This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 13.1—49.15 Build 的发行说明
本发行说明文档描述了 NetScaler 版本 Build 13.1—49.15 中存在的增强和更改、已修复和已知问题。
备注
- 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
- 版本 13.1-49.15 及更高版本解决了 CTX579459 中描述的安全漏洞。
- Build 13.1-49.15 取代了 Build 13.1-49.13。
- Build 13.1-49.15 包括针对 NSHELP-35981、NSHELP-35915、NSHELP-35734、NSHELP-35726、NSHELP-35042 和 NSHELP-34825 的修复,以及 Build 13.1-49.13 中提供的所有增强功能和错误修复。
- SDX Build 49.14 取代了 SDX Build 49.13。此 SDX 版本修复了之前的 NetScaler ADC 13.1 版本中存在的以下问题:NSSVM-5786。此修复程序仅适用于 SDX 捆绑包,不会影响 ADC nCore 固件。
- Build 13.1—49.13 及更高版本解决了 CTX561482 中描述的安全漏洞。
新增功能
版本 13.1—49.15 中提供的增强和更改。
网络连接
-
在 HA 同步期间禁用命令传播 rn 对于高可用性设置,在 HA 同步
期间禁用命令传播,以防在 HA 同步期间出现命令传播故障。[NSHELP-34253]
平台
-
支持使用 AWS 实例标签查看 NetScaler 软件版本信息
现在,NetScaler VPX 版本信息已添加到 AWS 实例标签字段中。通过此更改,您现在无需登录 NetScaler 实例即可知道软件版本。要在 NetScaler 实例启动时添加此信息,默认 IAM 角色需要“ec2: CreateTags”权限。
[NSPLAT-25066]
已修复的问题
Build 13.1—49.15 中解决的问题。
身份验证、授权和审核
-
当椭圆曲线证书在全球范围内绑定到 VPN 时,配置了 OAuth 身份验证策略的 NetScaler 可能会崩溃。
[NSHELP-34795]
-
会话到期后,当用户尝试使用配置为 GSLB 的 NetScaler 进行身份验证时,会出现 HTTP 404 错误。
[NSHELP-34336]
机器人管理
-
当设备指纹操作设置为 LOG、RESET 或 REDIRECT 时,机器人设备指纹会话重播攻击就会被丢弃。
[NSBOT-1117]
CallHome
-
即使该功能已禁用,Call Home 也会向 NetScaler 技术支持服务器发送遥测数据。
[NSHELP-33240]
负载平衡
-
在 HA 设置中,当满足以下条件时,DNS 服务器可能会间歇性地为 GSLB 域查询发送空响应:
- 持久性是在 GSLB 虚拟服务器上配置的。
- 配置了大量的负载平衡部署。
- 发生 HA 故障转移。
[NSHELP-35981]
-
当满足以下条件时,辅助 NetScaler 可能会崩溃:
- 在高可用性设置中,大量负载平衡服务器配置了负载平衡组。
- 同步进行时,在负载平衡组中的一个负载平衡服务器上执行设置操作。
[NSHELP-34225]
其他
-
在非默认流量域中配置网络配置文件并在 AppFlow 配置中使用时,系统端口将耗尽,流量会受到影响。
[NSHELP-34544]
-
在 NetScaler SDX FIPS 上,当您在 VPX 上执行添加或编辑操作时,会出现以下错误:
“未定义 is_fips_enabled”
[NSSVM-5786]
NetScaler Gateway
-
有时,配置了 VPN 和 AppFlow 的 NetScaler 可能会崩溃,从而导致 HA 故障转移。
[NSHELP-35734,NSCXLCM-1247]
-
当您尝试使用移动浏览器在无客户端 VPN 模式下访问应用程序时,NetScaler Gateway 主页可能无法枚举这些应用程序。
[NSHELP-35541、NSCXLCM-1132、NSCXLCM-1212、NSCXLCM-1248]
NetScaler Web App Firewall
-
当 Web App Firewall 配置文件中的“VerboseLogLevel”设置为“patternPayloadHeader”时,NetScaler 可能会崩溃。
[NSHELP-35915]
-
如果您在 NetScaler 上使用永久许可证,Webroot 可能无法更新 IP 信誉数据库。
[NSHELP-33965]
网络连接
-
在高可用性设置中,修改辅助节点时,如果在 HA 同步过程中从节点中移除路由,则辅助节点会崩溃。
[NSHELP-34927]
-
在高可用性设置中,满足以下两个条件时 show ha 节点可能会显示错误的输出:
-
HA 心跳只能通过单个接口或单个通道交换。
-
接口或通道已禁用。
[NSHELP-34193]
-
平台
-
当您创建用于将 AWS 自动缩放服务添加到 NetScaler VPX 实例的云配置文件时,如果服务控制策略是全局配置的,则该配置文件可能会失败。
[NSHELP-35562]
-
在 AWS 平台上的 HA 对配置中,NetScaler VPX Interfaces 在以下配置的故障转移期间未正确迁移:
- HA 部署在同一个区域中。
- 多个接口使用同一个子网。
[NSHELP-35369]
-
固件升级后,NetScaler MPX 5900/8900 设备上的管理接口可能会出现故障。因此,设备无法访问。
[NSHELP-31587]
用户界面
-
如果您在 NetScaler GUI 上配置响应者策略或重写策略,但未在“日志操作”和“AppFlow 操作”字段中添加任何值(这不是必需的),则会显示以下错误:
Invalid name; names must begin with an alphanumeric character or underscore and must contain only alphanumerics, '_', '%23', '.', ' ', ':', '@', '=' or '-' [logAction, ][NSHELP-35726]
-
创建或删除多个分区时,可能会生成重复的分区 ID。因此,在创建分区时可能会出现以下错误。
Partition-id is already in use by another partition[NSHELP-35042]
-
如果同一个用户绑定到两个不同的分区,则会错误地计算用户会话。这两个分区可以是默认分区、非默认分区或两者兼而有之。
[NSHELP-34971]
-
当满足以下两个条件时,您可能会在 NetScaler 设备中观察到管理 CPU 使用率过高:
- 管理员分区是在设备上配置的。
- 该设备由 NetScaler ADM 管理。
[NSHELP-34825、NSCXLCM-192、NSCXLCM-501、NSCXLCM-1279]
-
在 NetScaler Gateway UI 上修改授权策略表达式时, AAA 选项不会出现在“表达式编辑器”下拉列表中。
[NSHELP-33509]
-
当用户查看内容交换策略上的绑定时,内容交换虚拟服务器的详细信息不会显示在“显示绑定”下的同一行中。
[NSHELP-33149]
已知问题
13.1—49.15 版本中存在的问题。
身份验证、授权和审核
-
在非默认分区中使用身份验证虚拟服务器时,NetScaler 设备可能会崩溃。
[NSHELP-32054,NSCXLCM-640]
-
升级适用于 iOS 的 Citrix SSO 后,您收到的用于身份验证的推送通知可能没有声音。
[NSHELP-27525]
-
管理员无法对因凭据无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题,是因为 NetScaler 响应程序策略无法检测到登录失败的错误。
[NSAUTH-11151]
-
可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
show adfsproxyprofile <profile name>解决办法:连接到群集中的主要活动 NetScaler 并运行
show adfsproxyprofile <profile name>命令。它将显示代理配置文件状态。[NSAUTH-5916]
-
如果执行以下步骤,NetScaler GUI 上的配置身份验证 LDAP 服务器页面将无响应:
- 测试 LDAP 可达性选项已打开。
- 填充并提交了无效的登录凭据。
- 将填充并提交有效的登录凭据。
解决办法:关闭并打开“测试 LDAP 可访问性”选项。
[NSAUTH-2147]
机器人管理
-
如果机器人策略使用具有复杂策略规则的日志操作,则 NetScaler 设备可能会崩溃。
[NSHELP-34999]
负载平衡
-
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。
[NSLB-7679]
-
满足以下一系列条件后,当您引用基于域名的服务 (DBS) 时,NetScaler 可能会崩溃:
- 为 DBS 域名解析到的 IP 地址配置了位置条目。
- DBS 域名被移除,导致域名服务器发出 NXDOMAIN 响应。
- 位置条目已删除。
[NSHELP-35370]
-
在极少数情况下,当满足以下条件时,NetScaler 设备可能会崩溃并生成核心转储:
- 基于 TCP 的 DNS 监视探测器用于监视后端服务。
- 设备内存不足。
[NSHELP-35289]
-
如果将静态邻近配置为 GSLB 方法,并且从数据库中查找客户端位置失败,则可能会出现 CPU 使用率过高。
[NSHELP-33823]
-
在 SOA 联系人信息中,当您输入带有多个点字符(例如
john.doe.example.com)的电子邮件地址时,它会转换为john@doe.example.com。您现在可以使用反斜杠 () 作为转义字符。结果,john.doe.example.com转换为 [john.doe@example.com] (mailto:john@doe.example.com)。[ NSHELP-33610 ]
-
由于检索限速记录和记录老化过程之间的时间问题,NetScaler 可能会崩溃。
[ NSHELP-33349 ]
-
服务组的
entityofs陷阱中的 serviceGroupName 格式如下:
<service(group)name>?<ip/DBS>?<port>在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (“?”) 用作分隔符。NetScaler 发送带有问号的陷阱 (“?”)。该格式在 NetScaler ADM GUI 中显示的内容相同。这是预期的行为。
[NSHELP-28080]
其他
-
在高可用性设置中进行强制同步时,设备会在辅助节点上运行“set urlfilter 参数”命令。
因此,辅助节点会跳过任何预定更新,直到“TimeOfDayToUpdateDB”参数中提到的下一个计划时间。[NSSWG-849]
-
NetScaler Gateway 向 NetScaler ADM 报告授权访问请求作为 SSO 故障。因此,NetScaler ADM 用户界面上的 Gateway > Gateway Insight 页面显示错误的 SSO 失败报告,从而导致虚假警报。
[NSHELP-27992]
-
如果 URL 筛选第三方供应商出现连接问题,NetScaler 设备可能会由于管理 CPU 停滞而重新启动。
[NSHELP-22409]
-
在群集部署中,如果您在非 CCO 节点上运行“force cluster sync”命令,则 ns.log 文件包含重复的日志条目。
[NSANINFRA-2850,NSGI-1293]
-
在 Kubernetes 群集上安装 NetScaler ADM 时,它无法按预期工作,因为所需的进程可能无法启动。
解决方法 :重新启动“管理”窗格。
[NSANINFRA-1504]
-
启用 EDT Insight 功能后,有时音频通道可能会在网络差异期间失败。
[GOPHDX-1055]
-
在高可用性设置中,在 NetScaler 故障转移期间,SR 计数会增加,而不是 NetScaler ADM 中的故障转移计数。
[GOPHDX-1050]
NetScaler Gateway
-
有时,升级后,如果您通过 NetScaler Gateway 连接到 VPN,NetScaler GUI 可能无法通过 HTTP 访问。
[ NSHELP-35015 ]
-
在 NetScaler Gateway 上配置高级无客户端 VPN 访问时,页面可能无法从已添加书签的 URL 加载。
[ NSHELP-33771 ]
-
有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。
[NSHELP-21897]
-
NetScaler GUI 上的预身份验证策略和身份验证操作的表达式编辑器下拉列表中未列出 Windows 操作系统选项。但是,如果您已经使用 GUI 或 CLI 在之前的 NetScaler 版本上配置了 Windows 操作系统扫描,则升级不会影响该功能。如果需要,您可以使用 CLI 进行更改。
解决方法:
使用 CLI 命令进行配置。
-
要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。
add authentication epaAction adv_win_scan -csecexpr "sys.client_expr("sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]")" -
要配置经典的预身份验证操作,请使用以下命令。
add aaa preauthenticationaction win_scan_action ALLOWadd aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]')EXISTS" win_scan_action
[CGOP-22966]
-
-
要在 Windows 登录之前使用始终可用的 VPN 功能,建议您将 NetScaler Gateway 升级到 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。
[CGOP-19355]
-
从 NetScaler GUI 添加或编辑会话策略时,将显示错误消息。
[CGOP-11830]
-
在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示一个严重错误对话框。此外,页面变得无响应。
[CGOP-7269]
NetScaler SDX 设备
-
在 NetScaler SDX FIPS 上,在配置或修改 NetScaler 实例时,“启用 FIPS”选项不可用。
[NSSVM-5848]
NetScaler Web App Firewall
-
如果规则配置了键值对,则无法使用 NetScaler GUI 编辑或删除 JSON 跨站脚本编写放松规则。
[NSHELP-35610]
网络连接
-
在支持 DPDK 的 NetScaler BLX 设备中,DPDK Intel i350 网卡端口不支持标记的 VLAN。这是因为这是 DPDK 驱动程序中存在的已知问题。
[NSNET-25299]
-
如果满足以下所有条件,带有 DPDK 的 NetScaler BLX 设备可能无法重新启动:
- NetScaler BLX 设备分配的“大页面”数量很少。例如,1G。
- NetScaler BLX 设备分配了大量的工作进程。例如,28。
该问题作为错误消息记录在“/var/log/ns.log”中:
- “BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x”
注意:x是一个小于等于工作进程数的数字。
解决方法:分配大量“大页面”,然后重新启动设备。
[NSNET-25173]
-
由于 DPDK 易用性功能,处于 DPDK 模式下的 NetScaler BLX 设备可能需要更长的时间才能重新启动。
[NSNET-24449]
-
带有 DPDK 的 NetScaler BLX 设备上的 Intel
X710 10G (i40e)接口不支持以下接口操作:- 禁用
- 启用
- 重置
[NSNET-16559]
-
在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 NetScaler BLX 设备可能会失败,并出现以下依赖项错误:
“以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”
解决办法:在安装 NetScaler BLX 设备之前,在 Linux 主机命令行界面中运行以下命令:
- dpkg — 添加架构 i386
- apt-get 更新
- apt-get 安装 libc6: i386
[NSNET-14602]
-
在某些 FTP 数据连接情况下,NetScaler 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。
[NSNET-5233]
-
NetScaler 设备不会将 SNMPv3 身份验证失败陷阱消息记录到 NetScaler 日志文件 (“/var/log/ns.log”) 中。
[ NSHELP-33909 ]
-
在 NetScaler 设备中更改管理分区内存限制时,TCP 缓冲内存限制会自动设置为管理分区的新内存限制。
[NSHELP-21082]
平台
-
当您将 NetScaler 设备从 13.1-4.x 版本及更高版本降级到以下任何版本时,某些 python 软件包未安装:
- 任何 11.1 版本
- 12.1—62.21 及更早版本
- 13.0-81.x 及更早版本
[NSPLAT-21691]
-
从 Azure 资源组中删除 AutoScale 设置或 VM 比例集时,请从 NetScaler 实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。
[NSPLAT-4520]
-
在 Azure 上的高可用性设置中,通过 GUI 登录辅助节点时,将显示 AutoScale 云配置文件配置的首次用户 (FTU) 屏幕。 解决办法:跳过屏幕,登录到主节点以创建云配置文件。必须始终在主节点上配置云配置文件。
[NSPLAT-4451]
-
如果 HA 设置中的辅助 NetScaler SDX 配置了共享 CPU 内核,并且通过 VLAN 交换 HA 检测信号,则它尝试过渡到主节点失败。
[NSHELP-32412,NSCXLCM-789]
策略
-
如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。
解决方法:将 TCP 缓冲区大小设置为必须处理的数据的最大大小。
[NSPOLICY-1267]
SSL
-
在 NetScaler SDX 22000 和 NetScaler SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。
解决方法:
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
set ssl vserver <name> -SSL3 DISABLED。 - 保存配置。
[NSSSL-9572]
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
-
如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。
[NSSSL-6478]
-
您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。NetScaler 设备不会返回错误。
[NSSSL-6213]
-
如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
ERROR: crl refresh disabled[NSSSL-6106]
-
会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)
[NSSSL-4427]
-
如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。
[NSSSL-4001]
-
在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。
[NSSSL-3184、NSSSL-1379、NSSSL-1394]
-
您可能会看到 NetScaler 上的 DTLS 流量积聚了大量内存,因为在处理来自客户端的重新传输的握手飞行时,内存未被正确释放。
[ NSHELP-35359 ]
系统
-
当使用 CONNECT HTTP 请求方法的 HTTP/2 流终止时,使用 HTTP/2 的网页可能无法完全加载。
[NSHELP-36407,NSBASE-17449]
-
当 NetScaler 在客户端 TCP 连接上收到 CONNECT HTTP 请求时,它不会重复使用已经发送了“407 代理身份验证”HTTP 响应的先前服务器 TCP 连接。取而代之的是,NetScaler 通过新的 TCP 连接将 CONNECT HTTP 请求转发到后端服务器。在新的 TCP 连接上转发请求会破坏代理身份验证协议,例如 NTLM,这些协议要求在同一 TCP 连接上交换多条 HTTP 身份验证消息。
解决方法:
- 添加自定义 HTTP 配置文件,使用 CONNECT 方法将传入的 HTTP 请求标记为“无效”,并确保标记为“无效”的 HTTP 请求不会被丢弃。
add ns httpprofile fw-proxy-http-prof -markConnReqInval ENABLED -dropInvalReqs DISABLED- 将此自定义 HTTP 配置文件绑定到用于对转发代理服务器池进行负载平衡的负载平衡虚拟服务器。
set lb vs fw-proxy-vs -httpprofileName fw-proxy-http-prof注意: NetScaler 功能策略不评估标记为无效的 HTTP 请求或响应。
[ NSHELP-35717、NSCXLCM-1514 ]
-
当配置有 SSL 服务的 NetScaler 设备收到 TCP FIN 控制数据包后接收 TCP RESET 控制数据包时,该设备会崩溃。
[ NSHELP-31656 ]
-
如果满足以下条件,则 TCP 连接的 RTT 为高:
- 设置了较高的最大拥塞窗口 (>4 MB)
- TCP NILE 算法已启用
要使 NetScaler 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口
因此,在达到配置的最大拥塞窗口之前,NetScaler 会继续接受数据并最终获得高 RTT。
[NSHELP-31548]
-
mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。
[NSBASE-18295]
-
为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 会反转。
[NSBASE-8506]
用户界面
-
在 NetScaler GUI 中,“控制板”选项卡下的“帮助”链接已损坏。
[NSUI-14752]
-
创建/监视 CloudBridge 连接器向导可能会变得无响应或无法配置 CloudBridge 连接器。
解决方法:使用 NetScaler GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge 连接器。
[NSUI-13024]
-
如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。
[NSUI-6838]
-
如果“配置 LB 操作”页面的“值”字段包含空格,则 GUI 不会显示任何错误消息。编辑包含空格的值字段时,GUI 会用逗号替换空格,从而导致配置无效。
[ NSHELP-35532 ]
-
如果您(系统管理员)在 NetScaler 设备上执行以下所有步骤,则系统用户可能无法登录降级的 NetScaler 设备。
- 将 NetScaler 设备升级到其中一个版本
- 13.0 52.24 Build
- 12.1 57.18 Build
- 11.1 65.10 Build
- 添加系统用户或更改现有系统用户的密码,然后保存配置,
- 将 NetScaler 设备降级为任何较旧的版本。
要使用 CLI 显示这些系统用户的列表:
在命令提示符处,键入:query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]解决方法:要修复此问题,请使用以下独立选项之一:
- 如果 NetScaler 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 NetScaler 设备。
- 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
- 如果上述选项都不起作用,系统管理员可以重置系统用户密码。
[NSCONFIG-3188]
- 将 NetScaler 设备升级到其中一个版本
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.