This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 13.1—9.60 版本的发行说明
本发行说明文档介绍了 NetScaler 版本 Build 13.1—9.60 中存在的增强功能和更改、已修复问题和已知问题。
备注
本发行说明文档不包括与安全相关的修补程序。有关安全相关修复和建议的列表,请参阅安全公告。
新增功能
版本 13.1—9.60 中提供的增强功能和更改。
机器人管理
IPv6 协议支持 IP 信誉
NetScaler Web App Firewall 的 IP 信誉功能现在支持 IPv6 协议进行策略配置,并针对发送不需要的请求的不良 IP 地址提供增强的安全保护。
IPv6 协议支持以下威胁类别。
- 垃圾邮件源
- Windows 漏洞利用
- 网络攻击
- 僵尸网络
- 扫描仪
- 拒绝服务
- 信誉度
- 钓鱼
- 代理
- 网络
- 云提供商
- 移动威胁
- Tor 代理
[NSBOT-585]
机器人签名的 Webroot 公共云服务提供商类别
基于 IP 信誉技术的 NetScaler 机器人检测得到了增强,可以检测传入的客户端是否为公共云 IP 地址。必须通过机器人管理功能的配置启用 IP 信誉功能。NetScaler 设备可以使用 Webroot 公有云服务提供商类别根据云服务提供商 IP 地址数据库验证客户端 IP 地址,以进行策略评估。
以下是可以绑定到机器人配置文件的公共云类型。
- AWS
- GCP
- Azure
- Oracle
- IBM
- Salesforce
[NSBOT-50]
NetScaler SDX 设备
支持使用池许可证还原 SDX 设备
添加了对恢复使用池许可证的 NetScaler SDX 设备的支持。许可证页面也得到了增强。现在,您可以从该页面添加和修改许可证。
[NSSVM-4750]
用户现在可以在 NetScaler SDX 设备上编辑管理员配置文件,以将新凭据应用于 ADC 实例。
[NSSVM-4409]
出厂分区中的日志现在包含在“techupport”捆绑包中,以捕获任何恢复出厂设置的历史记录。
[NSSVM-2190]
NetScaler Gateway
列入白名单的 MAC 地址的 EPA 扫描
您可以为列入白名单的 MAC 地址配置 EPA 扫描,而不必在表达式中列出所有 IP 地址。相反,您可以为此配置使用模式集。在 NetScaler 13.1 版本之前,必须将所有列入白名单的 MAC 地址指定为 EPA 表达式的一部分。
[CGOP-17928]
NetScaler Web App Firewall
支持额外的安全保护
添加了两个新的放松柜台,以支持以下额外的安全检查。这些数据用于跟踪配置中的陈旧放松。
- 内容类型保护
- JSON Cmd 注入保护
[NSWAF-6950]
网络连接
NetScaler BLX 设备的新带宽和基于订阅的本地许可证
以下基于带宽的基于订阅的本地许可证现已可用于 NetScaler BLX 设备。
- NetScaler VPX/BLX 订阅 10 Mbps 标准版、高级版、高级版
- NetScaler VPX/BLX 订阅 100 Gbps 标准版、高级版、高级版
有关详细信息,请参阅 https://docs.citrix.com/en-us/citrix-adc-blx/current-release/licensing-blx.html
[NSNET-21527]
NetScaler BLX 设备支持指标收集器
NetScaler BLX 设备现在支持 NetScaler 指标收集器功能。
[NSNET-15095]
平台
在 VMware ESX 虚拟机管理程序上首次启动 NetScaler 设备时支持 NetScaler VPX 配置
现在,您可以在 VMware ESX 虚拟机管理程序上首次启动 NetScaler 设备时应用 NetScaler VPX 配置。因此,在某些情况下,特定的设置或 VPX 实例会在更短的时间内启动。
[NSPLAT-21021]
NetScaler VPX 实例上的 VMware ESX 7.0 更新 1d 支持
NetScaler VPX 实例现在支持 VMware ESX 版本 7.0 更新 1d(内部版本 17551050)。
[NSPLAT-19667]
策略
用于返回去掉后缀的 URL 路径的策略表达式
NetScaler 现在支持新的策略表达式, HTTP.REQ.URL.STRIP_SUFFIX 该表达式返回删除后缀的 URL 路径。
示例:
URL:/testsite/file5.html
HTTP.REQ.URL.STRIP_SUFFIX 将文本返回为 /testsite/file5
[NSPOLICY-825]
系统
多路径 TCP 版本 1 支持
除了对 MPTCP 版本 0 的现有支持外,NetScaler 设备现在还支持多路径 TCP (MPTCP) 版本 1。MPTCP 版本 1 支持符合 RFC 8684 的要求。
有关详细信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/13-1/system/tcp-configurations.html
[NSBASE-9237]
支持 gRPC 运行状况监视器
NetScaler 设备现在支持 gRPC 运行状况监视器,用于探测服务器的 gRPC 运行状况。gRPC 运行状况监视器检查 gRPC 服务的整体运行状况或特定服务的运行状况。
运行状况检查协议是通过在 HTTP2 监视器配置中配置 gRPC 参数、gRPCHealthCheck、gRPCStatusCode 和 gRPCServiceName 来实现的。实现协议的客户端向服务器查询其状态(运行状况良好、不正常、未知或未实现的服务),服务器会以状态消息进行响应。
[NSBASE-6455]
用户界面
NetScaler BLX 签入和退房许可
您可以从 NetScaler Application Delivery Management (ADM) 按需向 NetScaler BLX 设备分配许可证。ADM 软件存储和管理许可证,许可证具有许可框架,可提供可扩展和自动化的许可证配置。
部署 NetScaler BLX 设备时,NetScaler BLX 设备可以从 NetScaler 控制台签出许可。当 NetScaler BLX 设备被移除或销毁时,该设备会检查其 NetScaler 控制台软件许可。
有关详细信息,请参阅 https://docs.citrix.com/en-us/citrix-adc-blx/current-release/licensing-blx.html
[NSCONFIG-5777]
NITRO 自动化工具的使用
NetScaler 控制台服务连接现在可以捕获 Ansible、Terraform 或 NITRO SDK 等自动化工具的使用情况。
[NSCONFIG-4515]
已修复的问题
内部版本 13.1—9.60 中解决的问题。
身份验证、授权和审核
如果满足以下条件,NetScaler 设备可能会崩溃。
- 设备处于内存压力之下。
- 审核日志记录已启用并设置为 INFO 级别。
- 用户身份验证正在进行中。
[NSHELP-29053]
如果为 SameSite cookie 属性和域属性配置了 NetScaler 设备以进行身份验证,则身份验证将失败。这是因为 SameSite cookie 属性值和 Domain 属性没有用分号分隔。
[NSHELP-28971]
如果满足以下条件,NetScaler 设备可能会崩溃。
- 设备处于内存压力之下。
- SAML 被配置为身份验证方法之一。
[NSHELP-28855]
将 VPN 虚拟服务器配置为 SAML SP 时,将返回错误的注销 (/cgi/tmlogout) URL。出现此问题的原因是在 SAML 元数据中生成了错误的注销 URL。
[NSHELP-28726]
在某些情况下,在多核环境中,客户端浏览器无法访问身份验证、授权和 Auditing-TM 虚拟服务器背后的资源。
[NSHELP-28474]
在 NetScaler 高可用性设置中,由于同步问题,某些身份验证命令会在 CLI 配置期间显示。
[NSHELP-28448]
如果启用了表单 SSO,NetScaler 设备将通过添加表单以及内容类型标头来响应来自后端服务器的凭据请求。如果标题已经存在,此添加会导致重复的标题。
[NSHELP-28405]
如果使用 DualAuthOrPush.xml 登录架构,NetScaler 设备将引发服务器验证错误。
[NSHELP-28063]
SameSite 如果将 NetScaler 设备配置为基于 401 的身份验证,则不会将 cookie 属性添加到身份验证 cookie 中。
[NSHELP-27764]
在某些情况下,在 RADIUS 身份验证过程中会显示 invalid credentials 错误消息。使用 Google Chrome 浏览器从客户端设备访问 NetScaler 设备时会出现此错误。
[NSHELP-27113]
如果提取的组的可分辨名称为空,NetScaler 设备可能会在 Active Directory 组提取过程中崩溃。
[NSHELP-26899]
如果表达式中使用了 Authentication, authorization, and auditing.USER.DOMAIN,则会为登录用户填充错误的 SSO 域名。
[NSHELP-26443]
在某些情况下,将 SSO 功能与代理服务器一起使用时,会在 NetScaler 设备中观察到 NSB 泄漏。
[NSHELP-25492]
缓存
如果在 set cache contentGroup 命令中启用了 insertAge 参数,则会在缓存响应中发送额外的标头信息。
[NSHELP-27772]
如果未在缓存控制块中动态设置 Max_age 和 s_maxage 参数值,NetScaler 设备可能会崩溃。
[NSHELP-27758]
如果满足以下条件,NetScaler 设备可能会崩溃:
- 设备正在从其集成缓存中提供内容。
- 已重新验证缓存的内容。
- 来自不同客户端的同一个缓存对象向 ADC 发出新请求。
[NSHELP-22596]
NetScaler SDX 设备
在 NetScaler SDX 设备上,当 SDX 许可证不在宽限期内时,系统不在宽限期内会持续生成一次警报,而不是仅生成一次。
[NSHELP-28740]
NetScaler SDX 设备上的管理服务以 Kbps/Mbps 为单位显示 SNMP 管理器的接口速度,而不是每秒比特数。
[NSHELP-28724]
在 NetScaler SDX 设备上,SNMP v2 陷阱目标的社区字符串被屏蔽。
[NSHELP-28625]
在 NetScaler SDX 设备上,即使在池许可证宽限期(30 天)之后,您也可以修改 VPX 实例的吞吐量。
[NSHELP-28553]
由于 Python 版本的升级,加载管理服务的 Python SDK 可能会因语法错误而失败。
[NSHELP-27897]
在 NetScaler SDX 设备上,启动警报的默认 Hypervisor Disk Usage High 值增加到 98%。
[NSHELP-27854]
在 NetScaler SDX 设备上,如果满足以下条件序列,则作为管理通道一部分的界面将与管理通道一起显示:
- VPX 实例是群集的一部分。
- 管理渠道已创建。
[NSHELP-27487]
NetScaler Gateway
在 GCP 市场上,没有为 VPX 设置 SSL VPN 许可证位。因此,市场订阅者无法在 GCP 上使用 SSL VPN。
[NSHELP-29107]
处理 UDP 流量时,NetScaler 设备可能会崩溃。
[NSHELP-28802]
如果具有 HTTP 规则的 AppFlow 策略绑定到 NetScaler Gateway,NetScaler 设备可能会在 VPN 登录期间崩溃。
[NSHELP-28705]
对于 3G/ 联机用户,NetScaler Gateway 登录页面可能无法加载。
[NSHELP-28367]
在极少数情况下,访问释放的会话时,NetScaler Gateway 设备可能会在转移登录期间崩溃。
[NSHELP-28022]
NetScaler 设备在处理传入的封装安全有效负载 (ESP) 流量时崩溃,但找不到安全关联 (SA)。
[NSHELP-27991]
如果将 SAML 配置为 nFactor 身份验证的最后一个因素并且还配置了经典 EPA,则您可能会发现转移登录存在问题。
[NSHELP-27983]
如果满足以下两个条件,NetScaler 设备可能会崩溃。
- 该设备已部署为 ICA 代理模式。
- ICA 流程的网关智能分析功能已启用。
[NSHELP-27982]
在极少数情况下,NetScaler Gateway 门户页面不会在 Internet Explorer 浏览器上显示 EPA 插件的 下载 按钮。
[NSHELP-27849]
如果异步被阻止并且您修改了内容交换策略配置,NetScaler Gateway 设备可能会崩溃。
[NSHELP-27570]
处理 UDP 流量时,NetScaler 设备可能会崩溃。
[NSHELP-27536]
无法将用户的个人书签文件从一个 NetScaler Gateway 设备复制到另一台设备。
[NSHELP-27389]
如果在会话策略中设置了未知的 VPN 客户端选项,NetScaler Gateway 设备可能会崩溃。
[NSHELP-27380]
有时,NetScaler Gateway 设备在访问无效的内存位置时可能会崩溃。
[NSHELP-27343]
NetScaler Gateway 设备意外重启,因为启用网关智能分 Gateway Insight 后,本地 ns.log 文件中的 SSL VPN 日志消息泛滥。
[NSHELP-27040]
NetScaler Gateway 门户本地化与互联网浏览器不兼容。
[NSHELP-26822]
NetScaler Gateway GUI 在编辑 VPN 会话配置文件 Invalid IP or Port 时显示消息。
[NSHELP-26722]
如果在全局 syslog 参数中修改 syslog 服务器,则 show audit messages 输出不会显示最新的日志。
[NSHELP-19430]
NetScaler Web App Firewall
NetScaler Web App Firewall 学习引擎仅在观察到违规时才会学习字段格式规则。
[NSWAF-7677]
如果满足以下条件,NetScaler 设备可能会崩溃:
- Web App Firewall cookie 代理已启用。
- 会话 cookie 和永久性 cookie 具有相同的名称。
[NSHELP-28181]
负载平衡
如果用户监视器和内置监视器相关命令的参数值在文本之间有空格,则参数值将被截断,空格后的文本将被忽略。
示例:
add lb monitor ftp_user USER -scriptName nsftp.pl -scriptArgs `file=test.txt;username=NS user;password=test123` -dispatcherIP 127.0.0.1 -dispatcherPort 3013`
<!--NeedCopy-->
在此示例中,用户名设置为 NS user,但只发送 NS,其后的文本因空格而被截断。
[NSLB-8915]
在启用 AutoScale 的情况下配置 GSLB 服务组后,VPX 主站点和辅助站点崩溃。
[NSHELP-28530]
HA 设置中的 NetScaler 设备会失去连接,因为在 HTTP 探测监视期间发送 HTTP 响应后未释放 NSB 内存。
[NSHELP-28466]
有时,在多 PE 系统中,基于域的组在系统中出现几次故障后无法恢复到 UP 状态。此问题是由 CLI 和内部监视器之间的争用条件引起的。
[NSHELP-27965]
在某些情况下,发出显示运行配置命令时,NetScaler 设备可能会崩溃。
[NSHELP-27815]
在群集设置中,当一个或多个节点进入 DOWN 状态时,备份节点可能无法加入群集节点组。此故障会导致某些 NetScaler 功能失败。
[NSHELP-27664]
收到流水线 RADIUS 请求时,NetScaler 设备可能不会在响应中插入相应的数据包标识符。由于此问题,客户端收到无效响应。
[NSHELP-27391]
如果满足以下条件,GSLB 配置可能会部分丢失:
- NetScaler 设备已重新启动。
- ADNS 服务配置的 IP 地址与远程 GSLB 站点的 IP 地址相同。
[NSHELP-26816]
如果在具有高网络延迟的多个 GSLB 站点上配置了大量 GSLB 服务,则远程 GSLB 站点上的 GSLB 服务状态可能无法更新。
[NSHELP-23799]
其他
该 add URLF categorization 命令无法更新数据库,从而导致内部错误。
[NSSWG-1315]
如果满足以下条件,NetScaler 设备可能会在恢复处理后崩溃:
- 使用 SSL 转发代理功能。
- SSL 转发代理请求的协议信息以多个异步数据包形式接收。设备在收到请求的所有协议详细信息后暂停数据包处理并恢复处理。
[NSHELP-28447]
当内联设备发送自定义消息后重置时,NetScaler 设备会在将内联设备响应转发到客户端之前重置连接。
[NSHELP-27676]
网络连接
满足以下条件时,NetScaler VPX 实例可能会崩溃:
- 存在大量的 FTP 数据连接。
- NetScaler 设备上发生故障转移。
- 客户端或服务器端的 NATPCB 连接已清除。
[NSHELP-27816]
在高可用性设置中,如果满足以下条件,则启用了动态路由的 SNIP 地址在重新启动时不会向 VTYSH 公开:
- 启用了动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN。
作为修复的一部分,NetScaler 设备现在不允许将启用了动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN
[NSHELP-24000]
平台
在 NetScaler 设备热重启期间,AWS 云中的 NetScaler VPX 实例崩溃。
[NSPLAT-21979]
软件版本 13.1 build 4.43 的 NetScaler VPX 实例不支持 AWS 云中的 c5n 系列实例。
[NSPLAT-21451]
在 Azure 云和 Microsoft Hyper-V 服务器上的 NetScaler VPX 实例上,在某些情况下,Hyper-V 虚拟接口的传输端可能会发生拥塞数据包丢弃。这些数据包丢弃可能会使来自 NetScaler 设备的传输停滞。
[NSHELP-28375]
在 NetScaler MPX 5900 和 MPX 8900 平台上,液晶屏上会显示错误的平台编号。
[NSHELP-28207]
SDX 平台的状态在 LOM 控制台中显示为未知。这只是显示问题,没有功能影响。
[NSHELP-20009]
策略
如果在第 2 层和第 3 层模式下使用 FIX 服务类型,NetScaler 可能会崩溃。
[NSHELP-28468]
如果在非基于 TCP 的协议中使用 MATCHES () 表达式,NetScaler 设备可能会崩溃。
[NSHELP-26062]
SSL
由于内存分配失败,添加证书密钥对可能会失败。因此,CA 证书密钥对查找失败,设备崩溃。
[NSHELP-28197]
如果在 SSL 虚拟服务器上配置了异步策略,则 NetScaler MPX 平台上的 SSL 握手重新协商可能会失败。
[NSHELP-27870]
如果 NetScaler 设备没有内容长度 HTTP 标头,则不接受 OCSP 响应。
[NSHELP-27039]
颁发 CRL 的 CA 证书名称被截断为 32 个字符,即使证书密钥名称最多可以包含 64 个字符。出现此问题的原因是 CRL 字段的字符限制为 32 个字符。
[NSHELP-26986]
在 NetScaler MPX/SDX 14000 FIPS 设备上,将 EDT 数据报大小大于 1 K 的 EDT 配置使用时,您可能会看到内存泄漏。
[NSHELP-25375]
系统
在 NetScaler 控制台上注册 NetScaler 实例时,ADC 计数器中会出现端口分配错误。
[NSHELP-28779]
升级到 NetScaler 13.0 Build 64-x 及更高版本后,会收到太多带有消息“Unexpected data received from the server on probe connection for SSL_BRIDGE service type - Server.”的警告日志。
[NSHELP-28656]
如 ns mode pmtud 果启用且使用了分区,则运行 13.0 版本 82.x 及更高版本的 NetScaler 设备可能会崩溃。
[NSHELP-28068]
如果收到的报头大小大于标头表的最大大小,则设备会将表大小重置为零。因此,HTTP2 请求在几次请求后失败。
[NSHELP-27977]
分析配置文件引用的 AppFlow 收集器指针已损坏。
[NSHELP-27924]
如果 ADM 队列中有待处理的事务,它会随机报告高内存使用率的严重警报。
[NSHELP-27913]
TCP 僵尸超时会刷新活动的服务器或客户端连接,因为连接速度较快的一端存在半关闭超时。
[NSHELP-27502]
连接链 TCP 选项将添加到 NetScaler RPC 连接中。该问题导致 GSLB 站点通信的互操作性问题。
[NSHELP-27417]
如果禁用了链接集,则在公有云 MPTCP 群集部署中,数据包重传会增加。
[NSHELP-27410]
NetScaler 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据 ACK 确认。
[NSHELP-27179]
NSWL 客户端偶尔会多次记录来自数据包引擎 (PE-0) 的数据,而其他数据包引擎的日志则会被跳过。
[NSHELP-27138]
如果满足以下条件,NetScaler 设备可能会崩溃:
- 处理 Logstream 元数据记录时。
- AppFlow 功能已启用。
[NSHELP-26942]
在 NetScaler 设备和数据加载器中观察到 Logstream 记录不匹配。
[NSHELP-25796]
用户界面
对于虚拟服务器,当您在 NetScaler GUI(版本 13.1 版本 4.43)中编辑 流量设置 下的任何参数时,将显示以下错误消息:
Invalid argument [pq]
[NSHELP-29492]
如果执行任何读取 ns.conf 文件的操作,则会出现以下问题。例如,show ns saved config。
- HTTPD 进程可能会冻结,导致 GUI 和 NITRO API 变得无法访问。
[NSHELP-28249]
在 ADC GUI 中取消选择 RPC 节点的安全选项时,将显示以下错误消息:
缺少参数先决条件 [validateCert, secure==YES]
[NSHELP-28239]
在群集设置中,具有两个或多个密码的单例或全局实体可能会在配置同步过程中在节点上失败,原因如下:
- 如果跳过序列中的第一个密码,则后续的密码解密将在同步节点上失败。解密失败,因为它会查找同步节点上不存在的 CCO 本地密钥。
[NSHELP-28035]
将高可用性设置或群集设置升级到版本 13.0 build 74.14 或更高版本后,配置同步可能由于以下原因而失败:
-
ssh_host_rsa_key私钥和公钥都是错误的对。
[NSHELP-27834]
在高可用性设置中,如果满足以下条件,NetScaler 设备可能会在系统用户身份验证过程中崩溃:
- 密码哈希计算需要更多时间才能错过五个心跳。
[NSHELP-27066]
NetScaler GUI 控制板中的负载平衡服务器统计信息详细信息未对齐。
[ NSHELP-20752 ]
从机器人配置文件解除速率限制 URL 的绑定会导致内部数据库错误。
[NSCONFIG-6231]
NetScaler 设备错误地返回 Zero 了 NITRO API 调用中的某些 GSLB 和统计信息参数。
[NSCONFIG-6104]
在 CLI 颜色模式下启用的 NetScaler 设备将以白色显示 CLI 成功文本消息,而不是以绿色显示。
[NSCONFIG-5689]
如果使用 NetScaler 控制台对 NetScaler BLX 设备进行许可,则在将设备升级到 13.0 版本 83.x 之后,许可可能会失败。
[NSCONFIG-4834]
视频优化
启用视频优化功能后,NetScaler 设备可能会因内存分配失败而崩溃。
[NSHELP-28752]
已知问题
13.1—9.60 版中存在的问题。
AppFlow
HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。
[NSINSIGHT-943]
身份验证、授权和审核
在极少数情况下,NetScaler 设备可能会由于日志位置错误而崩溃。
[NSHELP-29267]
当用户密码到期时更改时,身份验证、授权和 auditing.USER.ATTRIBUTE 表达式可能会在多核 NetScaler 设备中提供空值。
[NSHELP-28419]
在某些情况下,如果 SSO 功能与代理服务器一起使用,则 NetScaler 设备中会观察到内存泄漏。
[NSHELP-27744]
如果满足以下两个条件,NetScaler 设备将崩溃。
- 已配置电子邮件 OTP
- 电子邮件服务器没有响应,或者电子邮件服务器存在网络问题
[NSHELP-26137]
NetScaler 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。
[ NSHELP-563 ]
DualAuthPushOrOTP.xml LoginSchema 无法正确显示在 NetScaler GUI 的登录架构编辑器屏幕中。
[NSAUTH-6106]
可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
show adfsproxyprofile <profile name>
解决方法:
连接到群集中的主活动 NetScaler 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。
[NSAUTH-5916]
如果执行以下步骤,NetScaler GUI 上的配置身份验证 LDAP 服务器页面将无响应:
- 测试 LDAP 可达性选项已打开。
- 填充并提交了无效的登录凭据。
- 将填充并提交有效的登录凭据。
解决方法:
关闭并打开“测试 LDAP 可达性”选项。
[NSAUTH-2147]
缓存
如果启用了集成缓存功能且设备内存不足,NetScaler 设备可能会崩溃。
[NSHELP-22942]
Call Home
对于使用池许可的 NetScaler MPX 设备,Call Home 注册可能会失败。注册失败,因为 Call Home 使用了错误的序列号将设备注册到 NetScaler 支持服务器。
[NSHELP-28667]
NetScaler SDX 设备
在 NetScaler SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。
[NSSVM-4333]
在 NetScaler SDX 设备上,如果电源、电压或磁盘故障多次发生,管理服务不会发送系统日志或电子邮件通知。
[NSHELP-29443]
NetScaler Gateway
当分割通道设置为内部网域的 Reverse, DNS解析时,将失败。
[NSHELP-29371]
在具有 TCP SYSLOG 配置的高可用性设置中,节点可能会在高可用性故障转移期间或清除配置操作期间崩溃。
[NSHELP-29251]
在 NetScaler Gateway 门户页面中, RDP 代理链接 图标不会随着 RfWebUI 门户主题而改变。
[NSHELP-28974]
在某些情况下,当服务器证书受信任时,服务器验证代码会失败。因此,最终用户无法访问网关。
[ NSHELP-28942 ]
有时,断开 VPN 连接后,DNS 解析器无法解析主机名,因为在 VPN 断开连接期间会删除 DNS 后缀。
[NSHELP-28848]
将 NetScaler Gateway 设备升级到版本 13.0 后,会话配置文件中的代理配置无法按预期工作。对于配置的非 HTTP NS 代理,将绕过代理连接。
示例:
add vpn sessionAction-proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24
在此示例中,-httpProxy 按预期工作,但 -sslProxy 不起作用。
[NSHELP-28640]
如果 macOS 钥匙串中没有客户端证书,则 Citrix SSO for macOS 的客户端证书身份验证将失败。
[NSHELP-28551]
有时,设置客户端空闲超时后,用户会在几秒钟内注销 NetScaler Gateway。
[NSHELP-28404]
Windows 插件可能会在身份验证期间崩溃。
[NSHELP-28394]
如果通过备份负载平衡虚拟服务器访问 StoreFront,则通过 VPN 虚拟服务器访问 StoreFront 将失败。
[NSHELP-27852]
重新连接到现有 ICA 会话时,NetScaler Gateway 设备可能会崩溃。
[NSHELP-27441]
您无法使用 GUI 解除经典授权策略的绑定。但是,您可以使用 CLI 解除身份验证、授权和审核授权策略的绑定。
通过此修复,您现在可以使用 GUI 取消绑定授权策略。
[ NSHELP-27064 ]
如果出现以下任一情况,NetScaler 设备将崩溃:
- syslog 操作使用域名进行配置,您可以使用 GUI 或 CLI 清除配置。
- 高可用性同步发生在辅助节点上。
解决方法:
使用系统日志服务器的 IP 地址而不是系统日志服务器的域名创建 syslog 操作。
[NSHELP-25944]
在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:
- 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。
解决方法:
仅在 HA 同步完成后执行连续的手动 HA 故障切换(两个节点都处于同步成功状态)。
[ NSHELP-25598 ]
Gateway Insight 不会显示有关 VPN 用户的准确信息。
[ NSHELP-23937 ]
如果满足以下条件,VPN 插件在 Windows 登录后不会建立通道:
- NetScaler Gateway 设备已配置为“始终开启”功能
- 设备配置为使用双因素身份验证的基于证书的身份验证
off
[NSHELP-23584]
有时在浏览模式时,会出 Cannot read property 'type' of undefined 现错误消息。
[NSHELP-21897]
如果您想在 Windows 登录功能之前使用始终开启 VPN,建议升级到 NetScaler Gateway 13.0 或更高版本。这使您能够应用 13.0 版中引入的在 12.1 版本中没有的其他增强功能。
[CGOP-19355]
Gateway Insight 中不会报告由于 STA 票证无效而导致的应用程序启动失败。
[CGOP-13621]
Gateway Insight 报告在“身份验证类型”字段中错误地显示了 SAML 错误失败时的值 Local 而非 SAML。
[CGOP-13584]
在高可用性设置中,在 NetScaler 故障转移期间,SR 计数会增加,而不是 NetScaler 控制台中的故障转移计数。
[CGOP-13511]
在接受来自浏览器的本地主机连接时,无论选择哪种语言,macOS 的“接受连接”对话框都会显示英语内容。
[CGOP-13050]
对于某些语言,Citrix SSO 应用程序 > 主页中的文本 Home Page 会被截断。
[CGOP-13049]
从 NetScaler GUI 添加或编辑会话策略时,将显示错误消息。
[CGOP-11830]
在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示一个严重错误对话框。此外,页面变得无响应。
[CGOP-7269]
在群集部署中,如果在非 CCO 节点上运行 force cluster sync 命令,ns.log 文件将包含重复的日志条目。
[CGOP-6794]
NetScaler Web App Firewall
如果在 SSL 类型的负载平衡虚拟服务器上启用了机器人管理策略,则机器人设备指纹发布 URL 可能会失败。
[NSHELP-29198]
如果启用了以下模块,NetScaler 设备可能会崩溃:
- 具有高级安全检查功能的 Web App Firewall。
- appqoe。
[NSHELP-28251]
负载平衡
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。
[NSLB-7679]
对于策略表达式包含通配符的 add dns action 和 add location 命令,增量同步失败。
[NSHELP-29301]
show 和 stat 命令中显示的服务组的状态不一致。
[NSHELP-28931]
如果父域可用 ZONE 类型的 DNS 记录,则查询具有现有 NS 记录的子域将生成父域 SOA 记录,而不是子域 NS 记录。
[NSHELP-28793]
服务组的 entityofs 陷阱中的 serviceGroupName 格式如下所示:
<service(group)name>?<ip/DBS>?<port>
在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (?) 用作分隔符。NetScaler 发送带有问号 ()?的陷阱。在 NetScaler 控制台 GUI 中显示的格式相同。这是预期的行为。
[NSHELP-28080]
其他
在高可用性设置中进行强制同步时,设备将在辅助节点中运行 set urlfiltering parameter 命令。
因此,辅助节点将跳过任何计划的更新,直到 TimeOfDayToUpdateDB 参数中提到的下一个计划时间为止。
[NSSWG-849]
NetScaler CPX 实例在具有 64 位架构和 1 TB 文件存储空间的 Linux 系统上运行,现在可以加载证书和密钥文件。
[NSHELP-28986]
如果 URL 筛选第三方供应商出现连接问题,NetScaler 设备可能会由于管理 CPU 停滞而重新启动。
[NSHELP-22409]
网络连接
如果满足以下所有条件,NetScaler 设备可能会崩溃:
- 负载平衡路由在设备的流量域中配置。
- 在设备上执行清晰的配置操作。
[NSNET-23847]
从 NetScaler BLX 设备 13.0 61.x 版本升级到 13.0 64.x 版本后,BLX 配置文件上的设置将丢失。然后,BLX 配置文件将重置为默认值。
[NSNET-17625]
带有 DPDK 的 NetScaler BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:
- 禁用
- 启用
- 重置
[NSNET-16559]
在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件 (/etc/blx/blx.conf) 设置如何,NetScaler BLX 设备始终以共享模式部署。出现此问题的原因是 mawk,基于 Debian 的 Linux 系统默认存在,它不会运行 blx.conf 文件中存在的某些 awk 命令。
解决方法:
gawk 在安装 NetScaler BLX 设备之前进行安装。您可以在 Linux 主机 CLI 中运行以下命令进行安装 gawk:
- apt-get 安装 gawk
[NSNET-14603]
在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 NetScaler BLX 设备可能会失败,并出现以下依赖项错误:
The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable
解决方法:
在安装 NetScaler BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:
dpkg --add-architecture i386apt-get updateapt-get dist-upgradeapt-get install libc6:i386
[NSNET-14602]
在某些 FTP 数据连接情况下,NetScaler 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。
[NSNET-5233]
在大规模 NAT44 设置中,NetScaler 设备可能会在接收 SIP 流量时崩溃,原因如下:
- LSN 模块在减少引用计数或删除服务时找不到服务。
[NSHELP-29134]
当 NetScaler 设备中的管理分区内存限制发生更改时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。
[NSHELP-21082]
平台
高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 NetScaler VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:
- 在 NetScaler 设备的首次启动期间,您不会保存提示的密码。
- 然后,重新启动 NetScaler 设备。
[NSPLAT-22013]
当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,NetScaler 设备上未安装某些 python 软件包。以下 NetScaler 版本的此问题已修复:
- 13.1-4.x
- 13.0—82.31 及更高版本
- 12.1—62.21 及更高版本
当您将 NetScaler 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:
- 任何 11.1 版本
- 12.1—62.21 及更早版本
- 13.0-81.x 及更早版本
[NSPLAT-21691]
在运行版本 13.1 的 NetScaler SDX 设备上,配置版本为 12.0 XVA 的 VPX 实例失败。
仅支持 VPX 12.1 及更高版本。在将 SBI 升级到版本 13.1 之前,请先升级 VPX 版本。
[NSPLAT-21442]
在 NetScaler SDX 设备上的群集设置中,如果满足以下条件,则第二个节点和 CLIP 上存在 CLAG MAC 不匹配:
- CLAG 是在 Mellanox 网卡上创建的。
- 您将另一个 VPX 实例添加到群集和 CLAG 设置。
因此,到 VPX 实例的流量会停止。
[NSPLAT-21049]
在 NetScaler SDX 设备上的群集设置中,如果满足以下条件,第一个节点将因 CLIP 和 MAC 表上的 MAC 地址不匹配而关闭:
- CLAG 是在 Mellanox 网卡上创建的。
- 从群集中删除第二个节点。
[NSPLAT-21042]
从 Azure 资源组中删除 AutoScale 设置或 VM 比例集时,请从 NetScaler 实例中删除相应的云配置文件配置。使用命 rm cloudprofile 令删除配置文件。
[NSPLAT-4520]
在 Azure 上的高可用性设置中,通过 GUI 登录辅助节点时,将显示 AutoScale 云配置文件配置的首次用户 (FTU) 屏幕。 解决办法:跳过屏幕,登录到主节点以创建云配置文件。必须始终在主节点上配置云配置文件。
[NSPLAT-4451]
如果使用 VMXNET3 驱动程序的 NetScaler VPX 实例在以下 NetScaler 版本之一上运行,则该实例可能会随机崩溃:
- NetScaler 13.1 Build 4.x
- NetScaler 13.1 Build 9.x
[NSHELP-29120]
策略
如果处理数据的大小超过配置的默认 TCP 缓冲区大小,则连接可能会挂起。解决方法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。
[NSPOLICY-1267]
SSL
在 NetScaler SDX 22000 和 NetScaler SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。
解决方法:
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
set ssl vserver <name> -SSL3 DISABLED。 - 保存配置。
[NSSSL-9572]
如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。
[NSSSL-6478]
您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。NetScaler 设备不会返回错误。
[NSSSL-6213]
如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。 ERROR: crl refresh disabled
[NSSSL-6106]
会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)
[NSSSL-4427]
如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会 Warning: No usable ciphers configured on the SSL vserver/service, 显示不正确的警告消息。
[NSSSL-4001]
在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。
[NSSSL-3184]
在高可用性设置中,证书类型不能在主节点和辅助节点之间正确同步。
[NSHELP-27589]
系统
当 NetScaler 设备从客户端接收 HTTP/2 GOWAY 帧时,它会错误地重置流 ID 大于承诺的 ID(最后一个对等体启动的流标识符)的所有流。
[NSHELP-29328]
X-Forwarder 标头不会添加到从 NetScaler 设备发送到后端服务器的某些请求中。
[NSHELP-29142]
如果满足以下条件,NetScaler 设备将崩溃:
- 在 AppFlow 操作上启用了客户端测量选项。
- 区块报头落在数据包边界上。
[NSHELP-29049]
在高可用性设置中,辅助节点上管理分区配置的 HA 同步失败,原因如下:
- 由于辅助节点上的大量配置负载而导致的内存不足问题
[NSHELP-28409]
在 TCP 连接中,如果满足以下所有条件,NetScaler 设备可能会丢弃从服务器接收的 FIN 数据包,而不是将其转发到客户端:
- TCP 缓冲已启用。
- 服务器分别发送 FIN 数据包和数据包。
[NSHELP-27274]
在重传队列中循环大量数据包时,会发生 Pitboss 故障。
[NSHELP-26071]
如果设备没有从客户端接收 max_concurrent_stream 设置帧,则默认情况下,MAX_CONCURRENT_STREAMS 值设置为 100。
[NSHELP-21240]
mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。
[NSHELP-10972]
在具有管理分区的 NetScaler 设备中, nstrace 实用程序可能无法在非默认分区中正常运行
[NSBASE-15738]
在处理大量的 gRPC 流量时,TCP 通告窗口呈指数级增长,导致高内存使用率。
[NSBASE-15447]
当为智能分析配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 会反转。
[NSBASE-8506]
用户界面
在 NetScaler GUI 中, Dashboard 选项卡下显示的 Help 链接已断开。
[NSUI-14752]
创建/监视 CloudBridge 连接器向导可能会变得无响应或无法配置 CloudBridge 连接器。
解决方法:
使用 NetScaler GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge 连接器。
[NSUI-13024]
如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。
[NSUI-6838]
使用 NetScaler GUI 配置或检查 SSL 证书时,可能会出现错误 Directory doesn't exist。当 SSL 文件夹 /nsconfig/ssl 中存在带有两个连续点 (..) 的文件名时,会出现此问题。
解决方法:
从 /nsconfig/ssl 文件夹中删除或移动这些文件。
[NSHELP-28589]
在高可用性设置中,如果在主节点上修改了内置策略模式集,则内置策略模式集绑定的 HA 同步可能会失败。
[NSHELP-28460]
当用户尝试在侧面板视图中更改列表的页面大小时,页面会失真。
[NSHELP-28220]
带接口 (-I) 选项的 Ping 或 ping6 命令可能会失败,并显示以下错误:
interface option not supported
[NSHELP-26962]
在管理分区设置中,上载和添加证书吊销列表 (CRL) 文件失败。
[NSHELP-20988]
将 NetScaler 设备版本 13.0-71.x 降级到较早版本时,由于文件权限更改,某些 NITRO API 可能无法正常工作。
解决方法:
将权限更 /nsconfig/ns.conf 改为 644。
[NSCONFIG-4628]
如果您(系统管理员)在 NetScaler 设备上执行以下所有步骤,则系统用户可能无法登录降级的 NetScaler 设备。
-
将 NetScaler 设备升级到其中一个版本:
- 13.0 52.24 Build
- 12.1 57.18 Build
- 11.1 65.10 Build
- 添加系统用户或更改现有系统用户的密码,然后保存配置,
- 将 NetScaler 设备降级为任何较旧的版本。
要使用 CLI 显示这些系统用户的列表: 在命令提示符下键入:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
解决方法:
要解决此问题,请使用以下独立选项之一:
- 如果 NetScaler 设备尚未降级(前面提到的步骤中的步骤 3),请使用同一版本的先前备份的配置文件 (ns.conf) 降级 NetScaler 设备。
- 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
- 如果上述选项都不起作用,系统管理员可以重置系统用户密码。
[NSCONFIG-3188]
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.