This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 13.1-50.23 版本的发行说明
本发行说明文档介绍了 NetScaler 版本 Build 13.1-50.23 的增强和更改、已修复和已知问题。
备注
- 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
新增功能
版本 13.1-50.23 中提供的增强功能和更改。
其他
-
用于上载技术支持包的身份验证令牌
将技术支持包直接从 NetScaler 上载到 Citrix 技术支持服务器时,您现在需要一个身份验证令牌。以前,您需要 Citrix 用户名和密码才能上载技术支持包。有关更多信息,请参阅 如何生成用于解决设备问题的技术支持包。
[NSTOOLS-3019]
平台
-
支持新的 SNMP MIB 作为速率限制指标
为 NetScaler 添加了一个新的 SNMP MIB,用于获取每秒的数据包数和每秒比特数。此 MIB 可帮助您了解 NetScaler 的当前速率限制指标。有关更多信息,请参阅 NetScaler 13.1SNMP OID 参考文档。
[NSPLAT-26679]
-
在带有 10G/25G/40G 网卡的 NetScaler SDX 上支持更新的网卡驱动程序和固件
当您升级到单包映像 (SBI) 版本 14.1-8.x 及更高版本或 13.1-50.x 及更高版本时,10G/25G/40G NIC 驱动程序和固件将在以下平台上自动升级到 8.70 版。网卡固件版本 8.70 修复了 CVE-2020-8690、CVE-2020-8691、CVE-2020-8692 和 CVE-2020-8693。
- SDX 8900
- SDX 14000-40G
- SDX 15000
- SDX 15000-50G
- SDX 25000-40G
- SDX 16000
- SDX 9100
- SDX 26000
- SDX 26000-50S
[NSPLAT-23460]
已修复的问题
版本 13.1-50.23 中解决的问题。
分析基础结构
-
当有多个全局绑定到一个 NetScaler 的 AppFlow 策略时,取消其中一个策略的绑定也会使其他策略失效。
[NSHELP-35960]
-
如果满足以下所有条件,NetScaler 可能会崩溃:
- 在分析配置文件或 AppFlow 参数中启用了事件、审核日志或指标。
- 配置了响应端重写策略。
[NSHELP-35550]
-
重新启动 NetScaler 后,即使之前已禁用 SNMP 警报,它也会自动重新启用。
[NSHELP-34745]
-
配置了多重身份验证的 NetScaler 在策略评估期间崩溃。
[NSHELP-33674]
-
重启后,如果 newnslog 配置文件为空,则 VPX 会继续重启。
[NSHELP-33373]
-
在群集部署中,当您在该节点上执行“强制群集同步”或“重新启动”操作时,非 CCO 节点不会将 TCP 系统日志消息发送到外部 syslog 服务器。
[NSHELP-32925]
-
当满足以下两个条件时,
show syslogAction
命令将在输出中显示未解析的 IP 地址:- 在传输模式下使用带有域名的 SYSLOG 操作 UDP。
- 服务器上的 ICMP 已被禁用。
出现此问题的原因是,由于无法通过 ICMP 访问服务器,ping-default 监视器将服务标记为关闭。因此,即使 IP 地址已解析,也不会显示在输出中。
[NSHELP-32886,NSHELP-33392]
-
即使审核日志级别设置为 none,
ns.log
文件也会生成调试日志,因此超过了配置的文件大小限制。之所以出现此问题,是因为高级策略绑定到本地日志记录,即使不是必需的。[NSHELP-32404、NSCXLCM-1374、NSCXLCM-1551、NSCXLCM-1708]
-
在群集环境中,将 syslog 策略绑定到 lb 虚拟服务器时,NetScaler 可能会看到 nsppe 崩溃。
[NSHELP-30983,NSANINFRA-21]
身份验证、授权和审核
-
升级后,“AAA DHT:由于子类型 1 无效,VPN 进入恢复通知失败”消息反复出现在 NetScaler 日志文件中。
[NSHELP-35649]
-
升级后,用户无法重置过期的 NetScaler Gateway 密码。当使用双重身份验证登录架构的 StoreFront 身份验证被配置为 nfactor 流中的第二因素时,就会出现此问题。
[NSHELP-35631]
-
在 NetScaler GUI 身份验证服务器页面(配置 > 身份验证 > 控制板)中,状态列无法正确加载,并出现“正在进行中的小图像”消息。正在进行服务器配置的条目会出现此问题。
[NSHELP-34534]
-
当同时有大量传入请求时,Kerberos SSO 可能会失败。
[NSHELP-34177]
-
如果使用 NAT IP 地址配置 TACACS 身份验证,则使用 NetScaler CLI 运行命令可能会出现延迟。
[NSHELP-32960]
-
配置为 SAML 服务提供商的 NetScaler 可能会向 SAML 注销请求发送两个响应。当注销请求包含“SAML 请求”参数时,就会出现此问题。
[NSHELP-32555]
-
在非默认分区中使用身份验证虚拟服务器时,NetScaler 可能会崩溃。
[NSHELP-32054、NSCXLCM-640、NSCXLCM-1577]
-
如果将以下身份验证方法之一用作第二个因素,并且在 nFactor 流程中配置了后续因素并需要用户交互,NetScaler 可能会崩溃。
- SAML
- OAuth
- 客户端证书
[NSHELP-29573、NSCXLCM-492、NSCXLCM-872、NSCXLCM-1216、NSHELP-32631、NSHELP-32765]
机器人管理
-
在极少数情况下,使用设备指纹检测技术时,网页可能无法加载。
[NSHELP-34742]
负载平衡
-
更改辅助节点的 RPC 密码后,辅助节点的 GSLB 同步失败。
[NSLB-9788]
-
当 GLSB 响应的 IP 地址超过 300 个时,NetScaler 可能会崩溃。
[NSHELP-35792]
-
在流量域部署中,当网络配置文件绑定到 DNS 虚拟服务器时,DNS 查询的负载平衡可能会失败。
[NSHELP-35675]
- 满足以下一系列条件后,当您引用基于域名的服务 (DBS) 时,NetScaler 可能会崩溃:
- 为 DBS 域名解析到的 IP 地址配置了位置条目。
- DBS 域名被移除,导致域名服务器发出 NXDOMAIN 响应。
- 位置条目已删除。
[NSHELP-35370]
-
在极少数情况下,当满足以下条件时,NetScaler 设备可能会崩溃并生成核心转储:
- 基于 TCP 的 DNS 监视探测器用于监视后端服务。
- 设备内存不足。
[NSHELP-35289]
-
在 HA 设置中,当辅助节点重新启动时,静态邻近数据库可能无法加载。
[NSHELP-35271]
-
NTLM 监视器不支持以下选项:
- 由 NTLM 版本 1 和版本 2 配置的监视器进行并行探测。
- 当“scriptArg”参数中的 URL 解析为不同的 IP 地址时,将探测定向到服务器的 IP 地址。
- NTLM 版本 2.
[NSHELP-35185]
-
如果绑定到用户监视器的服务超过 30 个,则绑定到用户监视器的服务可能会间歇性不可用。
[NSHELP-34669,NSCXLCM-1373]
-
在八个或更多节点的群集设置中,速率限制标识符功能可能无法按预期运行。
[NSHELP-34555]
-
由于超时计算不正确,StoreFront 用户监视器的探测可能会失败。在配置 StoreFront 用户监视器时,如果将超时值设置为 1 或 2 秒,则会出现此问题。
[NSHELP-34418]
-
HA 故障转移后,即使在持久性超时时间过期之后,也不会从主节点中删除持久性会话条目。会话条目将一直保留,直到辅助节点启动并运行。
[NSHELP-34378]
-
如果将静态邻近配置为 GSLB 方法,并且从数据库中查找客户端位置失败,则可能会出现 CPU 使用率过高。
[NSHELP-33823]
-
在高可用性设置中,故障转移后移除分区可能会导致 CPU 使用率过高。
[NSHELP-33701]
-
当满足以下条件时,NetScaler 可能会崩溃:
- 负载平衡虚拟服务器在多个分区中配置了重定向 URL。
- 触发内存恢复。
[NSHELP-33638、NSCXLCM-227、NSCXLCM-509]
-
在 SOA 联系人信息中,当您输入包含多个点字符的电子邮件地址(例如 john.doe.example.com)时,它将转换为
john@doe.example.com
。您现在可以使用反斜杠 () 作为转义字符。结果,john.doe.example.com 转换为john.doe@example.com
。[ NSHELP-33610 ]
-
缓存重定向功能已禁用,但虚拟服务器仍在处理流量。将缓存重定向虚拟服务器的 IP 地址和端口号添加到 GSLB 服务时,会出现此问题。
[NSHELP-33495]
-
执行增量同步时,如果修改了监视器的“resptimeout”参数,则会触发完全同步。
[NSHELP-31987]
其他
-
ns.log 文件中的 STA 响应日志在调试级别打印。
[NSHELP-35956]
-
当 NetScaler 在将 NetScaler 生成的 cookie 发送到上游 HTTP 服务器之前将其从传入的 HTTP 请求中删除时,上游服务器可能会拒绝该请求。之所以出现此问题,是因为删除 Cookie 名称/值对可能会导致 cookie 标头字段不符合 HTTP 协议规范。
[NSHELP-35855]
-
重命名具有活动 ICA 连接的 VPN 虚拟服务器时,NetScaler 可能会崩溃。
[NSHELP-35804]
-
当满足以下条件时,NetScaler 可能会崩溃:
- EDT 上有活跃的 ICA 连接。
- 添加了 IP 地址和端口号与 Citrix VDA 相同的 UDP 服务。
- NetScaler Gateway 和 Citrix VDA 之间存在连接问题。
[NSHELP-35637]
-
升级后,启用 HDX Insight 时,NetScaler 设备可能会崩溃。
[NSHELP-35058、NSCXLCM-1220、NSCXLCM-1467]
-
当群集设置处于空闲状态时,节点到节点消息 (NNM) 可能会为指定 sndbuf 大小的 ping 数据包增加 20 毫秒的延迟(带有-S 选项的 ping 命令)。
[NSHELP-34774]
-
当辅助节点收到待处理的数据包时,配置了 HDX Insight 的 NetScaler 可能会重新启动。
[NSHELP-34152]
-
NetScaler Gateway 向 NetScaler ADM 报告授权访问请求作为 SSO 故障。因此,NetScaler ADM 用户界面上的 Gateway > Gateway Insight 页面显示错误的 SSO 失败报告,从而导致虚假警报。
[NSHELP-27992]
-
当 EDT ICA 连接启动时,NetScaler 会崩溃。当 HDX Insight 的 AppFlow 分析配置文件绑定到 VPN 虚拟服务器时,就会出现此问题。
[GOPHDX-5014]
NetScaler Gateway
-
您可能无法访问某些应用程序(内部和外部),因为后端服务器拒绝了 HTTP/1.0 模式下的代理请求。
[NSHELP-35919]
-
在 NetScaler GUI 中,即使绑定成功,也不会显示与 VPN 虚拟服务器的 SAML IdP 策略绑定。
[NSHELP-35663]
-
在 NetScaler Gateway 上配置高级无客户端 VPN 访问时,页面可能无法从已添加书签的 URL 加载。
[ NSHELP-33771 ]
-
有时,当您通过 NetScaler Gateway 建立 VPN 连接时,您会被重定向到主页,URL 中的文本不正确。使用 RfWebUI 门户主题配置 NetScaler 时,会出现此问题。
[NSHELP-30097,NSCXLCM-481]
-
创建 EULA 实体时,文本以单行形式显示在 NetScaler Gateway 的 RfWebUI 门户主题上。出现此问题是由于 HTML
<br>
换行符标记。在 EULA 文本中,<br>
所有 HTML 标签以及暂时禁用。您可以尝试使用“n”添加换行符。[CGOP-24534]
-
从 NetScaler 版本 13.1 Build 50.23 开始,通过 NetScaler Gateway 虚拟服务器或身份验证虚拟服务器访问 PHP 文件时,将禁止访问所有目录中的 PHP 文件。
[CGOP-22974]
NetScaler SDX 设备
-
在 NetScaler SDX FIPS 上,在配置或修改 NetScaler 实例时,“启用 FIPS”选项不可用。
[NSSVM-5848]
-
如果 VPX 从不支持内部管理网络的版本升级到支持内部管理网络的版本,则无法为 NetScaler VPX 启用内部管理网络。
[NSSVM-5634]
-
如果 NetScaler SDX 中存在的 VPX 的 IP 地址在各自的八位组中有不同的位数,则
snmpwalk
get 调用可能不会返回所有 VPX 的响应。[NSHELP-35877]
-
对使用 25G、40G 或 100G 端口创建 LACP 信道的最大吞吐量检查验证失败。
[NSHELP-35743]
NetScaler Secure Web Gateway
-
在极少数情况下,NetScaler 可能会在数据包捕获期间崩溃。当 PCB 结构中的 TCP 配置文件变量为空值时,可能会出现此问题。
[NSHELP-36081]
NetScaler Web App Firewall
-
转换文件请求调试日志是在将 URL 转换配置文件应用于请求时生成的。
[NSWAF-10356]
-
启用基于 SQL 语法的保护功能时,使用某些预定义的关键字可能会导致误报。
[NSHELP-36138]
-
尽管 BOT 速率限制流量过滤器被配置为 Bursty 过滤器,但它在内部也可以用作 Smooth 过滤器。
[NSHELP-36095]
-
当 Web App Firewall 配置文件绑定了检查 SQL 注入保护的签名时,NetScaler 可能会崩溃。
[NSHELP-35989]
-
使用 URL 转换策略更新主机标头时,响应标头会使用端口号更新两次。
[NSHELP-35840]
-
如果规则配置了键值对,则无法使用 NetScaler GUI 编辑或删除 JSON 跨站脚本放松规则。
[NSHELP-35610]
-
如果请求包含日期格式,则 JSON 命令注入语法保护检查会阻止该请求。但是,日志文件中的数据不会更新,计数器也不会增加。
[NSHELP-35577]
-
在极少数情况下,当配置的内存不足且使用 Web App Firewall 配置文件时,NetScaler 可能会崩溃。
[NSHELP-35463]
-
当来自有效会话的 Cookie 在另一个会话中重复使用时,Cookie 劫持保护功能无法按预期运行。NetScaler 允许该请求,而不是阻止该请求。
[NSHELP-33723]
网络连接
-
当您在 Linux 主机运行时卸载 NetScaler BLX 设备时,NetScaler BLX NIC 设置可能仍然存在于 Linux 主机上。
解决方法。在卸载 NetScaler BLX 设备之前,请将其停止。
[NSNET-29109]
-
从非默认分区绑定路由监视器时,会出现以下错误消息: “操作不允许” 但是,如果相应的路由存在于非默认分区中,则路由监视器的状态显示为 UP。
[NSNET-28589]
-
升级 NetScaler BLX 后,新的“blx.config”文件中缺少“blx-managed-host”和“主机 IP 地址”参数。这会导致无法访问托管主机 IP 地址。
[NSHELP-36092]
-
NetScaler 设备可能无法响应“SNMP GETBULK”请求。
[NSHELP-35902]
-
在返回 VTYSH 提示符之前,VTYSH 终端在 show 命令输出的末尾显示“更多”。之所以出现此问题,是因为 NetScaler 设备的底层 FreeBSD 操作系统已升级到 11.4 版。
[NSHELP-35829]
-
当您删除其中一个管理分区时,NetScaler 也可能会删除其他分区的数据包缓冲区。因此,当您删除已删除数据包缓冲区的分区时,NetScaler 可能会崩溃。
[NSHELP-35595]
-
在大规模 NAT (LSN) 设置中,当 LSN 前端和后端连接的内部计数不匹配时,NetScaler 设备可能会崩溃。
[NSHELP-35318]
-
当包含大型集成缓存或大规模 NAT 配置的 NetScaler 设备从 12.1 或 13.0 版升级到 13.1 或 14.1 版时,从数据包引擎崩溃中恢复的时间相对比升级前的版本长。
[NSHELP-33797]
-
在高可用性设置中,当满足以下所有条件时,节点的状态至少需要 60 秒才能变为 UP:
- HA 设置已启用故障安全功能
- 已在多个接口上启用 HA 监视
- 其中一个启用 HA 监视的接口变得无法访问
- 至少有一个 HA 监视接口可以访问
现在,通过此修复,当所有这些条件都满足时,节点的状态会立即变为 UP。
[NSHELP-32157]
平台
-
使用 VMXNET3 接口时,ESX 虚拟机管理程序上的 NetScaler VPX 可能会崩溃。
[NSPLAT-27262、NSHELP-36781、NSCXLCM-3163]
-
在极少数情况下,使用 10G NIC 并运行版本 13.1 的 NetScaler 可能会在流量微不足道时崩溃。
[NSHELP-36274]
-
支持使用 Mellanox ConnectX3 NIC 的 Azure 加速联网的 NetScaler VPX 实例可能会间歇性地降低流量。
[NSHELP-35666]
-
在配备 Intel Fortville NIC 的 NetScaler SDX 上,每向 VPX 实例添加一个 Fortville 接口,VPX 实例的管理 CPU 使用率就会增加 1%。
[NSHELP-35445,NSCXLCM-768]
-
使用传统 SSL 协议,例如 SSLv3、TLS 1.0 和 TLS 1.1,您无法再访问托管在 NetScaler SDX 上的 Citrix Hypervisor。
[NSHELP-33196]
SSL
-
由于日志文件异常大,NetScaler 可能会崩溃。例如,如果将日志级别设置为 DEBUG 以监视 SSL 握手日志,则日志文件的大小会急剧增加,因为该文件还包含其他模块的详细调试日志。您可以使用“nsapimgr”旋钮将日志级别设置为 INFO 来获取 SSL 调试日志。结果,日志文件的大小也减小了。
[NSSSL-13206]
-
如果 NetScaler 上的内存使用率很高且配置经常被清除,NetScaler 可能会在删除默认 CA 证书组时崩溃。
[NSHELP-35441]
-
您可能会看到 NetScaler 上的 DTLS 流量积聚了大量内存,因为在处理来自客户端的重新传输的握手飞行时,内存未被正确释放。
[NSHELP-35359、NSCXLCM-999、NSCXLCM-1968、NSCXLCM-2405、NSCXLCM-2482]
-
在混合模式下运行的 NetScaler MPX/SDX 14000 FIPS 上,作为密钥交换的一部分收到损坏的数据后,密钥存储器可能会被重置。
[NSHELP-35020]
-
当客户端应用程序通过 TLS1.3 SSL 连接上载带有填充的大文件时,上载可能会失败。之所以出现故障,是因为 TCP 接收缓冲区已满,因为未从接收缓冲区释放已填充的字节。
[NSHELP-34490]
-
如果在密钥交换期间使用 DH 512 密码,则包含 Intel Coleto 或 Intel Lewisburg 芯片的 NetScaler 设备可能会崩溃。
[NSHELP-34094]
-
在包含 Coleto 芯片的 NetScaler 平台上,当握手消息的大小大于量子大小时,SSL 重新协商握手失败。
[NSHELP-33924]
-
如果在 SSL 握手中交换的客户端、服务器和 CA 证书的总大小超过 16K 限制,则在流量过大的情况下,您可能会受到短暂的性能影响。
[NSHELP-33905]
-
在具有 SSL_TCP(前端)虚拟服务器和 TCP(后端)服务的 NetScaler 部署中,客户端请求可能会间歇性地失败。之所以出现故障,是因为 NetScaler 会转发前端收到的 SSL 客户端 hello 消息,但后端无法处理该消息,请求失败。
[NSHELP-32806]
-
除非服务器确认客户端发布的支持 RFC 5746(重新协商指示扩展或安全重新协商)的广告,否则基于 OpenSSL 3.x 的 TLS 客户端会提前终止握手。禁用重新协商后,前端虚拟服务器会忽略此通告,从而导致连接失败。通过此修复,即使禁用重新协商,前端虚拟服务器现在也会确认广告,从而提高了兼容性。
[NSHELP-35120]
系统
-
在 TLS HTTP/2 连接中,当收到事先没有 TCP FIN 标志的 TLS 关闭通知消息时,NetScaler 不会发送 HTTP/2 Goaway 消息。
[NSHELP-36248]
-
当同时启用 AppFlow 和 HTTP 压缩功能时,NetScaler 可能会发送错误的响应。
[NSHELP-35862]
-
当 NetScaler 在客户端 TCP 连接上收到 CONNECT HTTP 请求时,它不会重复使用已经发送了“407 代理身份验证”HTTP 响应的先前服务器 TCP 连接。取而代之的是,NetScaler 通过新的 TCP 连接将 CONNECT HTTP 请求转发到后端服务器。在新的 TCP 连接上转发请求会破坏代理身份验证协议,例如 NTLM,这些协议要求在同一 TCP 连接上交换多条 HTTP 身份验证消息。
[NSHELP-35717、NSCXLCM-1514、NSCXLCM-1835、NSCXLCM-1910]
-
在极少数情况下,启用前端优化 (FEO) 功能时,NetScaler 可能会崩溃。
[NSHELP-34861]
-
如果满足以下条件,NetScaler 可能会停止数据传输:
- 已启用多项功能。
- 多个功能尝试删除 TCP 或 HTTP 有效负载的相同部分。
[NSHELP-33793、NSCXLCM-1512、NSCXLCM-1954]
-
当后端服务器为 HTTP 请求发送 464 错误时,NetScaler 不会将同样的错误转发到客户端,因此客户端的连接会停止。
[NSHELP-33571,NSCXLCM-1098]
-
当基于 HTTP 的功能尝试缓冲大量应用程序数据时,NetScaler 可能会阻止 HTTP/2 连接上的数据传输。
[NSHELP-32612]
-
当配置有 SSL 服务的 NetScaler 设备收到 TCP FIN 控制数据包后接收 TCP RESET 控制数据包时,该设备会崩溃。
[ NSHELP-31656 ]
用户界面
-
在 HA 设置中,即使您拥有主节点和辅助节点的 NSIP 地址的唯一的 SSL 证书,辅助节点证书也会被主节点证书覆盖。
[NSHELP-35938]
-
在 NetScaler GUI 中,当您编辑 GSLB 虚拟服务器时,在将负载平衡策略绑定到虚拟服务器后,策略部分不会在 GSLB 虚拟服务器页面中列出。
[NSHELP-35899]
-
启用 SSL 默认配置文件后,无法使用 GUI 配置 DTLS 类型的负载平衡虚拟服务器的密码设置。
[NSHELP-35704]
-
使用 CLI 或 GUI 强制同步 GSLB 配置时,同步失败并显示以下消息。 “一些命令失败了”。
如果配置使用绑定 DNS 全局命令,则会出现此问题。
[NSHELP-35699]
-
创建 NetScaler ADC 实例时,有一些内置配置不可用。
[NSHELP-33451,NSCXLCM-502]
-
在 NetScaler GUI 中,nFactor 身份验证失败,出现错误“身份验证期间没有活动策略”。当分配操作已配置但未绑定到身份验证策略时,就会出现此问题。
[NSHELP-33339]
已知问题
版本 13.1-50.23 中存在的问题。
分析基础结构
-
在群集部署中,如果您在非 CCO 节点上运行“强制群集同步”命令,则 ns.log 文件包含重复的日志条目。
[NSANINFRA-2850,NSGI-1293]
-
在 Kubernetes 群集上安装 NetScaler ADM 时,它无法按预期工作,因为所需的进程可能无法启动。
解决方法 :重新启动“管理”窗格。
[NSANINFRA-1504]
身份验证、授权和审核
-
升级适用于 iOS 的 Citrix SSO 后,您收到的用于身份验证的推送通知可能没有声音。
[NSHELP-27525]
-
管理员无法对由于凭据无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题,是因为 NetScaler 响应程序策略无法检测到登录失败的错误。
[NSAUTH-11151]
-
可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
show adfsproxyprofile <profile name>
解决办法:连接到群集中的主要活动 NetScaler 并运行
show adfsproxyprofile <profile name>
命令。 它将显示代理配置文件状态。[NSAUTH-5916]
-
如果执行以下步骤,NetScaler GUI 上的配置身份验证 LDAP 服务器页面将无响应:
- 测试 LDAP 可达性选项已打开。
- 填充并提交了无效的登录凭据。
- 将填充并提交有效的登录凭据。
解决办法:关闭并打开“测试 LDAP 可访问性”选项。
[NSAUTH-2147]
负载平衡
-
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。
[NSLB-7679]
-
由于检索限速记录和记录老化过程之间的时间问题,NetScaler 可能会崩溃。
[ NSHELP-33349 ]
-
当几个内部虚拟服务器的监视探测失败时,NetScaler 可能会崩溃。
[NSHELP-30985]
-
当用户将基于域的服务器绑定和取消绑定到服务组时,监视器探测失败。
[NSHELP-29330]
-
当您使用 NetScaler GUI 执行以下步骤时,可以在运行配置中看到额外的 CNAME 记录:
- 创建 DNS 记录类型为 CNAME 的 GSLB 虚拟服务器
- 配置 DNS 记录类型 CNAME
- 保存配置
此问题是表面问题,不影响功能。
[NSHELP-29217]
-
服务组的
entityofs
陷阱中的 serviceGroupName 格式如下所示:<service(group)name>?<ip/DBS>?<port>
在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (“?”) 用作分隔符。NetScaler 发送带有问号的陷阱 (“?”)。该格式在 NetScaler ADM GUI 中显示的内容相同。这是预期的行为。
[NSHELP-28080]
NetScaler Gateway
-
如果满足以下所有条件,NetScaler 就会崩溃:
- VPN 虚拟服务器配置了 IPv6 地址。
- 在 IPv6 虚拟服务器上只配置 IPv4 IIP 地址(没有 IPv6 IIP 地址)。
[NSHELP-35559]
-
有时,升级后,如果您通过 NetScaler Gateway 连接到 VPN,则可能无法通过 HTTP 访问 NetScaler GUI。
[ NSHELP-35015 ]
-
有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。
[NSHELP-21897]
-
NetScaler GUI 上的预身份验证策略和身份验证操作的表达式编辑器下拉列表中未列出 Windows 操作系统选项。但是,如果您已经使用 GUI 或 CLI 在之前的 NetScaler 版本上配置了 Windows 操作系统扫描,则升级不会影响该功能。如有必要,您可以使用 CLI 进行更改。
解决方法:
使用 CLI 命令进行配置。
- 要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。 add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
- 要配置经典的预身份验证操作,请使用以下命令。 add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[CGOP-22966]
-
要在 Windows 登录之前使用始终可用的 VPN 功能,建议您将 NetScaler Gateway 升级到 13.0 或更高版本。这使您能够使用 13.0 版中引入的、在 12.1 版本中没有的其他增强功能。
[CGOP-19355]
-
从 NetScaler GUI 添加或编辑会话策略时,将显示错误消息。
[CGOP-11830]
-
在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。
[CGOP-7269]
NetScaler Secure Web Gateway
-
如果 URL 筛选第三方供应商出现连接问题,NetScaler 设备可能会因为管理 CPU 停滞而重新启动。
[NSHELP-22409]
网络连接
-
当您升级 NetScaler BLX 时,nitro-python 包可能不会更新。因此,升级时可能会出现以下错误:
“tar: /var/netscaler/nitro/ns_nitro-python_artesa_xx_xx.tar: 在存档中找不到”
解决方法:
在升级 NetScaler BLX 之前,您必须运行“rm -rf /var/netscaler/nitro/ns_nitro-python_*.tar”命令。
[NSNET-27927]
-
在支持 DPDK 的 NetScaler BLX 设备中,DPDK Intel i350 网卡端口不支持标记的 VLAN。这是因为这是 DPDK 驱动程序中存在的已知问题。
[NSNET-25299]
-
如果满足以下所有条件,带有 DPDK 的 NetScaler BLX 设备可能无法重新启动:
- NetScaler BLX 设备分配的“大页面”数量很少。例如,1G。
- NetScaler BLX 设备分配了大量的工作进程。例如,28。
该问题作为错误消息记录在“/var/log/ns.log”中:
- “BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x”
注意:x是一个小于等于工作进程数的数字。
解决方法:分配大量“大页面”,然后重新启动设备。
[NSNET-25173]
-
由于 DPDK 易用性功能,处于 DPDK 模式下的 NetScaler BLX 设备可能需要更长的时间才能重新启动。
[NSNET-24449]
-
带有 DPDK 的 NetScaler BLX 设备上的 Intel
X710 10G (i40e)
接口不支持以下接口操作:- 禁用
- 启用
- 重置
[NSNET-16559]
-
在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 NetScaler BLX 设备可能会失败,并出现以下依赖项错误:
“以下软件包的依赖关系未得到满足:blx-core-libs: i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”
解决办法:在安装 NetScaler BLX 设备之前,在 Linux 主机命令行界面中运行以下命令:
- dpkg — 添加架构 i386
- apt-get 更新
- apt-get 安装 libc6: i386
[NSNET-14602]
-
在某些 FTP 数据连接情况下,NetScaler 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。
[NSNET-5233]
-
当您配置支持 DPDK 的 NetScaler BLX 时,NetScaler BLX 可能无法在某些固件版本的 NIC 中检测到 DPDK 兼容的 NIC 端口。因此,NIC 端口作为非 DPDK 端口添加到 NetScaler BLX 中。
[NSHELP-36290]
-
在 NetScaler 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。
[NSHELP-21082]
平台
-
当您将软件升级到 14.1-8.x 及更高版本或 13.1-50.x 及更高版本时,带有铜质 1G SFP 收发器的 25G 接口无法连接到远程交换机或网络设备。
以下具有 25G NIC 的平台上会出现此问题:
- SDX 9100
- SDX 15000
- SDX 16000
- SDX 26000
- SDX 26000-50S
[NSPLAT-27864]
-
从 Azure 资源组中删除 AutoScale 设置或 VM 比例集时,请从 NetScaler 实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。
[NSPLAT-4520]
-
在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于 AutoScale 云配置文件配置的首次用户 (FTU) 屏幕。 解决办法:跳过屏幕,登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。
[NSPLAT-4451]
-
如果 HA 设置中的辅助 NetScaler SDX 配置了共享 CPU 内核,并且通过 VLAN 交换 HA 检测信号,则它尝试过渡到主节点失败。
[NSHELP-32412、NSCXLCM-789、NSCXLCM-1847、NSCXLCM-2063、NSCHELP-36440]
策略
-
如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。
解决方法:将 TCP 缓冲区大小设置为必须处理的数据的最大大小。
[NSPOLICY-1267]
SSL
-
在 NetScaler SDX 22000 和 NetScaler SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。
解决方法:
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
set ssl vserver <name> -SSL3 DISABLED
。 - 保存配置。
[NSSSL-9572]
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
-
如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。
[NSSSL-6478]
-
您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。NetScaler 设备不会返回错误。
[NSSSL-6213]
-
如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。 ERROR: crl refresh disabled
[NSSSL-6106]
-
会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)
[NSSSL-4427]
-
如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。
[NSSSL-4001]
-
在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。
[NSSSL-3184、NSSSL-1379、NSSSL-1394]
系统
-
如果满足以下条件,则观察到 TCP 连接的 RTT 较高:
- 设置了较高的最大拥塞窗口 (>4 MB)
- TCP NILE 算法已启用
要使 NetScaler 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口
因此,在达到配置的最大拥塞窗口之前,NetScaler 会继续接受数据并最终获得高 RTT。
[NSHELP-31548]
-
mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。
[NSBASE-18295]
-
当您使用
unset nstcpprofile
命令取消设置 TCP 配置文件参数时,NetScaler 可能会转储内核。解决办法:改用带有所需参数值的
set nstcpprofile
命令。[NSBASE-18724]
-
在极少数情况下,如果满足以下所有条件,NetScaler 可能会在 HTTP/2 客户端连接上启动带有内部错误的 HTTP/2 GoAway 帧:
- 客户端或后端服务器尝试关闭客户端 HTTP/2 连接上的最后一个 WebSocket 或 Connect 流。
- 多路复用已启用。
该错误不会影响客户端 HTTP/2 连接上正在进行的交易。
解决办法:使用以下命令禁用相关 HTTP/2 配置文件的连接多路传输:
“set httpProfile <name>
[-conMultiplex ( ENABLEDDISABLED )]” [NSBASE-17449]
-
将 LogStream 传输类型配置为 Insight 时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 处于反向状态。
[NSBASE-8506]
用户界面
-
您无法使用 GUI 将技术支持包上载到 Citrix 技术支持服务器。
解决办法:使用 CLI 上载技术支持包。
[NSUI-19315]
-
在 NetScaler GUI 中,“控制板”选项卡下的“帮助”链接已损坏。
[NSUI-14752]
-
创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge 连接器。
解决方法:使用 NetScaler GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge Connector。
[NSUI-13024]
-
如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。
[NSUI-6838]
-
使用 GUI 升级 NetScaler 后,您将无法使用 GUI 或 SSH 访问系统升级页面。
[NSHELP-35785]
-
如果满足以下条件顺序,用户可能无法登录降级的 NetScaler 设备:
- 您可以执行以下步骤之一:
- 升级到当前版本后,您可以添加系统用户或更改现有系统用户的密码,然后保存配置。
- 使用当前版本配置新的 NetScaler VPX、BLX 或 CPX 实例。
- 将设备降级为以下版本之一:
- 13.1-4.x
- 13.0-82.x 或更早版本
- 12.1-62.x 或更早版本
要查看降级后受影响的用户列表,请在命令提示符处键入:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
解决方法:重置受影响用户的密码。有关更多信息,请参阅 [如何重置根管理员 (nsroot) 密码](https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html)。 注意:如果您要降级先前升级的版本,则在降级时,请使用早期版本的备份配置文件 (ns.conf) 来避免此问题。[NSCONFIG-8068]
- 您可以执行以下步骤之一:
-
如果满足以下条件顺序,用户可能无法登录降级的 NetScaler 设备:
- 您可以执行以下步骤之一:
- 升级到当前版本后,您可以添加系统用户或更改现有系统用户的密码,然后保存配置。
- 使用当前版本配置新的 VPX、BLX 或 CPX 实例。
- 将设备降级为以下版本之一:
- 13.0-47.x 或更早版本
- 12.1-56.x 或更早版本
- 11.1-64.x 或更早版本
要查看降级后受影响的用户列表,请在命令提示符下键入:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
解决办法:重置受影响用户的密码。有关更多信息,请参阅 [如何重置根管理员 (nsroot) 密码](https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html)。
注意:如果您要降级之前升级的版本,则在降级时使用早期版本的备份配置文件 (ns.conf) 来避免此问题。
[NSCONFIG-3188]
- 您可以执行以下步骤之一:
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.