产品文档
ADC
14.1 - Current Release 13.1 13.0 12.1
查看 PDF

NetScaler 13.1-45.64 版本的发行说明

March 20, 2024
投稿者: 
C

本发行说明文档描述了 NetScaler 版本 Build 13.1-45.64 中存在的增强功能和更改、已修复的问题和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • Build 13.1-45.61 及更高版本解决了 CTX477714 中描述的安全漏洞。
  • Build 13.1-45.64 取代了 Build 13.1-45.61 和 Build 13.1-45.63。但是,如果您已升级到 Build 13.1-45.61,则可能会看到配置丢失。有关修复步骤,请参阅 CTX547038
  • Build 13.1-45.63 包括针对 NSSSL-12761 和 NSHELP-35058 的修复,以及版本 13.1-45.61 中提供的所有增强功能和错误修复。
  • Build 13.1-45.64 包括对 NSBASE-18162 (NSHELP-35288) 的修复,以及版本 13.1-45.63 中提供的所有增强功能和错误修复。

新增功能

Build 13.1-45.64 中提供的增强功能和更改。

NetScaler SDX 设备

  • 升级 SDX 设备期间的其他检查

    现在,如果管理服务与 XenServer/Citrix Hypervisor 的 Secure Shell (SSH) 连接失败,则不允许升级 NetScaler SDX 设备。

    [NSSVM-5114]

  • 创建管理员配置文件时启用或禁用密码复杂性

    NetScaler SDX 设备现在支持使用 GUI 或 CLI 在 VPX 实例上启用或禁用密码复杂性。

    • 启用密码复杂性后,所需的最小密码长度为 4 个字符,之前是 6 个字符。
    • 禁用密码复杂性时,所需的最小密码长度为 1 个字符。

    [NSSVM-4889]

NetScaler Web App Firewall

  • 为 NetScaler Web App Firewall、机器人和 IP 信誉配置代理身份验证

    现在,您可以为 NetScaler Web App Firewall 签名更新、机器人签名更新和信誉更新配置代理身份验证。代理身份验证为您的设备提供了一层额外的安全保护。启用代理身份验证的 NetScaler 设备在从 Internet 下载更新之前,会使用代理服务器进行身份验证。这样,您可以保护您的设备免受恶意下载。
    要配置代理身份验证,请在以下安全功能的设置中指定代理用户名和密码:

    • NetScaler Web App Firewall。有关更多信息,请参阅 引擎设置
    • 机器人。有关更多信息,请参阅 机器人检测
    • IP声誉。有关更多信息,请参阅 IP 信誉

    [NSWAF-9532]

  • apache_mode 属性已过时

    add appfw profile 命令中 invalidPercentHandling 参数的 apache_mode 属性已过时。

    [NSWAF-4110]

负载平衡

  • 增加自定义条目的最大数量

    现在,您最多可以添加 3000 个自定义位置条目来指定 IP 地址范围的位置限定符。这些实体用于 GSLB 静态邻近方法和位置匹配策略。

    有关更多信息,请参见 向静态邻近数据库添加自定义条目

    [NSLB-9755]

网络连接

  • 支持 NetScaler BLX 设备的自动配置

    为 NetScaler BLX 设备添加了以下自动配置功能:

    • 您可以将 NetScaler BLX 设备配置为自动将所有 Linux 主机 NIC 端口添加为该设备的专用端口。要进行此自动配置,必须将 blx-managed-host 设置为 1,并在 NetScaler BLX 配置文件 (blx.conf) 中注释包含 interface 参数的两行。设备会自动将所有 Linux 主机 NIC 端口添加为专用端口。此外,设备会自动检测兼容 DPDK 的 NIC 端口,并将它们绑定到 Linux 主机上的 DPDK VFIO 模块。
    • 您可以将 NetScaler BLX 设备配置为专用模式,以自动设置该设备的 NSIP 地址和默认网关。要进行此自动配置,必须将 blx-managed-host 设置为 1 并在 NetScaler BLX 配置文件 (blx.conf) 中注释包含 ipaddressdefault 参数的行。设备选择一个专用 NIC 端口作为默认端口,该端口的网关路由在 Linux 主机上具有最高优先级。默认端口 IP 地址和默认网关设置为 NetScaler BLX 设备的 NSIP 地址和默认网关。

    [NSNET-27468]

  • RHEL 版本 9.x 支持 NetScaler BLX 设备

    Red Hat 企业 Linux (RHEL) 9.x 版平台现在支持 NetScaler BLX 设备。

    [NSNET-27421]

策略

  • 能够在 NetScaler BLX 和 CPX 设备上使用 NSPEPI 工具

    NetScaler CPX 和 BLX 设备现在支持 NSPEPI 和检查无效配置工具。

    [NSPOLICY-4872]

SSL

  • 使用未知的服务器名称继续 SSL 握手

    现在,即使服务器名称未知,NetScaler 设备也允许继续 SSL 握手,并将放弃或完成握手的决定权留给客户端。

    早些时候,设备在收到带有未知服务器名称的客户端 hello 时终止了 SSL 握手。

    [NSSSL-10918]

系统

  • HTTP PUT 请求方法的压缩支持
    NetScaler 设备现在会压缩从服务器收到的使用 PUT 请求的 HTTP 响应。

    [NSHELP-32695]

  • 配置指标收集器的导出频率

    默认情况下,指标收集器支持每 30 秒导出一次时间序列分析数据。现在,您可以将其配置为 30 到 300 秒之间的值,以便可以决定从 NetScaler 导出时间序列分析配置文件数据的间隔。

    [NSBASE-17561]

  • 支持将审核日志直接导出到 Splunk

    审核日志记录使您能够记录 NetScaler 状态和由 NetScaler 中各种模块收集的状态信息。您可以将审核日志从 NetScaler 导出到 Splunk,并获得有助于故障排除的有意义的见解。此功能使您能够使用 Splunk 提供的 HTTP 事件收集器通过 HTTP(或 HTTPS)将审核日志直接从 NetScaler 发送到 Splunk。

    [NSBASE-17559]

  • 支持 WebSocket HTTP/2 连接多路复用

    NetScaler 设备现在支持 WebSocket 连接的多路复用。通过 HTTP/2 支持 WebSocket 连接。您可以使用 CLI 或 GUI 启用 WebSocket 连接。

    [NSBASE-17307]

已修复的问题

Build 13.1-45.64 中解决的问题。

AppFlow

  • NetScaler 实例中的指标收集器会间歇性地停止响应。因此,每当指标收集器停止响应时,一个间隔(30 秒)的分析数据可能无法导出。

    [NSHELP-34048]

身份验证、授权和审核

  • 在某些启用了 GSLB 的 NetScaler 设备上,由于 URL 计算无效,从身份验证虚拟服务器重定向到负载平衡虚拟服务器会失败。

    [NSHELP-33459]

  • 当 NetScaler 用作 OpenID 提供商 (OAuth IdP) 并配置了 GSLB 时,在令牌验证期间,依赖方 (RP) 的 OAuth 身份验证会失败,这可能会导致 OAuth 中继方 (RP) 的身份验证失败。

    [NSHELP-33455]

  • 当 NetScaler 设备配置为 SAML 服务提供商并更新 SSL 证书时,它可能会崩溃。

    [NSHELP-33243、NSHELP-32966、NSHELP-33242、NSHELP-34366]

  • 由于令牌解析问题,NetScaler 设备上的 OAuth 身份验证失败。

    [NSHELP-31573]

机器人管理

  • 禁用 IP 信誉功能时,NetScaler 设备会尝试下载 IP 数据库数据。

    [NSHELP-34488]

缓存

  • 如果在后端服务器中修改了缓存对象的 Cache-Control 标头中的 Max-Age 值,NetScaler 设备可能会重新启动。

    [NSHELP-34078]

  • 在群集设置中,使用 CLIP 地址访问群集设置时,GUI 或 CLI 中显示的缓存全局策略信息不完整。

    [NSCACHE-521]

NetScaler SDX 设备

  • 尝试从管理服务控制面板访问“核心分配”时,NetScaler SDX 设备可能会崩溃。

    [NSHELP-34537]

  • 有时,如果分配给 VPX 实例的非对称加密单元 (ACU) 和对称加密单元 (SCU) 不是数据包引擎 (PE) 核心的倍数,则 NetScaler SDX 设备可能无法按预期运行。也就是说,1000* 个 PE 内核。

    [NSHELP-34389]

  • 从管理服务 UI 编辑 VPX 实例上的任何属性时,管理服务 (SVM) 可能会崩溃。

    [NSHELP-34297]

  • 当您尝试通过导航到“配置”>“系统”>“设置向导”>“管理网络”>“编辑支持性 IP”来更改 NetScaler SDX 设备中的支持性 IP 地址时,它无法保存更改。当您在提示符中单击“是”时,更改会卡住。浏览器中显示未定义的参考错误。

    修复:在引用之前检查未定义的对象。

    [NSHELP-34141]

NetScaler Gateway

  • 升级后,启用 HDX Insight 时,NetScaler 设备可能会崩溃。

    [NSHELP-35058]

  • 升级后,NetScaler 设备在启动 RDP 代理连接时可能会崩溃。

    [NSHELP-33420]

  • 重新配置 VPN 会话操作后,将在 VPN 会话操作中取消设置 Always On 配置文件。

    [NSHELP-33396]

  • 升级后,NetScaler 设备可能会在第一次 HA 同步期间崩溃。

    [NSHELP-32957]

NetScaler Web App Firewall

  • 如果 Web App Firewall 签名规则包含以下任何对象,则 NetScaler 设备可能会在 HA 部署期间崩溃:

    • Patsets
    • 数据集
    • 字符串映射
    • 已命名的表达式

    [NSHELP-34338]

  • 导出放松规则时,下载会花费更多时间,而且文件未完全下载。如果文件大小超过 5MB,则会出现此问题。

    [NSHELP-34044]

  • 在虚拟服务器上更新 Web App Firewall 策略时,会出现以下问题:

    • NetScaler GUI 和 CLI 没有响应或花费的时间比平时长。
    • 数据包 CPU 利用率已提高到 100%
    • 持续会话的数量已增加。

    [NSHELP-33975]

  • 如果 JSON 命令注入放松规则中包含分号 (;) 或句点 (.),则该规则可能不起作用。

    [NSHELP-33606]

负载平衡

  • 当满足以下条件时,NetScaler 设备会崩溃,您取消绑定所有服务并重新绑定它们。

    • 负载平衡虚拟服务器是使用基于哈希的方法配置的。
    • 服务优先绑定到此虚拟服务器。

    [NSHELP-34314]

  • 在 HA 设置中,当绑定到多个虚拟服务器的服务组被删除时,NetScaler 设备会崩溃。

    [NSHELP-34029]

  • 在 NetScaler 设备上添加或修改负载平衡配置时可能会出现以下错误:

    配置可能不一致。请使用“show configstatus”命令进行检查或重新启动。

    将 set lb vserver 命令与 HttpsRedirectUrl 和 RedirectFromPort 参数一起使用时,会出现此问题。

    [NSHELP-33912]

  • 在极少数情况下,nsmap 会崩溃。因此,某些使用地理定位数据库的 NetScaler 设备可能无法按预期运行。

    [NSHELP-33840]

  • 如果在高可用性设置中禁用然后启用服务,则故障转移发生时,一些显示器可能会进入 SKIP_OFS 状态。

    [NSHELP-33717]

  • show cs vserver 命令不显示规则参数,即使该参数已在内容交换策略中配置并绑定到内容交换虚拟服务器。

    [NSHELP-33506]

  • 在连接镜像期间,当重写策略大于 30 字节时,NetScaler 设备会崩溃。

    [NSHELP-32902]

  • 即使带宽使用量在配置的限制之内,也会生成 SNMP 警报。比较两种不同的数据类型时会出现此问题,其中一个参数在递增时会出现问题。

    [NSHELP-32509]

  • 发送巨型数据包时,设置了连接镜像的 NetScaler 设备崩溃。

    [NSHELP-31072]

  • 满足以下条件时,NetScaler VPX 设备会崩溃:

    1. 自动同步选项用于将配置与其他 GSLB 站点同步。
    2. 用于获取 GSLB 缓存的化身号是 1024 的倍数。

    [NSHELP-30075]

  • 在 GSLB 设置中,从属站点缺少 SSL 证书。如果启用了自动同步选项,并且从属站点拥有主站点上不可用的 SSL 证书,则会出现此问题。

    [NSHELP-29309]

其他

  • 当您在 NetScaler 设备上运行“ns_hw_err.bash”脚本时,会出现以下错误消息:
    “错误:无法打开文件 ns_hw_plugins.py: [Errno 2] 没有此类文件或目录”

    [NSHELP-32991]

  • 在群集设置中,当群集 IP 地址配置在与 NSIP 地址的子网不同的子网中时,文件自动同步会失败。

    [NSHELP-29988]

平台

  • 在将 ADC 设备升级到版本 13.1 build 42.47 后,在某些公共云 VPX 部署中,您可能会看到 HTTP 和 TCP 服务在 UP 和 DOWN 状态之间跳动。

    [NSPLAT-26310]

  • 在运行 BMC 固件版本 4.08 的 SDX 设备上,当您从 13.0 build 84.X 执行单包升级时,系统启动期间的熄灯管理 (LOM) 固件升级到 4.14 可能会间歇性卡住并在 30 分钟后超时。

    [NSPLAT-26148]

  • 在 AWS 云上 NetScaler VPX 实例的 HA 设置中,存储在 /var/log/ 位置的“cloud-ha-daemon.log”文件中的内容会打印两次而不是一次。

    [NSPLAT-25687]

  • 在 NetScaler SDX 设备上,即使 SDX 设备中有足够的吞吐量来处理突发流量,VPX 实例仍可能以配置为突发模式的一部分的最小吞吐量值运行。

    [NSHELP-33875,NSHELP-34667]

  • 在 NetScaler MPX 9100、MPX 9100T、MPX 16000 和 MPX 16000T 平台上,如果许可证主机 ID 发生变化,该设备可能会在未获得许可的情况下运行。

    [NSHELP-33745、NSHELP-33756、NSHELP-33801]

SSL

  • 将证书密钥对和 ECC 曲线绑定到 SSL 服务、服务组或内部服务的命令未保存在配置 (ns.conf) 中。

    [NSSSL-12761]

  • 升级到版本 13.1 build 37.x 后,即使配置未更改,也可能无法使用 TLSv1.0 协议进行协商。

    [NSHELP-34345]

系统

  • 由于 Content-Length HTTP 响应标头字段的值中添加了前导空格字符,NetScaler 设备压缩的 HTTP 响应可能会导致某些 HTTP(S) 客户端出现故障。

    [NSHELP-34660]

  • 配置为记录所有 HTTP 标头的 NetScaler 设备在收到超过 20 个标头的 HTTP 请求或响应时崩溃。

    [NSHELP-34145]

  • 如果在管理分区中配置了 rest 类型的 AppFlow 收集器,NetScaler 设备可能会崩溃。

    [NSHELP-33600]

  • 在 NetScaler 版本 13.1 build 33.47 及更高版本中,您无法使用 GUI 或 CLI 启用或禁用事件、指标和审核日志参数。

    [NSHELP-33247]

  • 满足以下条件时,gRPC 客户端无法解析 gRPC 状态标头:

    • gRPC 状态标头同时添加到前导标头和尾部标头中,而不是仅在尾部标头中添加。

    [NSHELP-31640]

  • 如果满足以下两个条件,NetScaler 设备中可能会发生内存泄漏:

    • HTTP 压缩功能已启用。
    • 连接在交易中途重置。

    [NSHELP-30631]

  • 当启用了 HTTP/2 的虚拟服务器为 HTTP/2 请求生成响应,而不是将请求转发到后端服务时,Citrix ADC 设备可能会崩溃。

    [NSBASE-18162,NSHELP-35288]

  • NetScaler 设备向客户端发出的仅限标头的 gRPC 响应不包含 gRPC 状态和 gRPC 消息。

    [NSBASE-17802]

用户界面

  • 如果您使用的是管理分区,则无法使用 GUI 删除 SSL 证书。

    [NSHELP-34429]

  • 在 NetScaler GUI 中,“配置内容交换策略绑定”页面中的“绑 到”列显示字符串“CS 虚拟服务器”,而不是策略绑定到的内容交换虚拟服务器的实际名称。

    [NSHELP-34374]

  • 当您使用 NetScaler GUI 时,为 HTTP 配置文件配置替代服务可能会失败。

    [NSHELP-34304]

  • 将 AppFW 配置文件绑定到日志表达式时,状态参数默认设置为启用。但是,当系统升级时,参数将重置为禁用。

    [NSHELP-34187]

  • NetScaler GUI 的“诊断”页面(“系统 > 诊断”)上存在的任何核心文件的下载都可能因错误而失败。

    [NSHELP-33644]

  • 在 NetScaler GUI 中,当您单击特定类型的 SNMP 陷阱的编辑按钮时,将显示通用类型 SNMP 陷阱的详细信息,而不是特定类型的 SNMP 陷阱。

    [NSHELP-33520]

  • NITRO Python SDK 按名称调用失败,以下资源出现错误消息“赋值前引用了局部变量’响应’”:

    • appfwhtmlerrorpage
    • appfwjsonerrorpage
    • appfwprotofile
    • appfwsignatures
    • appfwwsdl
    • appfwxmlerrorpage
    • appfwxmlschema
    • botsignature
    • responderhtmlpage

    [NSHELP-32525]

  • 在群集设置中,对 CLIP 地址执行的 show HTTP monitor 操作不显示多值 HTTP 响应代码。

    [NSCONFIG-7107]

已知问题

Build 13.1-45.64 中存在的问题。

身份验证、授权和审核

  • 在非默认分区中使用身份验证虚拟服务器时,NetScaler 设备可能会崩溃。

    [NSHELP-32054]

  • 管理员无法对因凭据无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题,是因为 NetScaler 响应程序策略无法检测到登录失败的错误。

    [NSAUTH-11151]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    show adfsproxyprofile <profile name>

    解决办法:连接到群集中的主要活动 NetScaler 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

  • 如果执行以下步骤,NetScaler GUI 上的配置身份验证 LDAP 服务器页面将无响应:

    • 测试 LDAP 可达性选项已打开。
    • 填充并提交了无效的登录凭据。
    • 将填充并提交有效的登录凭据。

    解决办法:关闭并打开“测试 LDAP 可访问性”选项。

    [NSAUTH-2147]

NetScaler Gateway

  • 在 Citrix Secure Access 客户端上将拆分通道设置为“关”时,无法访问与欺诈 IP 地址范围重叠的 Intranet 资源。

    [NSHELP-34334]

  • 由于网关服务器的可访问性,Always-On VPN 连接在启动时会间歇性失败。

    [NSHELP-33500]

  • 如果与 Citrix Secure Access 相关的注册表值大于 1500 个字符,日志收集器将无法收集错误日志。

    [NSHELP-33457]

  • 使用 Windows 筛选平台 (WFP) 驱动程序时,有时在重新连接 VPN 后无法访问内联网。

    [NSHELP-32978]

  • 对于没有管理权限的用户,Citrix Secure Access 客户端(版本 21.7.1.2 及更高版本)无法升级到更高版本。仅当通过 Citrix NetScaler 设备完成 Citrix Secure Access 客户端升级时,此问题才适用。

    [NSHELP-32793]

  • 当用户单击适用于 Windows 的 Citrix Secure Access 屏幕上的“主页”选项卡时,该页面会显示连接被拒绝的错误。

    [NSHELP-32510]

  • 在使用 Chrome 的 Mac 设备上,VPN 扩展程序在访问两个 FQDN 时崩溃。

    [NSHELP-32144]

  • 在某些情况下,NetScaler Gateway 13.0 或 13.1 中的空代理设置会导致 Citrix SSO 创建不正确的代理设置。

    [NSHELP-31970]

  • 如果出现严重延迟或拥塞,则与 Citrix Secure Access 建立的通道之外的资源的直接连接可能会失败。

    [NSHELP-31598]

  • 自定义 EPA 故障日志消息未显示在 NetScaler Gateway 门户上。而是显示“内部错误”消息。

    [NSHELP-31434]

  • 有时,当用户在 Always-On 服务模式下登录 Windows 计算机时,Windows 自动登录不起作用。计算机通道不会过渡到用户通道,并且会出现“正在连接…”显示在 VPN 插件用户界面中。

    [NSHELP-31357, CGOP-21192, NSHELP-34211]

  • 如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

    [NSHELP-30662]

  • 将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后,用户无法连接到 NetScaler Gateway 设备。

    [NSHELP-30236]

  • 网关插件成功建立 VPN 通道后,不会立即显示网关主页。要修复此问题,引入了以下注册表值。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    类型:DWORD

    默认情况下,不设置或添加此注册表值。当“SecureChannelResetTimeoutSeconds”的值为 0 或未添加时,处理延迟的修复不起作用,这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复(即在网关插件成功建立 VPN 通道后立即显示主页)。

    [NSHELP-30189]

  • Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

    [NSHELP-29675]

  • 如果 macOS 钥匙串中没有客户端证书,则 Citrix SSO for macOS 的客户端证书身份验证将失败。

    [NSHELP-28551]

  • 有时,设置客户端空闲超时后,用户会在几秒钟内注销 NetScaler Gateway。

    [NSHELP-28404]

  • 如果满足以下条件,VPN 插件在 Windows 登录后不会建立通道:

    • NetScaler Gateway 设备已配置为“始终开启”功能
    • 设备配置为基于证书的身份验证,双重身份验证“关闭”

    [NSHELP-23584]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [NSHELP-21897]

  • 在 NetScaler 群集设置中,不能同时启用 HDX Insight 和 Gateway Insight。

    [CGOP-23570]

  • NetScaler GUI 上的预身份验证策略和身份验证操作的表达式编辑器下拉列表中未列出 Windows 操作系统选项。但是,如果您已经使用 GUI 或 CLI 在之前的 NetScaler 版本上配置了 Windows 操作系统扫描,则升级不会影响该功能。如果需要,您可以使用 CLI 进行更改。

    解决方法:

    使用 CLI 命令进行配置。

    • 要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • 要配置经典的预身份验证操作,请使用以下命令。
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [CGOP-22966]

  • 如果您想在 Windows 登录功能之前使用始终开启 VPN,建议升级到 NetScaler Gateway 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。

    [CGOP-19355]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 NetScaler 故障转移期间,SR 计数会增加,而不是 NetScaler 控制台中的故障转移计数。

    [CGOP-13511]

  • 从 MAC Receiver 版本 19.6.0.32 或 Citrix Virtual Apps and Desktops 7.18 版本启动 ICA 连接时,HDX Insight 功能将被禁用。

    [CGOP-13494]

  • 启用 EDT Insight 功能后,有时音频通道可能会在出现网络差异时出现故障。

    [CGOP-13493]

  • 在接受来自浏览器的本地主机连接时,无论选择哪种语言,macOS 的“接受连接”对话框都会显示英语内容。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 NetScaler GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示一个严重错误对话框。此外,页面变得无响应。

    [CGOP-7269]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 服务组的 entityofs 陷阱中的 serviceGroupName 格式如下:
    <service(group)name>?<ip/DBS>?<port>

    在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (“?”) 用作分隔符。NetScaler 发送带有问号的陷阱 (“?”)。在 NetScaler 控制台 GUI 中显示的格式相同。这是预期的行为。

    [NSHELP-28080]

其他

  • 在高可用性设置中进行强制同步时,设备将在辅助节点中执行“set urlfiltering parameter”命令。
    因此,辅助节点会跳过任何预定更新,直到“TimeOfDayToUpdateDB”参数中提到的下一个计划时间。

    [NSSWG-849]

  • 如果注册表值大于 2000 字节,AlwaysOnAllow 列表注册表将无法按预期工作。

    [NSHELP-31836]

  • 如果 URL 筛选第三方供应商出现连接问题,NetScaler 设备可能会由于管理 CPU 停滞而重新启动。

    [NSHELP-22409]

网络连接

  • 在支持 DPDK 的 NetScaler BLX 设备中,DPDK Intel i350 网卡端口不支持标记的 VLAN。这是因为这是 DPDK 驱动程序中存在的已知问题。

    [NSNET-25299]

  • 如果满足以下所有条件,带有 DPDK 的 NetScaler BLX 设备可能无法重新启动:

    • NetScaler BLX 设备分配的“大页面”数量很少。例如,1G。
    • NetScaler BLX 设备分配了大量的工作进程。例如,28。

    该问题作为错误消息记录在“/var/log/ns.log”中:

    • “BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x”

    注意:x是一个小于等于工作进程数的数字。

    解决方法:分配大量“大页面”,然后重新启动设备。

    [NSNET-25173]

  • 由于 DPDK 易用性功能,处于 DPDK 模式下的 NetScaler BLX 设备可能需要更长的时间才能重新启动。

    [NSNET-24449]

  • 带有 DPDK 的 NetScaler BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 NetScaler BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决办法:在安装 NetScaler BLX 设备之前,在 Linux 主机命令行界面中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在某些 FTP 数据连接情况下,NetScaler 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

    [NSNET-5233]

  • 冷重启后,NetScaler 设备可能无法生成“coldStart”SNMP 陷阱消息。

    [NSHELP-27917]

  • 在 NetScaler 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。

    [NSHELP-21082]

平台

  • 当您将 NetScaler 设备从 13.1-4.x 版本及更高版本降级到以下任何版本时,某些 python 软件包未安装:

    • 任何 11.1 版本
    • 12.1-62.21 及更早版本
    • 13.0-81.x 及更早版本

    [NSPLAT-21691]

  • 从 Azure 资源组中删除 AutoScale 设置或 VM 比例集时,请从 NetScaler 实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。

    [NSPLAT-4520]

  • 在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于 AutoScale 云配置文件配置的首次用户 (FTU) 屏幕。
    解决办法:跳过屏幕,登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。

    [NSPLAT-4451]

  • 如果 VRID 绑定到未配置成员接口的 LA 通道,则 NetScaler 设备会崩溃。

    解决办法:在将 VRID 绑定到 LA 通道之前,为 LA 通道配置成员接口。

    [NSPLAT-26707]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决办法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

SSL

  • 在 NetScaler SDX 22000 和 NetScaler SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。NetScaler 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。

    [NSSSL-3184、NSSSL-1379、NSSSL-1394]

系统

  • 当使用 CONNECT HTTP 请求方法的 HTTP/2 流终止时,使用 HTTP/2 的网页可能无法完全加载。

    [NSHELP-36407,NSBASE-17449]

  • 如果满足以下条件,则 TCP 连接的 RTT 为高:

    • 设置了较高的最大拥塞窗口 (>4 MB)
    • TCP NILE 算法已启用

    要使 NetScaler 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口

    因此,在达到配置的最大拥塞窗口之前,NetScaler 会继续接受数据并最终获得高 RTT。

    [NSHELP-31548]

  • 如果设备没有从客户端接收 max_concurrent_stream 设置帧,则默认情况下,MAX_CONCURRENT_STREAMS 值设置为 100。

    [NSHELP-21240]

  • mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

    [NSHELP-10972]

  • 在群集部署中,如果您在非 CCO 节点上运行“force cluster sync”命令,则 ns.log 文件包含重复的日志条目。

    [NSBASE-16304、NSGI-1293]

  • 当您在 Kubernetes 群集上安装 NetScaler 控制台时,它无法按预期运行,因为所需的进程可能无法启动。

    解决方法 :重新启动“管理”窗格。

    [NSBASE-15556]

  • 当为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 将反转。

    [NSBASE-8506]

用户界面

  • 在 NetScaler GUI 中,“控制板”选项卡下的“帮助”链接已损坏。

    [NSUI-14752]

  • 创建/监视 CloudBridge 连接器向导可能会变得无响应或无法配置 CloudBridge 连接器。

    解决方法:使用 NetScaler GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge 连接器。

    [NSUI-13024]

  • 如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

    [NSUI-6838]

  • 在 NetScaler BLX 设备的高可用性设置中,主节点可能会在阻止任何 CLI 或 API 请求时变得无响应。

    解决方法:重新启动主节点。

    [NSCONFIG-6601]

  • 如果您(系统管理员)在 NetScaler 设备上执行以下所有步骤,则系统用户可能无法登录降级的 NetScaler 设备。

    1. 将 NetScaler 设备升级到其中一个版本
      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 NetScaler 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:要修复此问题,请使用以下独立选项之一:

    • 如果 NetScaler 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 NetScaler 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    有关更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

NetScaler 13.1-45.64 版本的发行说明
March 20, 2024
投稿者: 
C
March 20, 2024
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.