur
    • Partitionnez les MAC

    [NSSVM-5230]

NetScaler Secure Web Gateway

  • Dépréciation de la catégorisation des URL dans la fonction de filtrage des URL

    La catégorisation des URL dans la fonction de filtrage des URL est obsolète dans cette version.

    Remarque : Les fonctionnalités obsolètes ne sont pas supprimées immédiatement. NetScaler continue de conserver cette fonctionnalité obsolète jusqu’à ce qu’elle soit supprimée dans une version ultérieure.

    [NSSWG-1370]

Réseau

  • Core dumps compressés pour l’appliance NetScaler BLX Désormais, l’appliance NetScaler BLX génère des vidages de base compressés si le paramètre core-dumps est activé dans le fichier de configuration NetScaler BLX (blx.conf). Pour plus d’informations, voir Configuration des vidages de base compressés pour NetScaler BLX.

    [NSNET-28478]

  • Service HTTPS interne configurable

    Vous pouvez désormais configurer le service HTTPS interne à l’aide de l’interface graphique, de l’interface de ligne de commande ou des API NITRO. Par exemple, vous pouvez utiliser l’interface de ligne de commande NetScaler pour modifier le nombre maximal de clients pouvant se connecter simultanément au service HTTPS interne.

    Le format de nom du service HTTPS interne est le suivant : nshttps-<loop back IP address>-443

    Utilisez les opérations de commande du service NetScaler pour configurer le service HTTPS interne.

    [NSNET-15878, NSHELP-22575]

  • La propagation des commandes est désactivée pendant la synchronisation HA Pour les configurations haute disponibilité, la propagation des commandes est désactivée pendant la synchronisation HA afin d’éviter les échecs de propagation des commandes pendant la synchronisation HA. Pour plus d’informations, consultez la section Configuration de la propagation des commandes.

    [NSHELP-34253]

  • Fonctionnalité NAT à grande échelle obsolète

    La fonctionnalité NAT à grande échelle (LSN), qui inclut LSN44, Dual-stack lite et LSN64, est obsolète dans cette version. Pour plus d’informations, consultez la section NAT à grande échelle.

    Remarque : Les fonctionnalités obsolètes ne sont pas supprimées immédiatement. L’appliance NetScaler continue de prendre en charge la fonctionnalité obsolète jusqu’à ce qu’elle soit supprimée dans une version ultérieure.

    [NSNET-27990]

Plateforme

  • Suppression du support pour NetScaler MPX 5500, MPX 7500 et MPX 17500

    NetScaler MPX 5500, MPX 7500/9500 et MPX 17500/19500/21500 ne sont pas pris en charge par le microprogramme NetScaler 14.1.

    [ NSPLAT-25839 ]

SSL

  • Renégociations SSL limitant le débit

    Lorsque la renégociation SSL est activée, il n’y a aucune limite au nombre de demandes de renégociation adressées à un NetScaler. Par conséquent, NetScaler peut arrêter de traiter le trafic SSL lorsqu’il reçoit un grand nombre de demandes de renégociation. Cette fonctionnalité limite le nombre de demandes de renégociation reçues en une seconde sur une entité SSL.

    Par exemple, dans les commandes suivantes, « MaxRenegrate » est défini sur 100. Par conséquent, un maximum de 100 demandes par seconde sont autorisées à toutes les entités auxquelles le profil est lié. Vous pouvez définir ce paramètre à l’aide de la add ssl profile commande lors de l’ajout d’un profil SSL. Pour définir ce paramètre après avoir ajouté un profil SSL, utilisez la set ssl profile commande.

    set ssl profile pf1 -denySSLReneg (NO | FRONTEND_CLIENT | FRONTEND_CLIENTSERVER | NONSECURE) -maxRenegRate 100

    add ssl profile pf1 -denySSLReneg (NO | FRONTEND_CLIENT | FRONTEND_CLIENTSERVER | NONSECURE) -maxRenegRate 100

    Pour plus d’informations, consultez la section Renégociations SSL avec limitation de débit.

    [NSSSL-12186]

  • Prise en charge du protocole TLS 1.3 sur les services principaux, les groupes de services et les moniteurs

    Les services dorsaux, les groupes de services et les moniteurs prennent désormais en charge le protocole TLS 1.3 lors de la connexion aux serveurs principaux. Pour plus d’informations, consultez la section Support du protocole TLS 1.3.

    [NSSSL-5970]

System

  • Protection améliorée contre les attaques d’usurpation d’identité TCP

    À compter de la version 14.1-4.x de NetScaler ADC, NetScaler est conforme à la RFC5961, qui fournit une protection améliorée contre les attaques d’usurpation d’identité TCP. Conformément à la norme RFC 5961, NetScaler fournit les fonctionnalités suivantes en plus de l’atténuation de la fenêtre RST et de la protection contre l’usurpation SYN :

    • Réduit la probabilité d’une injection de données non valide.
    • Permet d’imposer une limite au nombre de réponses ACK aux défis par seconde envoyées par le NetScaler.

    Lorsque vous activez la conformité à la RFC 5961, NetScaler répond par un accusé de réception (ACK) en cas de réception d’un RST, d’un SYN ou d’un ACK inacceptable conformément à la norme RFC 5961. Vous pouvez activer la conformité à la RFC 5961 à l’aide de l’interface de ligne de commande et de l’interface graphique. Pour plus d’informations, consultez la section Configurations TCP.

    [NSBASE-17086]

Interface utilisateur

  • Limiter les sessions simultanées pour les utilisateurs au niveau du système

    Vous pouvez désormais limiter le nombre de sessions simultanées autorisées pour tous les utilisateurs au niveau du système. Le paramètre maxsessionperuser de la commande set system parameter vous permet de définir cette limite.

    set system parameter maxsessionperuser <positive integer>

    Si l’utilisateur système est créé sur NetScaler maxsession et qu’une limite est définie pour cet utilisateur maxsession, la priorité est supérieure à cette limite au niveau du système (maxsessionperuser).

    [NSCONFIG-6546]

Problèmes résolus

Les problèmes résolus après la publication de la fonctionnalité 13.1-48.x.

Infrastructure d’analyse

  • Lorsqu’un profil réseau est configuré dans un domaine de trafic autre que celui par défaut et utilisé dans la configuration AppFlow, les ports système sont épuisés et le trafic est affecté.

    [NSHELP-34544]

  • Le ns.log fichier génère les journaux de débogage même lorsque le niveau du journal d’audit est défini sur Aucun et dépasse donc la limite de taille de fichier configurée. Le problème se produit car la stratégie avancée est liée à la journalisation locale, même si cela n’est pas nécessaire.

    [NSHELP-32404]

Authentification, autorisation et audit

  • Un NetScaler configuré avec une stratégie d’authentification OAuth peut se bloquer lorsqu’un certificat de courbe elliptique est lié au VPN de manière globale.

    [NSHELP-34795]

  • Une erreur HTTP 404 s’affiche lorsqu’un utilisateur tente de s’authentifier auprès d’un NetScaler configuré par GSLB après l’expiration de la session.

    [NSHELP-34336]

  • L’appliance NetScaler peut se bloquer lorsque le serveur virtuel d’authentification est utilisé dans une partition autre que celle par défaut.

    [NSHELP-32054, NSCXLCM-640]

  • Après une mise à niveau de Citrix SSO pour iOS, les notifications push que vous recevez à des fins d’authentification peuvent ne pas être accompagnées d’un son.

    [ NSHELP-27525 ]

Gestion des bots

  • L’appliance NetScaler peut se bloquer si la stratégie BOT utilise une action de journal avec des règles de stratégie complexes.

    [NSHELP-34999]

  • Les attaques de rediffusion de sessions par empreinte digitale d’un robot sont abandonnées lorsque l’action d’empreinte digitale de l’appareil est définie sur LOG, RESET ou REDIRECT.

    [NSBOT-1117]

CallHome

  • Call Home envoie des données de télémétrie au serveur de support technique NetScaler même si la fonctionnalité est désactivée.

    [NSHELP-33240]

Équilibrage de charge

  • Dans de rares cas, une appliance NetScaler peut se bloquer et générer un core dump lorsque les conditions suivantes sont remplies :

    • La sonde de surveillance DNS basée sur TCP est utilisée pour surveiller un service principal.
    • La mémoire de l’appliance est insuffisante.

    [NSHELP-35289]

  • Dans une configuration de cluster de huit nœuds ou plus, la fonction d’identifiant de limite de débit peut ne pas fonctionner comme prévu.

    [NSHELP-34555]

  • Le NetScaler secondaire peut se bloquer lorsque les conditions suivantes sont remplies :

    • Dans une configuration à haute disponibilité, un grand nombre de serveurs d’équilibrage de charge sont configurés avec des groupes d’équilibrage de charge.
    • Pendant que la synchronisation est en cours, l’opération définie est exécutée sur l’un des serveurs d’équilibrage de charge du groupe d’équilibrage de charge.

    [NSHELP-34225]

  • Le NetScaler peut se bloquer en raison d’un problème de synchronisation entre la récupération des enregistrements limitant le débit et le processus de vieillissement des enregistrements.

    [NSHELP-33349]

  • Dans certains cas, une fuite de mémoire est observée dans une appliance NetScaler si la stratégie de réécriture DNS est configurée avec l’action DROP.

    [NSHELP-33077]

Divers

  • Lorsqu’une configuration de cluster est inactive, la messagerie nœud à nœud (NNM) peut ajouter un délai de 20 millisecondes pour les paquets ping d’une taille sndbuf spécifiée (commande ping avec option -S).

    [NSHELP-34774]

NetScaler Gateway

  • Parfois, un NetScaler sur lequel VPN et AppFlow sont configurés peut se bloquer, entraînant un basculement HA.

    [NSHELP-35734, NSCXLCM-1247]

  • La page d’accueil de NetScaler Gateway peut ne pas énumérer les applications lorsque vous essayez d’y accéder en mode VPN sans client à l’aide d’un navigateur mobile.

    [NSHELP-35541, NSCXLCM-1132, NSCXLCM-1212, NSCXLCM-1248]

  • Lorsque l’accès VPN sans client avancé est configuré sur NetScaler Gateway, les pages peuvent ne pas être chargées à partir des URL enregistrées dans les favoris.

    [NSHELP-33771]

  • Parfois, lorsque vous établissez une connexion VPN via NetScaler Gateway, vous êtes redirigé vers la page d’accueil avec un texte incorrect dans l’URL. Ce problème se produit lorsque NetScaler est configuré avec le thème du portail RFWebUI.

    [NSHELP-30097, NSCXLCM-481]

  • Lorsque vous créez une entité EULA, le texte s’affiche sur une seule ligne sur le thème du portail RFWebUI de NetScaler Gateway. Ce problème se produit en raison de la balise de saut de <br> ligne HTML. Toutes les balises HTML ainsi que les balises <br> sont temporairement désactivées dans le texte du CLUF. Vous pouvez essayer d’ajouter des sauts de ligne en utilisant \n.

    [CGOP-24534]

Appliance NetScaler SDX

  • Sur NetScaler SDX FIPS, l’erreur suivante apparaît lorsque vous effectuez une opération d’ajout ou de modification sur VPX :

    « is_fips_enabled n’est pas défini »

    [NSSVM-5786]

Web App Firewall NetScaler

  • Le NetScaler peut se bloquer lorsque VerboseLogLevel est défini sur PatternPayloadHeader dans le profil Web App Firewall.

    [ NSHELP-35915 ]

  • La base de données de réputation IP peut ne pas être mise à jour par Webroot si vous utilisez la licence perpétuelle sur NetScaler.

    [NSHELP-33965]

Réseau

  • Les paramètres de la carte réseau NetScaler BLX peuvent toujours être présents sur l’hôte Linux lorsque vous désinstallez l’appliance NetScaler BLX alors qu’elle est en cours d’exécution.

    Solution. Arrêtez l’appliance NetScaler BLX avant de la désinstaller.

    [NSNET-29109]

  • L’appliance NetScaler peut ne pas répondre aux requêtes « SNMP GETBULK ».

    [NSHELP-35902]

  • Dans une configuration à haute disponibilité, le nœud secondaire se bloque lorsqu’un itinéraire est supprimé du nœud dans le cadre de la synchronisation HA pendant que vous le modifiez.

    [NSHELP-34927]

  • Dans une configuration à haute disponibilité, le nœud show ha peut afficher une sortie incorrecte lorsque les deux conditions suivantes sont remplies :

    • Les pulsations cardiaques HA ne sont échangées que via une seule interface ou un seul canal.

    • L’interface ou le canal est désactivé.

    [NSHELP-34193]

  • L’appliance NetScaler n’enregistre pas les messages d’erreur d’authentification SNMPv3 dans le fichier journal NetScaler (» /var/log/ns.log «).

    [NSHELP-33909]

  • Dans une configuration à haute disponibilité, l’état d’un nœud met au moins 60 secondes pour être activé lorsque toutes les conditions suivantes sont remplies :

    • La sécurité intégrée est activée pour la configuration HA
    • La surveillance HA est activée sur plusieurs interfaces
    • L’une des interfaces activées pour la surveillance HA devient inaccessible
    • Au moins l’une des interfaces de surveillance HA est accessible

    Maintenant, avec ce correctif, l’état du nœud devient immédiatement UP lorsque toutes ces conditions sont remplies.

    [NSHELP-32157]

Plateforme

  • Dans une configuration de paire HA sur la plate-forme AWS, les interfaces NetScaler VPX ne migraient pas correctement lors d’un basculement pour la configuration suivante :

    • Le déploiement HA se trouve dans la même zone.
    • Plusieurs interfaces utilisent le même sous-réseau.

    [NSHELP-35369]

  • Vous ne pouvez plus accéder à un Citrix Hypervisor hébergé sur NetScaler SDX à l’aide de protocoles SSL existants, tels que SSLv3, TLS 1.0 et TLS 1.1.

    [NSHELP-33196]

  • Après une mise à niveau du microprogramme, l’interface de gestion d’une appliance NetScaler MPX 5900/8900 peut tomber en panne. Par conséquent, l’appliance est inaccessible.

    [NSHELP-31587]

SSL

  • Sur un NetScaler MPX/SDX 14000 FIPS fonctionnant en mode hybride, la mémoire des clés peut être réinitialisée après la réception de données corrompues dans le cadre d’un échange de clés.

    [NSHELP-35020]

  • Vous pouvez subir un impact momentané sur les performances en cas de trafic intense si la taille totale des certificats client, serveur et CA échangés lors d’une liaison SSL dépasse la limite de 16 000.

    [NSHELP-33905]

System

  • Lorsque le serveur principal envoie une erreur 464 pour une requête HTTP, NetScaler ne la transmet pas au client et, par conséquent, la connexion côté client est bloquée.

    [NSHELP-33571, NSCXLCM-1098]

Interface utilisateur

  • Lorsque vous configurez une politique de répondeur ou une politique de réécriture sur l’interface graphique NetScaler sans ajouter de valeurs dans les champs Log Action et AppFlow Action, qui ne sont pas obligatoires, l’ erreur suivante s’affiche :

    “Nom non valide ; les noms doivent commencer par un caractère alphanumérique ou un trait de soulignement et ne doivent contenir que des caractères alphanumériques, ‘_’, ‘%23’, ‘.’, ‘ ‘, ‘:’, ‘@’, ‘=’ or ‘-‘ [logAction, ]”

    [ NSHELP-35726 ]

  • Les sessions utilisateur sont mal calculées si le même utilisateur est lié à deux partitions différentes. Les deux partitions peuvent être par défaut, non définies par défaut, ou les deux.

    [NSHELP-34971]

  • Lorsque vous modifiez une expression de stratégie d’autorisation dans l’interface utilisateur de NetScaler Gateway, l’option AAA n’apparaît pas dans la liste déroulante « Expression Editor ».

    [NSHELP-33509]

  • Certaines configurations intégrées ne sont pas disponibles lors de la création d’une instance NetScaler ADC.

    [NSHELP-33451, NSCXLCM-502]

  • Dans l’interface graphique de NetScaler, l’authentification nFactor échoue et l’erreur « Aucune stratégie active lors de l’authentification » apparaît. Ce problème se produit lorsqu’une action d’affectation est configurée mais n’est pas liée à une stratégie d’authentification.

    [NSHELP-33339]

  • Lorsqu’un utilisateur consulte la liaison dans une stratégie de commutation de contenu, les détails du serveur virtuel de commutation de contenu ne s’affichent pas sur la même ligne sous Afficher les liaisons.

    [NSHELP-33149]

  • L’interface graphique NetScaler affiche un nombre inférieur d’objets mis en cache par rapport à l’interface de commande.

    [NSHELP-24337]

Problèmes connus

Les problèmes qui existent dans les versions 14.1 à 4.42.

Infrastructure d’analyse

  • Dans un déploiement de cluster, si vous exécutez la commande « forcer la synchronisation du cluster » sur un nœud non CCO, le fichier ns.log contient des entrées de journal dupliquées.

    [NSANINFRA-2850, NSGI-1293]

  • Lorsque vous installez NetScaler ADM sur un cluster Kubernetes, cela ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSANINFRA-1504 ]

Authentification, autorisation et audit

  • Un NetScaler se bloque lorsque les conditions suivantes sont remplies :

    • L’authentification par certificat basée sur 401 s’effectue via un serveur virtuel d’équilibrage de charge.
    • Aucune stratégie d’authentification n’est liée à un serveur virtuel d’authentification.
    • La journalisation des débogues est activée.

    [ NSAUTH-13259 ]

  • Les administrateurs ne peuvent pas effectuer de journalisation personnalisée des échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies du répondeur NetScaler ne détectent pas les erreurs liées aux échecs de connexion.

    [ NSAUTH-11151 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au NetScaler actif principal du cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

  • La page Configurer le serveur LDAP d’authentification sur l’interface graphique de NetScaler ne répond plus si vous suivez les étapes suivantes :

    • L’option Tester l’accessibilité LDAP est ouverte.
    • Les informations d’identification de connexion non valides sont renseignées et envoyées.
    • Les identifiants de connexion valides sont renseignés et envoyés.

    Solution : fermez et ouvrez l’option Tester l’accessibilité LDAP.

    [ NSAUTH-2147 ]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

Divers

  • Lorsque la fonction EDT Insight est activée, les canaux audio peuvent parfois échouer en cas de divergence réseau.

    [GOPHDX-1055]

  • Dans une configuration à haute disponibilité, lors du basculement de NetScaler, le nombre de SR augmente au lieu du nombre de basculements dans NetScaler ADM.

    [GOPHDX-1050]

NetScaler Gateway

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • L’option du système d’exploitation Windows ne figure pas dans la liste déroulante Expression Editor pour les stratégies de pré-authentification et les actions d’authentification sur l’interface graphique de NetScaler. Toutefois, si vous avez déjà configuré l’analyse du système d’exploitation Windows sur une version précédente de NetScaler à l’aide de l’interface graphique ou de l’interface de ligne de commande, la mise à niveau n’a aucune incidence sur les fonctionnalités. Vous pouvez utiliser l’interface de ligne de commande pour apporter des modifications, si nécessaire.

    Solution :

    Utilisez les commandes CLI pour la configuration.

    • Pour configurer l’action EPA avancée dans l’authentification nFactor, utilisez la commande suivante.
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • Pour configurer une action de pré-authentification classique, utilisez les commandes suivantes.
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [CGOP-22966]

  • Pour utiliser la fonctionnalité Always On VPN avant de se connecter à Windows, il est recommandé de mettre à niveau votre NetScaler Gateway vers la version 13.0 ou ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

    [ CGOP-19355 ]

  • Un message d’erreur s’affiche lorsque vous ajoutez ou modifiez une stratégie de session depuis l’interface graphique de NetScaler.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique. De plus, la page ne répond plus.

    [ CGOP-7269 ]

Appliance NetScaler SDX

  • Sur NetScaler SDX FIPS, lors du provisionnement ou de la modification d’une instance NetScaler, l’option « Activer FIPS » n’est pas disponible.

    [NSSVM-5848]

NetScaler Secure Web Gateway

  • Lorsqu’une synchronisation forcée a lieu dans une configuration à haute disponibilité, l’appliance exécute la commande « set urlfiltering parameter » dans le nœud secondaire. Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre « TimeOfDayToUpdateDB ».

    [ NSSWG-849 ]

  • Une appliance NetScaler peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

    [ NSHELP-22409 ]

Réseau

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les X710 10G (i40e) interfaces Intel sur une appliance NetScaler BLX avec DPDK :

    • Désactiver
    • Activer
    • Reset

    [ NSNET-16559 ]

  • L’installation d’une appliance NetScaler BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance NetScaler BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans certains cas de connexions de données FTP, l’appliance NetScaler effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

    [NSNET-5233]

  • Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance NetScaler, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

    [ NSHELP-21082 ]

Plateforme

  • Certains packages python ne sont pas installés lorsque vous rétrogradez l’appliance NetScaler de la version 13.1-4.x et des versions supérieures vers l’une des versions suivantes :

    • Toute version 11.1
    • 12.1-62.21 et versions antérieures
    • 13.0-81.x et versions antérieures

    [NSPLAT-21691]

  • Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance NetScaler. Utilisez la commande « rm cloudprofile » pour supprimer le profil.

    [NSPLAT-4520]

  • Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche.
    Solution : sautez l’écran et connectez-vous au nœud principal pour créer le profil cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

    [NSPLAT-4451]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

SSL

  • Sur un cluster hétérogène d’appliances NetScaler SDX 22000 et NetScaler SDX 26000, il y a une perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance NetScaler ne renvoie aucune erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation des crl désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

  • Les pages Web qui utilisent HTTP/2 peuvent ne pas se charger complètement lorsqu’un flux HTTP/2 utilisant la méthode de requête HTTP CONNECT est interrompu.

    [NSHELP-36407, NSBASE-17449]

  • L’appliance NetScaler configurée avec un service SSL se bloque lorsqu’elle reçoit un paquet de contrôle TCP FIN suivi d’un paquet de contrôle TCP RESET.

    [NSHELP-31656]

  • Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :

    • une fenêtre de congestion maximale élevée (> 4 Mo) est définie
    • L’algorithme TCP NILE est activé

    Pour qu’une appliance NetScaler utilise l’algorithme NILE pour le contrôle de la congestion, les conditions doivent dépasser le seuil de démarrage lent, qui est associé à la fenêtre de congestion maximale

    Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, NetScaler continue d’accepter des données et se retrouve avec un RTT élevé.

    [NSHELP-31548]

  • Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

    [ NSBASE-18295 ]

  • L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

    [ NSBASE-8506 ]

Interface utilisateur

  • Dans l’interface graphique de NetScaler, le lien « Aide » présent sous l’onglet « Tableau de bord » est cassé.

    [NSUI-14752]

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de la CLI NetScaler.

    [NSUI-13024]

  • Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

    [NSUI-6838]

Notes de mise à jour pour la version 14.1-4.42 de NetScaler
March 17, 2024
Contributeur: 
C
March 17, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.