产品文档
ADC
14.1 - Current Release 13.1 13.0 12.1
查看 PDF

NetScaler 13.1-33.54 版本的发行说明

March 20, 2024
投稿者: 
C

本发行说明文档介绍了 NetScaler 版本 Build 13.1-33.54 中存在的增强和变更、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关修复和建议的列表,请参阅安全公告。
  • 版本 13.1-33.47 及更高版本解决了 https://support.citrix.com/article/CTX463706 中描述的安全漏洞。
  • Build 33.54 取代了 Build 33.52、Build 33.49 和 Build 33.47。
  • Build 33.54 包括针对以下问题的修复:NSHELP-33250、NSHELP-33345 和 NSHELP-33063。
  • Build 33.52 包含对以下问题的修复:NSHELP-32907。
  • Build 33.49 包括针对以下问题的修复:NSHELP-32709、NSHELP-32697、NSHELP-32410、NSHELP-31790、NSHELP-31478 和 NSCONFIG-7098。

新增功能

Build 13.1-33.54 中提供的增强功能和更改。

机器人管理

  • 与 BOT 相关的新表达式

    添加了以下表达式,在日志模式下配置 BOT 配置文件时可以使用这些表达式:

    • HTTP.REQ.BOT.IS_SUSPECTED -如果怀疑客户端是 BOT,则返回 true。
    • HTTP.REQ.BOT.TYPE.EQ(<bot type>) -如果客户端 BOT 类型与参数相同,则返回 true。BOT 类型的可能值:GOOD、BAD 和 UNKNOWN。
    • HTTP.REQ.BOT.TYPE.NE(<bot type>) -如果客户端 BOT 类型与参数不同,则返回 true。BOT 类型的可能值:GOOD、BAD 和 UNKNOWN。
    • HTTP.REQ.BOT.TYPE.ENUM_NAME -以字符串形式返回 BOT 类型。例如,GOOD、BAD、UNKNOWN。
    • HTTP.REQ.BOT.DETECTION_METHODS -用于将客户端检测为 BOT 的检测技术列表。

    [NSBOT-842]

NetScaler Gateway

  • 配置 SmartControl 后,即使不存在相应的身份验证、授权和审核会话,也会支持会话可靠性。即使相应的身份验证、授权和审核会话不存在,NetScaler 设备在从网络中断恢复后从客户端设备收到的重新连接请求也会得到处理。

    [CGOP-21040]

NetScaler Web App Firewall

  • 新的默认 Web App Firewall 配置文件

    名为 core 的新默认配置文件现已推出,具有核心 WAF 保护。在核心配置文件中启用了以下检查:

    • 基于语法的 SQL 注入
    • 基于语法的 CMD 注入
    • XSS
    • BOF
    • 方块表达式

    [NSWAF-9133]

  • 对 JSON 负载的自定义关键字支持

    您可以添加自己选择的关键字,并检查这些配置的关键字是否存在于 JSON 负载中。如果在传入请求中检测到配置的关键字,则可以将 NetScaler 设备配置为阻止请求、更新日志或增加日志计数器。

    好处是可以添加 SQL 注入和命令注入检查中未涵盖的关键字,从而减少误报。

    [NSWAF-9076]

平台

  • 防止未经授权使用 NetScaler 许可证

    对于将 NetScaler 设备升级到版本 13.1,NetScaler 许可系统现在会根据Customer Success Services 到期日期强制执行许可证验证。如果此日期早于Customer Success Services 资格日期,则现有许可证将无法在 ADC 设备的升级版本上使用。这种行为可以防止未经授权使用许可证。

    有关 NetScaler 产品及其资格日期的列表,请参阅 https://support.citrix.com/article/CTX111618/citrix-product-customer-success-services-eligibility-dates

    [NSPLAT-24522]

  • 处理 Azure 加速联网中的动态 NIC 移除

    NetScaler VPX 实例现在可以在 Azure 加速网络中无缝处理动态网卡移除和重新连接已移除的 NIC。

    Azure 可以在其主机维护活动中移除加速联网的单根 I/O 虚拟化 (SR-IOV) 虚拟功能 (VF) NIC。每当从 Azure 虚拟机中移除 NIC 时,NetScaler VPX 实例都会将接口状态显示为链路关闭,流量仅通过虚拟接口。重新连接已移除的 NIC 后,VPX 实例将使用重新连接的 SR-IOV VF NIC。此过程无缝进行,不需要任何配置。

    [NSPLAT-23300]

  • 支持 Python 3.7

    NetScaler 设备现在支持 Python 3.7,因为 Python 2.7 已过时。

    您必须升级当前的 Python 脚本才能与 Python 3.7 兼容。

    [NSPLAT-20832]

SSL

  • 支持在证书到期之前的周期性通知

    现在,NetScaler 设备每天发送一条通知,直到证书过期。以前,在证书到期前设定的天数内仅发送了一条通知。

    [NSSSL-11874]

  • 增加了“创建证书”请求中电子邮件地址的长度

    在 NetScaler 设备上,创建证书请求中的电子邮件地址限制现已增加到 255 个字符。之前的限制是 39 个字符。

    [NSSSL-10917]

  • 在基于 Intel Coleto 和 Intel Lewisburg 的平台上支持 Thales Luna HSM

    基于 NetScaler Intel Coleto 和 Intel Lewisburg SSL 芯片的平台现在支持 Thales Luna HSM。

    以下设备配备 Intel Coleto 芯片:

    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 15000
    • MPX/SDX 15000-50G
    • MPX/SDX 26000
    • MPX/SDX 26000-50S
    • MPX/SDX 26000-100G

    以下平台随附 Intel Lewisburg 芯片:

    • MPX 9100
    • SDX 9100

    [NSSSL-9707]

系统

  • 在 HTTP 配置文件中添加了新参数

    在 HTTP 配置文件中添加了一个新参数 passProtocolUpgrade,以防止对后端服务器的攻击。根据此参数的状态,升级标头将在发送到后端服务器的请求中传递或删除,然后再发送请求。

    • 如果启用了 passProtocolUpgrade 参数,则升级标头将传递到后端。服务器接受升级请求并在响应中通知它。
    • 如果禁用此参数,则删除升级标头并将剩余的请求发送到后端。

    passProtocolUpgrade 参数已添加到以下配置文件中:

    • nshttp_default_profile ENABLED by default
    • nshttp_default_strict_validation DISABLED by default
    • nshttp_default_internal_apps DISABLED by default
    • nshttp_default_http_quic_profile ENABLED by default

    Citrix 建议默认禁用此参数。有关更多详细信息,请参阅 NetScaler 安全部署指南

    [NSBASE-17423]

  • 多时间序列配置文件支持

    NetScaler 设备现在最多支持三个时间序列配置文件配置。
    您可以将每个时间序列配置文件配置为具有以下内容:

    • 它的收集器
    • 架构文件,其中包含要由指标收集器导出的必需计数器集
    • 可以导出指标的数据格式。
    • 启用或禁用指标、审核日志和事件的选项。

    通过支持多时间序列配置文件,指标收集器可以同时将不同的指标集(基于配置的架构文件)以不同的格式(AVRO、Prometheus、Influx)导出到不同的收集器。

    有关更多信息,请参阅 配置 AppFlow 功能

    [NSBASE-16809]

  • syslog 不会在特定的时间间隔内通过 TCP 导出。由于这种情况,syslog 会无限期地保留在审核缓冲区中,让人感觉到日志丢失。只有在缓冲区已满时才发送此 syslog。

    通过此修复,syslog 将在审核缓冲区已满时通过 TCP 导出,或每隔 20 秒一次(以先发生者为准)导出。

    [NSBASE-16698]

  • 支持 QUIC 的加密卸载

    NetScaler 设备现在支持将加密处理从软件转移到硬件,从而加速 QUIC 交易。NetScaler 设备配备了 SSL 硬件芯片,可以透明地进行加密加速。

    有关更多信息,请参阅 QUIC

    [NSBASE-12046]

用户界面

  • 基于内部服务的 TLS 1.2 设置的安全 RPC 通信

    将 NetScaler 设备从以下版本之一升级到 13.1 版本 33.x 或更高版本后,根据内部 RPCS 和 KRPCS 服务的 TLS 1.2 设置(启用或禁用),RPC 节点的“安全”选项将启用或禁用。

    • 版本 13.0 build 64.35 或更早版本
    • 版本 12.1 版本 61.18 或更早版本

    如果启用了“安全”选项,则将在以下设置的 NetScaler 节点之间加密 RPC 通信:

    • 高可用性
    • 群集
    • GSLB

    “安全”选项使用安全协议 TLS1.2 和端口号 3008 和 3009 进行 NetScaler 节点之间的 RPC 连接。

    为确保 RPC 通信的安全,Citrix 建议在升级这些设置之前执行以下操作:

    • 必须为内部 RPCS 和 KRPCS 服务启用 TLS 1.2:
      • nsrpcs-127.0.0.1-3008
      • nskrpcs-127.0.0.1-3009
      • nsrpcs-::1l-3008
    • 必须在 NetScaler 节点之间的防火墙中解除阻止 3008 和 3009。

    您可以使用 NetScaler CLI 或 GUI 启用或禁用安全选项。

    [NSCONFIG-6485]

  • 支持 NetScaler CPX 许可证聚合器

    现在,您可以使用 NetScaler 提供的一项新的 Kubernetes 微型服务 NetScaler CPX 许可证聚合器来获取 NetScaler CPX 的许可证。启动 NetScaler CPX 时,应使用 NetScaler CPX 许可证聚合器的 IP 地址或域名配置环境变量 CLA。如果配置了环境变量,NetScaler CPX 许可证聚合器将签出所有连接的 NetScaler CPX 的聚合许可证。

    [NSCONFIG-6394]

  • 对安装 NITRO API 的异步选项支持
    “安装 NITRO API”中引入了一个新选项“异步”。“async”选项返回安装操作作业 ID,可以在“nsjob NITRO”API 调用中使用它来检索安装操作的状态详细信息。

    示例:

    在以下 curl 请求示例中,安装 NITRO API 与异步选项一起使用。响应负载包含作业 ID 为 2。

    Curl request:
    “curl -v -X POST -H “Content-Type: application/json” -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/install?warning=yes -d ‘{“install”: {“url”: “https://example-repo.citrite.net/build-13.1-36.11_nc_64.tgz”, “async”:”1”}}’”

    响应有效负载:

    ”{ “install”:{ “url”: "<file path>", “y”: false, “l”: false, “a”: false, “enhancedupgrade”: false, “resizeswapvar”: false, “async”: true, “id”: “2” }”

    在以下 curl 请求示例中,“nsjob NITRO API 用于检索作业 ID 2”(安装操作的 ID)的状态详细信息。

    Curl request:
    “curl -v -X GET -H “Content-Type: application/json” -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/nsjob/2

    响应有效负载:

    ”{ “errorcode”: 0, “message”: “Done”, “severity”: “NONE”, “nsjob”: [

    { “name”: “install”, “id”: “2”, “status”: “Success”, “progress”: “nInstallation has completed.nnReboot is required for configuration changes to take effect.Installation succeeded. Reboot required.n”, “timeelapsed”: 148, “errorcode”: “5221”, “message”: “The configuration changes will not take effect until the system is rebootedn” }

    ]}”

    [NSCONFIG-5870]

已修复的问题

Build 13.1-33.54 中解决的问题。

身份验证、授权和审核

  • 由于 MEM_SSLVPN 模块中存在内存泄漏,NetScaler 设备停止处理请求。

    [NSHELP-32646]

  • NetScaler Gateway Duo 身份验证登录页面未加载 nonRfWebUI 主题。

    [NSHELP-32463]

  • 在 NetScaler Gateway 设备上注册设备时,Citrix 安全访问 (Citrix SSO) 会出现“推送注册失败”消息。

    [NSHELP-32461]

  • 如果以级联方式配置 LDAP 和 SAML 身份验证,则登录期间会显示错误页面。

    [NSHELP-32378]

  • 有时,使用 Citrix Workspace 应用程序对网关进行身份验证不成功。

    [NSHELP-32333]

  • 如果在 NetScaler 设备上启用了内容安全策略 (CSP) 功能,SAML 身份验证将失败。

    [NSHELP-32203]

缓存

  • 如果启用了集成缓存功能且设备内存不足,NetScaler 设备可能会崩溃。

    [NSHELP-22942]

NetScaler SDX 设备

  • 在 NetScaler SDX 设备中,从版本 13.1 版本 30.52 降级到任何较低版本或版本时,“全新安装”选项不起作用。

    [NSSVM-5419]

  • 使用 SDX 和 ADM 备份 NetScaler VPX 实例时,还会备份一些冗余的硬件安全模块 (HSM) 配置文件。

    [NSHELP-32539]

  • NetScaler SDX 设备中的管理服务 syslog 错误地显示了两次日期。

    [NSHELP-32311]

NetScaler Gateway

  • 如果启用了 Gateway Insight 和 Web Insight 功能,NetScaler 设备将崩溃。

    [NSHELP-33345]

  • 有时,在连接代理存在的情况下,RDP 代理不起作用。

    [NSHELP-33063]

  • 如果启用 HDX Insight 并且用户在注销后立即登录 StoreFront,NetScaler Gateway 设备可能会崩溃。

    [NSHELP-32907、NSHELP-33079、NSHELP-33289]

  • 基于补丁集的 MAC 地址 EPA 扫描不能与设备证书扫描一起使用,因素相同。

    [NSHELP-32760]

  • NetScaler 设备会丢弃任何使用用于身份验证流量的未知身份验证方法的 HTTP 数据包。如果使用身份验证和授权虚拟服务器进行身份验证流量,则未知身份验证方法会导致负载平衡操作出现问题,从而中断部署。默认情况下,未知的身份验证方法处于禁用状态。

    [NSHELP-32709]

  • “转移登录信息”对话框不显示“传输”按钮。

    [NSHELP-32614]

  • 在 StoreFront 上配置回调 URL 时,NetScaler 设备在处理来自 StoreFront 服务器的注销请求 POST /CitrixAuthService/AuthService.asmx 时崩溃。

    [NSHELP-32207]

  • 在 NetScaler Gateway 设备中,如果未在会话操作级别设置 VPN 参数,则全局 VPN 参数不会生效。

    在升级高可用性设置之前,请确保手动禁用辅助设备上的 HA 同步。欲了解详情,请参阅 https://docs.citrix.com/en-us/citrix-adc/13-1/upgrade-downgrade-citrix-adc-appliance/upgrade-downgrade-ha-pair.html

    [NSHELP-31478,CGOP-21737]

  • NetScaler Gateway 登录页面标题和门户主题显示不正确。

    [NSHELP-29202]

  • 在配置 IIP 池(IP 地址和掩码)时,如果 IP 地址与范围内的第一个 IP 地址不匹配,NetScaler CLI 和 GUI 仅显示一个区块,而不是全部。

    示例:
    bind vpn vserver vpn_ssl -intranetIP 172.168.1.1 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.1 255.255.255.0

    在这种情况下,CLI 或 GUI 在显示 vpn vserver vpn_ssl 时仅显示 172.168.2.1 池,而不显示 172.168.2.2。

    [NSHELP-29084]

NetScaler Web App Firewall

  • 如果您在以下软件版本上为 NetScaler Web App Firewall 配置签名对象,则独立 NetScaler 设备或高可用性设置中的辅助模式可能会崩溃:

    • 13.0 Build 88.5 及更高版本
    • 13.1 Build 33.41 及更高版本

    [NSHELP-33250]

  • 配置代理服务器和代理端口后,WAF 签名更新失败。在签名自动更新过程每小时运行期间,ADC 设备联系自动更新主机下载更新的文件,而不是通过配置的代理服务器和代理端口。因此,当无法访问自动更新主机时,会出现更新失败。

    [NSHELP-32613]

  • 如果满足以下条件,NetScaler 设备可能会崩溃:

    • 设备上的负载很高。
    • 配置更改正在进行中。
    • 删除签名需要很长时间。

    [NSHELP-32454]

  • 机器人设备指纹会话重放攻击会被记录而不是丢弃。

    [NSHELP-31949]

负载平衡

  • set lb param 命令中启用 useencryptedPersistenceCookie 选项时,对服务组的任何更改都会导致 Cookie 哈希值发生变化。

    [NSHELP-32697]

  • 在极少数情况下,在内容交换虚拟服务器上启用基于 SSL 会话 ID 的持久性和基于 SSL 会话票证的处理时,NetScaler 设备可能会崩溃并生成核心转储。

    [NSHELP-32228]

  • 即使服务器上不存在配置的属性,LDAP 监视器状态仍保持启动。

    [NSHELP-32025]

其他

  • ns_hw_err.bash 在 NetScaler 设备上运行以发现任何硬件问题时,即使存在健康的磁盘,也可能会出现“启动期间找不到 HDD”错误。

    [NSHELP-31571]

  • 当满足以下条件时,群集节点进入数据包循环:

    • 将目标 IP 地址作为 CLIP 的 UDP 数据包发送到群集节点。
    • 在群集实例的生命周期内,CCO 已从一个节点更改为另一个节点。

    [NSHELP-30804]

网络连接

  • 当您在 ConfigMaps 中使用基于文件的启动配置时,NetScaler CPX 在崩溃后无法恢复默认路由配置。这种行为会导致连接中断。

    [NSNET-27124]

  • NetScaler 设备可能会在 UDP 数据包的 IP 标头中添加错误的 IP 校验和。

    [NSHELP-32587]

  • 在 NetScaler BLX 群集设置中,如果满足以下条件,VTYSH 可能无法启动:

    • Linux 主机重新启动导致 NetScaler BLX 路由运行状况注入 (RHI) 进程的订单循环。

    [NSHELP-32473]

  • 当您删除虚拟服务器时,如果满足以下条件,NetScaler 设备会错误地将相关的 VIP RHI 状态设置为关闭:

    • 虚拟服务器有备份虚拟服务器。
    • 虚拟服务器处于 DOWN 状态,至少有一个备份虚拟服务器处于 UP 状态。

    [NSHELP-29972]

平台

  • 当您将软件版本升级到版本 13.1 build 30.x 时,在 AMD 处理器上运行的 NetScaler 设备可能会在启动期间崩溃。

    [NSPLAT-24968,NSHELP-32808]

  • 高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 NetScaler VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

    1. 在 NetScaler 设备的首次启动期间,您不会保存提示的密码。
    2. 随后,您重新启动 NetScaler 设备。

    [NSPLAT-22013]

  • 当包含 Mellanox NIC 的 NetScaler SDX 设备从禁用 VLAN 筛选的版本升级而管理服务在升级过程中尝试禁用 VLAN 筛选时,操作失败。因此,为所有接口和信道启用了 VLAN 过滤。

    [NSHELP-32759]

  • 固件升级后,NetScaler MPX 5900/8900 设备上的管理接口可能会出现故障。因此,设备无法访问。

    [NSHELP-31587]

策略

  • 满足以下条件时,NetScaler 设备可能会在使用 patset 添加策略时崩溃:

    • 在重写 TCP 场景中,与 NSB 关联的标志的设置顺序不正确。

    [NSHELP-31064]

SSL

  • 当虚拟服务器收到带有无效填充的 TLS 1.3 记录时,它会发送致命的“decode_error”警报,而不是“unexpected_message”警报。

    [NSSSL-11890]

  • 在搭载支持 Intel QAT 的加密加速硬件的 NetScaler MPX 和 SDX 平台上,SOURCEIP 持久性类型不一致地应用于通过 TLS 1.3 连接发送到虚拟服务器的请求。也就是说,从单个源 IP 地址发送的请求可能会分配到多个不同的后端服务器。

    [NSHELP-32410、NSHELP-32895、NSHELP-32572、NSHELP-32688]

  • 包含 Cavium SSL 卡的 NetScaler 设备在向客户端发送 DTLS 警报消息时可能会崩溃。

    [NSHELP-32031]

  • 如果对同一请求评估证书身份验证规则并触发两次,NetScaler 设备可能会崩溃。

    [NSHELP-31785]

系统

  • 只有在默认分区中启用 ULFD 模式后,才能在管理分区中启用 AppFlow 功能。

    [NSHELP-32670]

  • 当传入的 TCP 分段中存在部分 HTTP 请求方法时,NetScaler 设备可能会将 HTTP 请求视为无效请求。

    [NSHELP-32462]

  • 如果满足以下条件,NetScaler 设备可能会崩溃:

    • 在 HTTP2 和 SSL 的高内存使用率组合期间,NetScaler 设备无法分配内存。

    [NSHELP-32255]

  • 使用 IP 或 PORT 过滤器启动 nstrace 数据包捕获时,NetScaler 设备在 VPN 设置中崩溃。

    [NSHELP-31790]

  • 满足以下条件时,gRPC 客户端无法解析 gRPC 状态标头:

    • gRPC 状态标头同时添加到前导标头和尾部标头中,而不是仅在尾部标头中添加。

    [NSHELP-31640]

  • 启用 SACK 后,NetScaler 设备不会重新传输重传列表中的最后一个字节 TCP 数据段,原因如下:设备使用最后一个字节的 TCP 段作为虚拟段来标记重传列表的结尾。

    [NSHELP-28778]

用户界面

  • 您无法使用 NetScaler GUI 将 GSLB 服务绑定到 GSLB 虚拟服务器,因为 GSLB 服务 组绑定 > GSLB 服务绑定 > GSLB 服务下的 GSLB 服务 列表显示为空。

    [NSHELP-32236]

  • 使用 NetScaler GUI(系统 > 网络 > 路由)修改静态路由可能会错误地失败,并显示以下错误消息:

    • “缺少必填参数 [网关]”

    [NSHELP-32024]

  • 在 HA/群集设置中,如果您配置了 RSA 以外的 SSH 密钥,则配置同步会失败。例如,ECDSA 或 DSA 密钥。

    [NSHELP-31675]

  • 在 NetScaler GUI 中,如果 系统>SNMP>陷阱下存在现有 SNMP 陷阱目的地,则编辑该目标将失败并显示以下错误消息:

    • “检索 SNMP 陷阱时出错”

    [NSHELP-31661]

  • NetScaler 设备 GUI 未显示已配置的 SAML 和 OAuth IDP 策略的正确数量。

    [NSHELP-31480]

  • 在 NetScaler 设备中,使用 GUI 界面时,响应程序策略页面上会出现以下问题:

    • 自定义创建的响应程序策略可能会显示在内置响应程序策略下方。

    [NSHELP-31428]

  • 在 NetScaler HA 设置中,保存配置并单击“刷新”按钮后,在 NetScaler GUI 中观察到以下问题:

    • 即使设备上没有未保存的配置更改,GUI 也会错误地在“保存”按钮上显示橙点。

    [NSHELP-30031]

  • GSLB 虚拟服务器统计信息在管理员分区模式下不可用。

    [NSHELP-28524]

  • 当设备与 ADM 断开连接时,已从 NetScaler 控制台签出许可的 NetScaler 设备进入宽限期。该设备在 ADM 中显示为未获得许可,即使在重新连接到 ADM 之后,它仍将在宽限期内继续运行。

    [NSCONFIG-7098]

已知问题

版本 13.1-33.54 中存在的问题。

AppFlow

  • HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

    [NSINSIGHT-943]

身份验证、授权和审核

  • 通过 CWA 客户端或本地 VPN 客户端进行的网关身份验证可能会因为 ns_aaa_relaystate_param_whitelist 补丁集中缺少字符串而失败。

    解决方法:

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixauthwebviewdone://" -index 1 -charset ASCII

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixsso://" -index 2 -charset ASCII

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixng://" -index 3 -charset ASCII

    [NSHELP-33054]

  • Content-Type: application/x-www-form-urlencoded 如果您配置了以下两个选项,NetScaler 设备会删除 Content-Type 标头中的字符集后缀并发送。

    • 基于 SSO 表单的身份验证
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [NSHELP-31977]

  • 如果配置了 SAML 身份验证,您可能会在注销期间遇到问题。

    [NSHELP-31962]

  • NetScaler 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    show adfsproxyprofile <profile name>

    解决办法:连接到群集中的主要活动 NetScaler 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

  • 如果执行以下步骤,NetScaler GUI 上的配置身份验证 LDAP 服务器页面将无响应:

    • 测试 LDAP 可达性选项已打开。
    • 填充并提交了无效的登录凭据。
    • 将填充并提交有效的登录凭据。

    解决办法:关闭并打开“测试 LDAP 可访问性”选项。

    [NSAUTH-2147]

缓存

  • 将缓存的内容提供给客户端时,NetScaler 设备崩溃。

    [NSHELP-31760]

  • 如果启用了集成缓存功能且设备内存不足,NetScaler 设备可能会崩溃。

    [NSHELP-22942]

NetScaler SDX 设备

  • 如果满足以下条件,则会在 NetScaler SDX 设备上托管的 VPX 实例上看到丢包:

    • 吞吐量分配模式为突发。
    • 吞吐量和最大突增容量之间存在很大差异。

    [ NSHELP-21992 ]

NetScaler Gateway

  • 对于没有管理权限的用户,Citrix Secure Access 客户端(版本 21.7.1.2 及更高版本)无法升级到更高版本。仅当通过 Citrix NetScaler 设备完成 Citrix Secure Access 客户端升级时,此问题才适用。

    [NSHELP-32793]

  • 当用户单击适用于 Windows 的 Citrix Secure Access 屏幕上的“主页”选项卡时,该页面会显示连接被拒绝的错误。

    [NSHELP-32510]

  • 在使用 Chrome 的 Mac 设备上,VPN 扩展程序在访问两个 FQDN 时崩溃。

    [NSHELP-32144]

  • 由于 EPA 间歇性故障,用户无法登录 VPN。

    [NSHELP-32138]

  • 当设备上没有相应的客户端证书时,使用可选客户端证书的 nFactor 身份验证会失败。

    [NSHELP-32127]

  • 如果启用 HDX Insight,NetScaler Gateway 设备可能会崩溃。

    [NSHELP-32120]

  • 在群集设置中,NetScaler 设备在向客户端发送 CGP_FINISH_REQUEST 请求时崩溃。

    [ NSHELP-32029 ]

  • 启动 UDP 会话时,即使在关闭会话之后,仍然存在陈旧的连接。但是,这些并不是实际的陈旧连接,而是计数器的问题。

    [NSHELP-32009]

  • 在某些情况下,NetScaler Gateway 版本 13.0 或 13.1 中的空代理设置会导致 Citrix SSO 创建不正确的代理设置。

    [NSHELP-31970]

  • Citrix Secure Access 客户端的调试日志控制现在独立于 NetScaler Gateway,可以从插件 UI 中为计算机和用户通道启用或禁用它。

    [NSHELP-31968]

  • 如果 Microsoft Edge 是默认浏览器,则 Citrix Secure Access 用户界面上的主页链接将不起作用。

    [NSHELP-31894]

  • 当用户登录 NetScaler 设备时,如果未安装 Citrix Workspace,则下载 Citrix Workspace 的链接会错误地指向 Citrix Receiver。

    [NSHELP-31877]

  • 当 NOAUTH 配置为第一因素时,Gateway Insight 身份验证失败记录将用户名显示为“匿名”,而第二因素身份验证因凭证无效而失败。只有在使用 nFactor 可视化工具执行配置时才会出现此问题,因为第一个因素是在 nFactor 可视化工具中设计的 NOAUTH 配置的。

    [NSHELP-31795]

  • 如果出现严重延迟或拥塞,则与 Citrix Secure Access 建立的通道之外的资源的直接连接可能会失败。

    [NSHELP-31598]

  • 自定义 EPA 故障日志消息未显示在 NetScaler Gateway 门户上。而是显示“内部错误”消息。

    [NSHELP-31434]

  • 有时,当用户在 Always-On 服务模式下登录 Windows 计算机时,Windows 自动登录不起作用。计算机通道不会过渡到用户通道,并且会出现“正在连接…”显示在 VPN 插件用户界面中。

    [NSHELP-31357、CGOP-21192]

  • 基于策略的路由 (PBR) 策略不会对通过 VPN 的 DNS 流量生效。

    [ NSHELP-31123 ]

  • 如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

    [NSHELP-30662]

  • 将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后,用户无法连接到 NetScaler Gateway 设备。

    [NSHELP-30236]

  • 网关插件成功建立 VPN 通道后,不会立即显示网关主页。要修复此问题,引入了以下注册表值。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    类型:DWORD

    默认情况下,不设置或添加此注册表值。当“SecureChannelResetTimeoutSeconds”的值为 0 或未添加时,处理延迟的修复不起作用,这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复(即在网关插件成功建立 VPN 通道后立即显示主页)。

    [NSHELP-30189]

  • Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

    [NSHELP-29675]

  • 在配置 IIP 池(IP 地址和掩码)时,如果 IP 地址与范围内的第一个 IP 地址不匹配,NetScaler CLI 和 GUI 仅显示一个区块,而不是全部。

    示例:
    bind vpn vserver vpn_ssl -intranetIP 172.168.1.1 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.1 255.255.255.0

    在这种情况下,CLI 或 GUI 在显示 vpn vserver vpn_ssl 时仅显示 172.168.2.1 池,而不显示 172.168.2.2。

    解决办法:使用范围内的第一个 IP 地址配置 IIP 块。

    示例:

    bind vpn vserver vpn_ssl -intranetIP 172.168.1.0 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.0 255.255.255.0

    [NSHELP-29084]

  • 在某些情况下,当服务器证书受信任时,服务器验证代码会失败。因此,最终用户无法访问网关。

    [ NSHELP-28942 ]

  • 您可能会注意到 rdx.js 文件中有一些 Citrix 内部 IP 地址。

    [ NSHELP-28682 ]

  • 如果 macOS 钥匙串中没有客户端证书,则 Citrix SSO for macOS 的客户端证书身份验证将失败。

    [NSHELP-28551]

  • 有时,设置客户端空闲超时后,用户会在几秒钟内注销 NetScaler Gateway。

    [NSHELP-28404]

  • 如果满足以下条件,VPN 插件在 Windows 登录后不会建立通道:

    • NetScaler Gateway 设备已配置为“始终开启”功能
    • 设备配置为基于证书的身份验证,双重身份验证“关闭”

    [NSHELP-23584]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [NSHELP-21897]

  • “show vpn icaconnection”命令无法正确显示 ICA 连接的序列号。之所以出现此问题,是因为运行“show vpn icaconnection”命令时序列号会被任意重置。

    [CGOP-22205]

  • 如果您想在 Windows 登录功能之前使用始终开启 VPN,建议升级到 NetScaler Gateway 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。

    [CGOP-19355]

  • Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

    [CGOP-13621]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 NetScaler 故障转移期间,SR 计数会增加,而不是 NetScaler 控制台中的故障转移计数。

    [CGOP-13511]

  • 从 MAC Receiver 版本 19.6.0.32 或 Citrix Virtual Apps and Desktops 7.18 版本启动 ICA 连接时,HDX Insight 功能将被禁用。

    [CGOP-13494]

  • 启用 EDT Insight 功能后,有时音频通道可能会在出现网络差异时出现故障。

    [CGOP-13493]

  • 在接受来自浏览器的本地主机连接时,无论选择哪种语言,macOS 的“接受连接”对话框都会显示英语内容。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 NetScaler GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示一个严重错误对话框。此外,页面变得无响应。

    [CGOP-7269]

NetScaler Web App Firewall

  • 有时,NetScaler Web App Firewall 需要很长时间才能检测到命令注入。因此,Pitboss 重启了 NetScaler 设备。

    [NSHELP-32654]

  • 机器人设备指纹会话重放攻击会被记录而不是丢弃。

    [NSHELP-31949]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 如果在 GSLB 虚拟服务器上配置了以下设置,NetScaler 设备将无法使用正确的服务 IP 地址响应 GSLB 域查询:

    1. ECS 选项已启用。
    2. 静态邻近被配置为负载平衡方法。

    [NSHELP-32879]

  • 如果用户监视脚本返回的响应大于 1024 字节,NetScaler 设备可能会崩溃并转储内核。

    [ NSHELP-32097 ]

  • 即使服务器上不存在配置的属性,LDAP 监视器状态仍保持启动。

    [NSHELP-32025]

  • 由于极少出现争用情况,本地站点和远程站点之间可能存在不一致之处。这种不一致可能是由于远程站点没有从本地站点学习动态成员。

    由于在数据包引擎之间通信时出现问题,删除远程站点上的动态成员可能不成功。

    [ NSHELP-31982 ]

  • 配置虚拟服务器的优先级顺序后,与 vserverAdvanceSslConfigTable OID 对应的 SNMP WALK 请求会导致核心转储。

    [ NSHELP-31704 ]

  • 服务组的 entityofs 陷阱中的 serviceGroupName 格式如下:
    <service(group)name>?<ip/DBS>?<port>

    在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (“?”) 用作分隔符。NetScaler 发送带有问号的陷阱 (“?”)。在 NetScaler 控制台 GUI 中显示的格式相同。这是预期的行为。

    [NSHELP-28080]

  • 在某些情况下,绑定到服务组的服务器会显示无效的 Cookie 值。您可以在跟踪日志中看到正确的 cookie 值。

    [NSHELP-21196]

其他

  • 在高可用性设置中进行强制同步时,设备将在辅助节点中执行“set urlfiltering parameter”命令。
    因此,辅助节点会跳过任何预定更新,直到“TimeOfDayToUpdateDB”参数中提到的下一个计划时间。

    [NSSWG-849]

  • 如果注册表值大于 2000 字节,AlwaysOnAllow 列表注册表将无法按预期工作。

    [NSHELP-31836]

  • 当满足以下条件时,群集节点进入数据包循环:

    • 将目标 IP 地址作为 CLIP 的 UDP 数据包发送到群集节点。
    • 在群集实例的生命周期内,CCO 已从一个节点更改为另一个节点。

    解决方法:通过使用目标 IP 地址作为 CLIP 地址的特定的 UDP 数据包应用丢弃 ACL,可以避免或终止此数据包循环。

    [NSHELP-30804]

  • 如果 URL 筛选第三方供应商出现连接问题,NetScaler 设备可能会由于管理 CPU 停滞而重新启动。

    [NSHELP-22409]

网络连接

  • 在支持 DPDK 的 NetScaler BLX 设备中,DPDK Intel i350 网卡端口不支持标记的 VLAN。这是因为这是 DPDK 驱动程序中存在的已知问题。

    [NSNET-25299]

  • 如果满足以下所有条件,带有 DPDK 的 NetScaler BLX 设备可能无法重新启动:

    • NetScaler BLX 设备分配的“大页面”数量很少。例如,1G。
    • NetScaler BLX 设备分配了大量的工作进程。例如,28。

    该问题作为错误消息记录在“/var/log/ns.log”中:

    • “BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x”

    注意:x是一个小于等于工作进程数的数字。

    解决方法:分配大量“大页面”,然后重新启动设备。

    [NSNET-25173]

  • 由于 DPDK 易用性功能,处于 DPDK 模式下的 NetScaler BLX 设备可能需要更长的时间才能重新启动。

    [NSNET-24449]

  • 带有 DPDK 的 NetScaler BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 NetScaler BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决办法:在安装 NetScaler BLX 设备之前,在 Linux 主机命令行界面中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get dist-upgrade
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在某些 FTP 数据连接情况下,NetScaler 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

    [NSNET-5233]

  • 在 NetScaler 设备上配置 ECMP 后,SSH 负载平衡连接可能会出现以下问题:

    • NetScaler 设备通过与相同流中其余数据包不同的路由发送第一个数据包。

    [ NSHELP-32089 ]

  • 满足以下条件时,在某些情况下,NetScaler 设备可能会崩溃:

    • NetScaler 设备接收多个具有不同偏移量的第一个片段。
    • NetScaler 设备不会重新组装碎片。

    [ NSHELP-32084 ]

  • 在虚拟服务器上启用“无会话”选项并在服务器端启用 ECMP 的负载平衡配置中,可能会出现以下问题:

    • NetScaler 设备始终通过相同的路由将数据包发送到服务器。

    [ NSHELP-32061 ]

  • 如果满足以下所有条件,NetScaler 设备可能会崩溃:

    • 基于 TTL 的 ACL 超时
    • NetScaler 设备配置了大量 ACL。

    [NSHELP-31307]

  • 当您删除虚拟服务器时,如果满足以下条件,NetScaler 设备会错误地将相关的 VIP RHI 状态设置为关闭:

    • 虚拟服务器有备份虚拟服务器。
    • 虚拟服务器处于 DOWN 状态,至少有一个备份虚拟服务器处于 UP 状态。

    [NSHELP-29972]

  • 在 NetScaler 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。

    [NSHELP-21082]

平台

  • 高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 NetScaler VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

    1. 在 NetScaler 设备的首次启动期间,您不会保存提示的密码。
    2. 随后,您重新启动 NetScaler 设备。

    [NSPLAT-22013]

  • 当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,NetScaler 设备上未安装某些 python 软件包。以下 NetScaler 版本的此问题已修复:

    • 13.1-4.x
    • 13.0-82.31 及更高版本
    • 12.1-62.21 及更高版本

    当您将 NetScaler 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

    • 任何 11.1 版本
    • 12.1-62.21 及更早版本
    • 13.0-81.x 及更早版本

    [NSPLAT-21691]

  • 从 Azure 资源组中删除 AutoScale 设置或 VM 比例集时,请从 NetScaler 实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。

    [NSPLAT-4520]

  • 在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于 AutoScale 云配置文件配置的首次用户 (FTU) 屏幕。
    解决办法:跳过屏幕,登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。

    [NSPLAT-4451]

  • 在 NetScaler SDX 8015/8400/8600 平台上,您可能会看到 Xen Server 的内存消耗增加。
    解决方法:在 Xen Server 上运行以下命令,然后重新启动设备。
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

  • 从 NetScaler 版本 13.1 起,NetScaler 设备无法在具有 8 个 VMXNET3 网络接口的 ESXi 虚拟机管理程序中启动。

    [ NSHELP-31266 ]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决办法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

  • 在 NetScaler 设备中,当满足以下条件时,使用 NSPEPI 工具从经典策略迁移到高级策略的内容交换策略可能不起作用:

    • 这些策略绑定到内容交换虚拟服务器。
    • “caseSensitive”参数设置为 OFF。

    [NSHELP-31951]

  • 满足以下条件时,NetScaler 设备可能会在使用 patset 添加策略时崩溃:

    • 在重写 TCP 场景中,与 NSB 关联的标志的设置顺序不正确。

    [NSHELP-31064]

SSL

  • 在 NetScaler SDX 22000 和 NetScaler SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。NetScaler 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。

    [NSSSL-3184、NSSSL-1379、NSSSL-1394]

  • 包含 Cavium SSL 卡的 NetScaler 设备在向客户端发送 DTLS 警报消息时可能会崩溃。

    [NSHELP-32031]

  • 如果满足以下条件顺序,SSL 握手可能会失败:

    1. 在 DTLS 上启用了 Hello 验证请求 (HVR)。
    2. NetScaler 设备向客户端发送 HVR。
    3. 客户端未收到 HVR。
    4. 客户端尝试重新传输第一个客户端 hello,而不是使用会话 cookie 响应 HVR。

    注意:为了响应重新传输的客户端 hello 消息,ADC 设备最多向客户端发送 HVR 三次。如果未收到正确的响应,则设备握手失败。

    [ NSHELP-31808 ]

  • 如果对同一请求评估证书身份验证规则并触发两次,NetScaler 设备可能会崩溃。

    [NSHELP-31785]

  • 通过群集 IP (CLIP) 地址访问的 NetScaler GUI 不显示与 SSL 虚拟服务器的服务器证书绑定。

    [NSHELP-31602]

  • 如果默身份验证书包中不存在有效的 CA 证书,OCSP 响应验证可能会在 SSL 拦截期间失败。之所以发生故障,是因为使用默身份验证书包而不是配置的证书包错误地完成了 OCSP 响应验证。

    [NSHELP-30594]

  • 在软件模式下处理 SSL 流量时,NetScaler 设备可能会崩溃。

    [ NSHELP-29996 ]

系统

  • 在 NetScaler 设备中,标头修改框架会导致内存损坏。当 NetScaler 设备要使用的 cookie 在转发之前按特定顺序被删除时,就会出现这种情况。

    [NSHELP-32799]

  • 在 NetScaler 设备中,HTTP 配置文件中“maxHeaderFieldLen”参数的默认值会导致以下问题。

    • 升级到 13.0 版本后出现流量故障。

    [NSHELP-32079]

  • 仅在客户端启用 AppFlow 时,NetScaler 设备可能会崩溃。

    [ NSHELP-31892 ]

  • 当配置有 SSL 服务的 NetScaler 设备收到 TCP FIN 控制数据包后接收 TCP RESET 控制数据包时,该设备会崩溃。

    [ NSHELP-31656 ]

  • 满足以下条件时,gRPC 客户端无法解析 gRPC 状态标头:

    • gRPC 状态标头同时添加到前导标头和尾部标头中,而不是仅在尾部标头中添加。

    [NSHELP-31640]

  • 如果满足以下条件,则 TCP 连接的 RTT 为高:

    • 设置了较高的最大拥塞窗口 (>4 MB)
    • TCP NILE 算法已启用

    要使 NetScaler 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口

    因此,在达到配置的最大拥塞窗口之前,NetScaler 会继续接受数据并最终获得高 RTT。

    [NSHELP-31548]

  • 在 NetScaler 设备中,为内容交换或负载平衡虚拟 IP (VIP) 启用 HTTP/2 配置时会出现以下问题。

  • 使用内容检查功能时,使用有效负载插入重写标头可能无法正常工作。

    [NSHELP-30088]

  • 如果设备没有从客户端接收 max_concurrent_stream 设置帧,则默认情况下,MAX_CONCURRENT_STREAMS 值设置为 100。

    [NSHELP-21240]

  • mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

    [NSHELP-10972]

  • 在群集部署中,如果您在非 CCO 节点上运行“force cluster sync”命令,则 ns.log 文件包含重复的日志条目。

    [NSBASE-16304、NSGI-1293]

  • 当您在 Kubernetes 群集上安装 NetScaler 控制台时,它无法按预期运行,因为所需的进程可能无法启动。

    解决方法 :重新启动“管理”窗格。

    [NSBASE-15556]

  • 当为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 将反转。

    [NSBASE-8506]

用户界面

  • 对于 MQTT 重写功能,无法使用 GUI 中的表达式编辑器删除表达式。

    解决方法:通过 CLI 使用 MQTT 类型的添加或编辑操作命令。

    [NSUI-18049]

  • 在 NetScaler GUI 中,“控制板”选项卡下的“帮助”链接已损坏。

    [NSUI-14752]

  • 创建/监视 CloudBridge 连接器向导可能会变得无响应或无法配置 CloudBridge 连接器。

    解决方法:使用 NetScaler GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge 连接器。

    [NSUI-13024]

  • 如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

    [NSUI-6838]

  • 创建 NetScaler Web App Firewall 的配置文件并尝试在“系统”>“报告”中生成应用程序防火墙的配置报告后,出现以下错误:

    “无法加载 PDF 文档。”

    [NSHELP-32469]

  • 在高可用性 (HA) 设置中,在获取 nsconf 工具的本地 IP 地址时,观察到以下问题。

    • 本地主机连接登录失败。如果 HA 设置中的主节点和辅助节点的 RPC 节点密码不同,则会发生此故障。

    解决方法:在 HA 设置中,确保主节点和辅助节点的 RPC 节点密码相同。

    [ NSHELP-32083 ]

  • 在 NetScaler 版本 13.0 中,“配置优先级负载平衡虚拟服务器服务”页面上的“确定”按钮显示为灰色。

    [NSHELP-32007]

  • 用户登录后,NetScaler 设备登录页面可能不会显示有效的用户名。

    [NSHELP-31759]

  • 在 HA/群集设置中,如果您配置了 RSA 以外的 SSH 密钥,则配置同步会失败。例如,ECDSA 或 DSA 密钥。

    [NSHELP-31675]

  • 在 NetScaler GUI 中,如果 系统>SNMP>陷阱下存在现有 SNMP 陷阱目的地,则编辑该目标将失败并显示以下错误消息:

    • “检索 SNMP 陷阱时出错”

    [NSHELP-31661]

  • NetScaler 设备 GUI 未显示已配置的 SAML 和 OAuth IDP 策略的正确数量。

    [NSHELP-31480]

  • 在 NetScaler 设备中,使用 GUI 界面时,响应程序策略页面上会出现以下问题:

    • 自定义创建的响应程序策略可能会显示在内置响应程序策略下方。

    [NSHELP-31428]

  • 在 NetScaler HA 设置中,保存配置并单击“刷新”按钮后,在 NetScaler GUI 中观察到以下问题:

    • 即使设备上没有未保存的配置更改,GUI 也会错误地在“保存”按钮上显示橙点。

    [NSHELP-30031]

  • GSLB 虚拟服务器统计信息在管理员分区模式下不可用。

    [NSHELP-28524]

  • 在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

    • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

    解决方法:仅在 HA 同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

    [ NSHELP-25598 ]

  • 在 NetScaler BLX 设备的高可用性设置中,主节点可能会在阻止任何 CLI 或 API 请求时变得无响应。

    解决方法:重新启动主节点。

    [NSCONFIG-6601]

  • 如果您(系统管理员)在 NetScaler 设备上执行以下所有步骤,则系统用户可能无法登录降级的 NetScaler 设备。

    1. 将 NetScaler 设备升级到其中一个版本
      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 NetScaler 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:要修复此问题,请使用以下独立选项之一:

    • 如果 NetScaler 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 NetScaler 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    有关更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

NetScaler 13.1-33.54 版本的发行说明
March 20, 2024
投稿者: 
C
March 20, 2024
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.