This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 14.1-12.35 版本的发行说明
本发行说明文档介绍了 NetScaler 版本 Build 14.1-12.35 中存在的增强和更改、已修复和已知问题。
备注
- 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
- uild 14.1-12.35 及更高版本解决了 https://support.citrix.com/article/CTX584986 中描述的安全漏洞。
- uild 14.1-12.35 取代了 Build 14.1-12.30。
新增功能
Build 14.1-12.35 中提供的增强和更改。
分析基础结构
-
对 Prometheus 抓取配置 YAML 文件中参数的更新
对 Prometheus YAML 抓取配置文件中的参数进行了以下更改:
-
metrics_path
参数现在是可选的,/metrics
是默认路径。如果 YAML 文件中没有为metrics_path
定义任何值,则 Prometheus 会添加/metrics
作为路径。以前,metrics_path
参数是必填的,默认路径是/nitro/v1/config/systemfile
。 -
profilename
参数现在是可选的,接受用户定义的时间序列配置文件名称。如果不存在配置文件名称参数,则ns_analytics_time_series_profile
将其视为配置文件名称。以前,profilename
参数是必需的。
有关更多信息,请参阅使用 Prometheus 监视 NetScaler、应用程序和应用程序安全。
[NSANINFRA-599]
-
-
将管理日志直接导出到 Splunk
NetScaler 现在支持将管理和主机日志(非数据包引擎日志)导出到 Splunk 或外部 syslog 服务器。您可以使用 Splunk 中的可视化工具对导出的数据进行可视化,以获得有意义的见解。有关更多信息,请参阅将管理日志直接从 NetScaler 导出到 Splunk。
[NSANINFRA-516]
负载平衡
-
重命名现有的 GSLB 站点
现在,您可以重命名现有的 GSLB 站点,而不必将其删除并创建站点。通过重命名 GSLB 站点,您可以保留与这些站点相关的所有 GSLB 配置实体。
有关更多信息,请参阅 配置基本 GSLB站点。
[NSLB-10477]
-
支持通过 TLS 提供的 DNS 和 ADNS 服务
NetScaler 现在支持通过 TLS (DOT) 对 DNS 请求和响应进行加密。为使用 DOT 服务类型的 ADNS 和 DNS 代理模式添加了此支持。配置此服务后,NetScaler 会验证每个 DNS 请求的数据包格式,对其进行加密并响应客户端。
有关更多信息,请参阅 设置基本负载平衡。
[NSLB-9825]
-
自动执行 DNSSEC 密钥管理功能
现在,您可以根据配置的频率周期自动执行 DNSSEC 密钥滚动过程。
有关更多信息,请参阅 配置 DNSSEC。
[NSLB-9380]
-
自动向 GSLB 站点分发 DNSSEC 密钥
现在,您可以使用区域传输参数在 GSLB 站点之间同步 DNSSEC 密钥。
有关更多信息,请参阅 区域维护。
[NSLB-9379]
其他
-
使用 API 规范的高级策略表达式
现在,您可以使用 NetScaler 中导入的 API 规范创建高级策略表达式。您可以根据表达式为传入的 API 流量配置相应的操作。传入的 API 流量可以是 gRPC 或 REST 类型。
有关更多信息,请参阅 使用 API 规范的高级策略表达式。
[NSAPISEC-2558]
-
API 规范验证
现在,您可以根据导入的 API 规范验证传入流量。使用此功能,您可以确保 API 请求确保数据的质量和一致性。除了验证流量外,您还可以设置放松规则,绕过对某些流量的架构验证检查。
有关更多信息,请参阅 API 规范验证。
[NSAPISEC-2555]
-
导入 API 规范
现在,您可以使用 Web App Firewall 页面中的导入选项将 API 规范文件导入 NetScaler。Web App Firewall 根据 API 规范文件中指定的架构验证用户请求。
有关更多信息,请参阅 导入。
[NSAPISEC-2351]
NetScaler SDX 设备
-
取消了对在 NetScaler SDX 上签出实例许可的限制
在具有共享许可的 NetScaler SDX 上,取消了签出最低数量实例许可的限制。也就是说,您可以签出至少一个实例许可证。以前,您可以查看的最低实例许可证数量因平台而异。
有关更多信息,请参阅 NetScaler 池容量中的表 1。
[NSSVM-5881]
-
提高了 NetScaler SDX 16000 的许可限制
NetScaler SDX 16000 的许可限制从 240 G 提高到 250 G。
[NSSVM-5807]
网络连接
-
在基于 PBR 的 GRE 隧道中支持 NetScaler 内部流量
默认情况下,NetScaler 设备不会在基于 PBR 的 GRE 隧道中发送某种类型的 NetScaler 内部流量。
引入了全局第 3 层 (L3) 参数隐式 PBR (
ImplicitPBR
),当流量与 PBR 规则匹配时,允许以下 NetScaler 内部流量进入基于 PBR 的 GRE 隧道。默认情况下,此全局 L3 参数处于禁用状态。- BGP 流量-端口 179
- zebos 同步流量-端口 4001
- RIP 和 IPv6 RIP 流量-端口 520
- RPC 流量-端口 3008、3009、3010 和 3011
- UDP 流量-端口 520
- 高可用性 UDP 流量-端口 3003
- 高可用性 TCP 流量-端口 22
- 群集 UDP 流量端口 7000
- ssh global traffic
启用隐式 PBR (
ImplicitPBR
) 参数后,基于 PBR 的隧道中仅允许与新会话相关的流量。例如,当流量与 PBR 规则匹配时,基于 PBR 的 GRE 隧道中仅允许新会话的 BGP 流量。现有的 BGP 会话继续使用基于目标的常规路由,而不是 PBR。[NSNET-28989]
-
支持 NetScaler 群集中的安全检测信号消息
NetScaler 现在支持群集配置中的安全检测信号消息。启用安全检测信号消息时,NetScaler 会对检测信号数据包进行身份验证并检查数据包的完整性,以防范篡改和重放攻击等网络攻击。
有关更多信息,请参阅 配置安全检测信号。
[NSNET-28009]
-
Ubuntu Linux 主机支持 NetScaler BLX
Ubuntu 版本 22.04 现在支持 NetScaler BLX。
[NSNET-27434]
平台
-
在 NetScaler VPX 中优化了云配置文件的创建
NetScaler VPX 现在缩短了在使用后端自动缩放时创建云配置文件所需的时间。这是因为在创建后端自动扩展组时,您现在无需指定缩减策略。该优化适用于 Azure 和 AWS 云。但是,在 AWS 中,如果您使用平滑超时功能,则必须指定至少一个缩小规模的策略。
有关更多信息,请参阅 添加后端 AWS 自动扩展服务。
[NSPLAT-26628]
-
支持 Azure 云中的托管身份
NetScaler VPX 现在支持 Azure 云中的托管身份。托管身份用于将服务主体链接到 Azure 资源(例如虚拟机)。使用托管身份,您无需管理云证书,从而避免了安全风险。
以前,您只能选择在 NetScaler VPX 中手动设置云证书。云凭据由应用程序 ID、应用程序密钥和租户 ID 组成。
当您在NetScaler VPX中同时配置托管身份和云凭据时,托管身份优先于云证书。目前,NetScaler VPX 仅支持系统分配的身份和单用户分配的托管身份。不支持多用户分配的托管身份。
有关更多信息,请参见 添加后端 Azure 自动缩放服务。
[NSPLAT-23111]
策略
-
支持使用 NSPEPI 工具转换经典 SSL 策略配置
NSPEPI 工具现在可将经典 SSL 策略配置转换为高级配置。
[NSPOLICY-5422]
-
在 NetScaler 升级期间可以选择运行 NSPEPI 工具
现在,您可以在 NetScaler 升级过程中运行 NSPEPI 工具。
要在升级期间将经典策略转换为高级策略,请在
./installns
命令中选择-M
选项。-M
选项触发 NSPEPI 工具并使用修改后的配置更新现有的 ns.conf 文件。旧配置现在 /nsconfig/ns.conf_old 中供将来参考。注意:
建议您在升级之前将经典策略转换为高级策略。有了此增强功能,即使您在升级之前错过了经典策略的转换,也可以选择在升级期间转换为高级策略。
有关更多信息,请参阅 使用 NSPEPI 工具转换策略表达式。
[NSPOLICY-5339]
-
使用表达式派生模式集或数据集名称;rn 您现在可以在模式集或数据集相关方法(例如 CONTAINS_ANY()、EQUALS_ANY())中使用表达式派生出模式集或数据集名称。要动态使用模式集或数据集,您需要使用
dynamic
参数配置模式集或数据集。 以前,只能给出静态名称或字符串。rn[NSHELP-22114]
SSL
-
支持证书包的更新操作
证书包现在支持更新操作。现在,您可以直接更新证书包。以前,您必须先取消绑定并删除捆绑包,然后添加和绑定证书包。
[NSSSL-12613]
-
在 SSL 虚拟服务器和配置文件上支持 EC 曲线 25519
SSL 虚拟服务器和配置文件现在支持 TLS 1.3 握手中的 X25519 密钥交换。使用 SSL 虚拟服务器或 SSL 配置文件绑定命令显式绑定此曲线。此曲线还包含在 EC 曲线名称“ALL”中,您可以使用该曲线将所有 EC 曲线绑定到 SSL 虚拟服务器或 SSL 配置文件。
[NSSSL-1371]
系统
-
限制一分钟内连接上收到的 HTTP/2 RESET 帧的数量
现在,您可以限制一分钟内在 HTTP/2 连接上收到的 HTTP/2 重置帧的数量。如果 RESET 帧的数量超过配置的限制,NetScaler 会静默地丢弃该连接上的数据包。
通过此增强功能,当攻击者打开多个 HTTP/2 流并通过发送 RESET STREAM 帧立即取消这些流时,您可以缓解 HTTP/2 DoS 攻击。
有关更多信息,请参阅 HTTP/2 DoS 缓解。
[NSBASE-18564]
-
管理界面 URL 已禁用日志记录
此增强功能减少了禁止访问某些明确禁止的管理界面 URL 时生成的详细日志消息。尽管日志消息有助于识别访问被拒绝的 URL,但它往往会增加日志大小。使用此增强功能,默认情况下,NetScaler 不生成日志。但是,您可以使用
nsapimgr
旋钮启用日志。[NSBASE-18455]
-
NetScaler 支持转发代理协议 V2 的 TLV
如果在虚拟服务器和服务上启用了代理协议功能,NetScaler 支持将代理协议 V2 中发送的 TLV(类型长度值)信息转发到后端服务器。
在 NetScaler 14.1-12.30 发布之前,NetScaler 无法解析 TLV,因此将其删除。
有关更多信息,请参阅 代理协议。
[NSBASE-18418]
用户界面
-
NetScaler 下一代 API(技术预览版)
NetScaler 下一代 API 是一种高级而强大的
RESTful
API,允许您以简单和用户友好的方式以编程方式配置 NetScaler 设备。该 API 基于声明式、期望状态和以应用程序为中心的接口。该 API 旨在抽象和简化传统 NetScaler 配置的许多低级复杂性。这些 API 功能使其更适合非网络或 NetScaler 专家的应用开发人员。
下一代 API 的核心概念是应用程序。与同一个应用程序相关的所有配置元素都经过分组,因此可以轻松安全地自动应用更改。
目前,下一代 API 支持以下一组功能:
- 内容切换(HTTP、HTTPs 协议)
- 负载平衡(HTTP、HTTPs 协议)
- SSL 卸载
- HTTP 重定向,HTTP 响应程序
- 服务器运行状况检查
[NSCONFIG-8040]
-
路由功能的 NITRO API 文档更新
以下动态路由相关资源的文档现已作为 API 参考指南的一部分提供:
- accessList
- bfdInterface
- bgpPrefix
- bgpRouter
- ipRoute
- ospf6Database
- ospf6Interface
- ospf6Neighbor
- ospf6Router
- ospfDatabase
- ospfInterface
- ospfNeighbor
- ospfRouter
- routeMap
NITRO API 文档 位于 NetScaler GUI 的“下载”选项卡中。
[NSCONFIG-7765]
-
满足以下条件时,NITRO API GET 系统文件请求无法读取文件内容:
-
这些文件的权限级别设置为 640。
-
关联的目录没有可执行权限。
[NSCONFIG-7732]
-
已修复的问题
Build 14.1-12.35 中解决的问题。
分析基础结构
-
运行
/netscaler/nsconmsg
命令时,NetScaler 会在管理分区上显示虚拟服务器的不完整调试信息。[NSHELP-36185]
-
当有多个全局绑定到一个 NetScaler 的 AppFlow 策略时,取消其中一个策略的绑定也会使其他策略失效。
[NSHELP-35960]
-
在群集部署中,当您在该节点上执行“强制群集同步”或“重新启动”操作时,非 CCO 节点不会将 TCP 系统日志消息发送到外部 syslog 服务器。
[NSHELP-32925]
身份验证、授权和审核
-
在某些情况下,如果 OAuth IdP 缓存 SP 证书的过时副本,则配置为 OAuth SP 的 NetScaler 可能会崩溃。
[NSHELP-36150]
-
配置为 OAuth IdP 的 NetScaler 在响应依赖方时可能会发送错误的内容类型标头。
[NSHELP-35918]
-
当配置为 SAML 服务提供者的 NetScaler 需要对发送到 SAML IdP 服务器的请求作出响应时,它可能会崩溃。
[NSHELP-35771]
-
升级后,“AAA DHT:由于子类型 1 无效,VPN 进入恢复通知失败”消息反复出现在 NetScaler 日志文件中。
[NSHELP-35649]
-
如果使用 NAT IP 地址配置 TACACS 身份验证,则使用 NetScaler CLI 运行命令可能会出现延迟。
[NSHELP-32960]
机器人管理
-
在极少数情况下,当使用设备指纹检测技术时,网页可能无法加载。
[NSHELP-34742]
负载平衡
-
在 HA 设置中,当满足以下条件时,DNS 服务器可能会间歇性地为 GSLB 域查询发送空响应:
- 持久性是在 GSLB 虚拟服务器上配置的。
- 配置了大量的负载平衡部署。
- 发生 HA 故障转移。
[NSHELP-35981]
-
在 ADNS 部署中,DNS 服务器可能会向非预期用户提供 DNS 视图的 IP 地址进行响应。如果您使用删除操作配置了 DNS 响应程序策略,则可能会出现此问题。
[NSHELP-35928]
-
当 NetScaler 收到请求时,它不会回复详情,而是返回查询。当满足以下条件时,可能会出现此问题:
- ADNS 服务和 DNS 负载平衡虚拟服务器配置在同一 NetScaler 上。
- DNS 查询被发送到虚拟服务器,虚拟服务器收到负面响应。但是,在缓存期间,会向 ADNS 服务发送相同的查询。
[NSHELP-35878]
-
当 GLSB 响应的 IP 地址超过 300 个时,NetScaler 可能会崩溃。
[NSHELP-35792]
-
HA 故障转移后,即使在持久性超时时间过期之后,也不会从主节点中删除持久性会话条目。会话条目将一直保留,直到辅助节点启动并运行。
[NSHELP-34378]
其他
-
当您配置支持 DPDK 的 NetScaler BLX 时,NetScaler BLX 可能无法在某些固件版本的 NIC 中检测到 DPDK 兼容的 NIC 端口。因此,NIC 端口作为非 DPDK 端口添加到 NetScaler BLX 中。
[NSHELP-36290]
-
重命名具有活动 ICA 连接的 VPN 虚拟服务器时,NetScaler 可能会崩溃。
[NSHELP-35804]
NetScaler Gateway
-
如果满足以下条件,GUI 中将缺少流量管理 > SSL > SSL 文件选项:
- 使用 NetScaler Gateway 许可。
- 该软件已升级到 NetScaler 版本 13.0 版本 91.x。
[NSHELP-36186]
-
您可能无法访问某些应用程序(内部和外部),因为后端服务器拒绝了 HTTP/1.0 模式下的代理请求。
[NSHELP-35919]
-
使用 NetScaler Gateway Gui 配置 DTLS 虚拟服务器时,如果在 DTLS 虚拟服务器上启用默认 SSL 配置文件,则 SSL 设置将被删除。
[NSHELP-34723]
-
由于缓冲区溢出情况,NetScaler 上的 EPA 扫描间歇性失败。
[NSHELP-34039]
NetScaler SDX 设备
-
当您在管理服务用户界面中编辑 VPX 实例时, 网关 IPv6 地址 不会出现在管理服务用户界面中,因此管理服务会从清单中删除该值。
[NSSVM-5865]
-
首次使用默认凭据以 root 管理员身份登录管理服务用户界面时,需要更改默认密码。
[NSSVM-5767]
-
在 NetScaler SDX 控制面板上,吞吐量数据和图表不可用。
[NSHELP-36586]
-
由于从管理服务到 XenServer 的 SCP/SSH 连接超时,将 NetScaler SDX 版本 13.1 从版本 42.47 升级到版本 49.13 可能会失败。管理服务用户界面中出现以下错误消息:
Attempted to upgrade on Platform but it did not come up with new version
。[NSHELP-36311,NSCXLCM-2086]
-
当您从管理服务用户界面的下载页面下载 SDX-MIB-smiv2.mib 文件时,LAST-UPDATED 字段不会更新。
[NSHELP-36174]
NetScaler Web App Firewall
-
转换文件请求调试日志是在将 URL 转换配置文件应用于请求时生成的。
[NSWAF-10356]
-
在群集部署中,启用 Web App Firewall 功能时,NetScaler 可能会崩溃。
[NSHELP-36362]
-
启用基于 SQL 语法的保护功能时,使用某些预定义的关键字可能会导致误报。
[NSHELP-36138]
-
如果请求包含日期格式,则 JSON 命令注入语法保护检查会阻止该请求。但是,日志文件中的数据不会更新,计数器也不会增加。
[NSHELP-35577]
-
当来自有效会话的 Cookie 在另一个会话中重复使用时,Cookie 劫持保护功能无法按预期运行。NetScaler 允许该请求,而不是阻止该请求。
[NSHELP-33723]
网络连接
-
启用 NetScaler BLX 托管主机时,主机上配置的所有 IP 地址都不会添加到 NetScaler BLX。
[NSNET-30389]
-
当您升级 NetScaler BLX 时,nitro-python 包可能不会更新。因此,升级时可能会出现以下错误:
tar: /var/netscaler/nitro/ns_nitro-python_artesa_xx_xx.tar: Not found in archive
[NSNET-27927]
-
在大规模 NAT (LSN) 设置中,当 LSN 前端和后端连接的内部计数不匹配时,NetScaler 设备可能会崩溃。
[NSHELP-36391]
-
当根据用户名或社区名称识别出身份验证失败时,SNMPv2 身份验证陷阱日志消息显示用户名或社区名称的无效值。
[NSHELP-36213,NSCXLCM-1848]
-
在大规模 NAT (LSN) 设置中,由于位编码操作不正确,NetScaler 设备可能会崩溃。
[NSHELP-36124]
-
在具有 IP over IP 配置的 HA 设置中,辅助节点可能会在 HA 故障转移期间崩溃。
[NSHELP-36060]
-
升级后,由于处理 HDX 见解时出现错误,配置了 SSL VPN 的 NetScaler 崩溃。
[NSHELP-35895、NSCXLCM-1519、NSCXLCM-2321]
-
当您配置基于数据集的 ACL 时,NetScaler 设备可能会崩溃。
[NSHELP-35744、NSCXLCM-2170、NSCXLCM-2195、NSCXLCM-2203、NSCXLCM-2376、NSCXLCM-2748]
-
当 MIB 文件与实际变量不匹配时,SNMP 陷阱监视可能无法读取陷阱。
[NSHELP-35629]
-
在大规模 NAT (LSN) 设置中,当 LSN 前端和后端连接的内部计数不匹配时,NetScaler 设备可能会崩溃。
[NSHELP-35318]
-
对于非默认 HTTPS 端口上的内部 SSL 服务,即使您更改默认 SSL 证书绑定并重新启动设备,默身份验证书仍会绑定到内部服务。
[NSHELP-24034]
SSL
-
由于日志文件异常大,NetScaler 可能会崩溃。例如,如果将日志级别设置为 DEBUG 以监视 SSL 握手日志,则日志文件的大小会急剧增加,因为该文件还包含其他模块的详细调试日志。您可以使用“nsapimgr”旋钮将日志级别设置为 INFO 来获取 SSL 调试日志。结果,日志文件的大小也减小了。
[NSSSL-13206]
-
在某些情况下,当 TLS 1.3 客户端拒绝发送证书时,身份验证虚拟服务器无法应用下一步(备用)身份验证策略。
[NSHELP-36479]
-
如果您使用具有 TLS 1.3 配置的巨型帧,NetScaler 可能会崩溃。
[NSHELP-36153]
-
当客户端重新传输之前的握手消息时,NetScaler 会返回一条错误消息。
[NSHELP-34608,NSCXLCM-348]
系统
-
在 TLS HTTP/2 连接中,当收到事先没有 TCP FIN 标志的 TLS 关闭通知消息时,NetScaler 不会发送 HTTP/2 Goaway 消息。
[NSHELP-36248]
-
启动和停止命令被视为配置命令,因此即使没有配置更改,也会提示您保存配置。
[NSHELP-28413]
-
如果您使用 HTML5 浏览器和 QUIC 传输协议,ICA 会话可能会在启动后的几分钟内失败。
[NSBASE-18402]
用户界面
-
用户可能会收到错误编辑或添加签名对象时无法完成系统文件更新请求。当满足以下条件之一时,就会出现此问题:
- 签名对象的大小很大。
- 通话已超时。
[NSHELP-36751]
-
您无法从 NetScaler GUI 中的“安全”>“SSL 转发代理”>“SSL 拦截策略”中添加 SSL 拦截策略。
[NSHELP-36166]
-
权限有限的用户可以删除具有更高权限的用户创建的报告。
[NSHELP-36042]
-
当收到外部身份验证用户的大量记账请求时,群集文件同步可能无法正常运行。在此期间,可能会消耗更多的磁盘空间。
[NSHELP-35985]
-
在 HA 设置中,即使您拥有主节点和辅助节点的 NSIP 地址的唯一的 SSL 证书,辅助节点证书也会被主节点证书覆盖。
[NSHELP-35938]
-
创建或删除多个分区时,可能会生成重复的分区 ID。因此,在创建分区时可能会出现以下错误。
“分区 ID 已被另一个分区使用”
[NSHELP-35042]
-
在 NetScaler 群集设置中,
show nstrace
命令的 CLI 输出未正确显示在群集节点的 NSIP 地址上。[NSHELP-33712]
已知问题
14.1-12.35 版本中存在的问题。
分析基础结构
-
在 Kubernetes 群集上安装 NetScaler ADM 时,它无法按预期工作,因为所需的进程可能无法启动。
解决方法 :重新启动“管理”窗格。
[NSANINFRA-1504]
身份验证、授权和审核
-
管理员无法对因凭据无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题,是因为 NetScaler 响应程序策略无法检测到登录失败的错误。
[NSAUTH-11151]
-
可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
show adfsproxyprofile <profile name>
解决办法:连接到群集中的主要活动 NetScaler 并运行
show adfsproxyprofile <profile name>
命令。它将显示代理配置文件状态。[NSAUTH-5916]
-
如果执行以下步骤,NetScaler GUI 上的配置身份验证 LDAP 服务器页面将无响应:
- 测试 LDAP 可达性选项已打开。
- 填充并提交了无效的登录凭据。
- 将填充并提交有效的登录凭据。
解决办法:关闭并打开“测试 LDAP 可访问性”选项。
[NSAUTH-2147]
负载平衡
-
重命名 GSLB 站点时,即使在 NetScaler 中启用了增量同步选项,也会进行完全配置同步而不是增量同步。
[NSLB-10884]
-
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。
[NSLB-7679]
其他
-
当您在甲骨文云上启用 NetScaler BLX 托管主机时,Linux 主机的网关配置不会添加到 NetScaler BLX 中。
[NSLINUX-155]
-
带有 DPDK 的 NetScaler BLX 设备上的 Intel
X710 10G (i40e)
接口不支持以下接口操作:- 禁用
- 启用
- 重置
[NSLINUX-64]
-
在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 NetScaler BLX 设备可能会失败,并出现以下依赖项错误:
The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable
解决办法:在安装 NetScaler BLX 设备之前,在 Linux 主机命令行界面中运行以下命令:
- dpkg — 添加架构 i386
- apt-get 更新
- apt-get 安装 libc6: i386
[NSLINUX-5]
NetScaler Gateway
-
有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。
[NSHELP-21897]
-
NetScaler GUI 上的预身份验证策略和身份验证操作的表达式编辑器下拉列表中未列出 Windows 操作系统选项。但是,如果您已经使用 GUI 或 CLI 在之前的 NetScaler 版本上配置了 Windows 操作系统扫描,则升级不会影响该功能。如果需要,您可以使用 CLI 进行更改。
解决方法:
使用 CLI 命令进行配置。
- 要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。 add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
- 要配置经典的预身份验证操作,请使用以下命令。 add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[CGOP-22966]
-
要在 Windows 登录之前使用始终可用的 VPN 功能,建议您将 NetScaler Gateway 升级到 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。
[CGOP-19355]
-
从 NetScaler GUI 添加或编辑会话策略时,将显示错误消息。
[CGOP-11830]
-
在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示一个严重错误对话框。此外,页面变得无响应。
[CGOP-7269]
NetScaler Secure Web Gateway
-
如果 URL 筛选第三方供应商出现连接问题,NetScaler 设备可能会由于管理 CPU 停滞而重新启动。
[NSHELP-22409]
网络连接
-
在某些 FTP 数据连接情况下,NetScaler 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。
[NSNET-5233]
-
在 NetScaler 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。
[NSHELP-21082]
平台
-
当您将软件升级到 14.1-8.x 及更高版本或 13.1-50.x 及更高版本时,带有铜质 1G SFP 收发器的 25G 接口无法连接到远程交换机或网络设备。
以下具有 25G NIC 的平台上会出现此问题:
- SDX 9100
- SDX 15000
- SDX 16000
- SDX 26000
- SDX 26000-50S
[NSPLAT-27864]
-
从 Azure 资源组中删除 AutoScale 设置或 VM 比例集时,请从 NetScaler 实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。
[NSPLAT-4520]
-
在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于 AutoScale 云配置文件配置的首次用户 (FTU) 屏幕。
解决办法:跳过屏幕,登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。
[NSPLAT-4451]
策略
-
如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。
解决办法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。
[NSPOLICY-1267]
SSL
-
在 NetScaler SDX 22000 和 NetScaler SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。
解决方法:
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
set ssl vserver <name> -SSL3 DISABLED
。 - 保存配置。
[NSSSL-9572]
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
-
如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。
[NSSSL-6478]
-
您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。NetScaler 设备不会返回错误。
[NSSSL-6213]
-
如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。 ERROR: crl refresh disabled
[NSSSL-6106]
-
会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)
[NSSSL-4427]
-
如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。
[NSSSL-4001]
-
在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。
[NSSSL-3184、NSSSL-1379、NSSSL-1394]
系统
-
当使用 CONNECT HTTP 请求方法的 HTTP/2 流终止时,使用 HTTP/2 的网页可能无法完全加载。
[NSHELP-36407,NSBASE-17449]
-
如果满足以下条件,则 TCP 连接的 RTT 为高:
- 设置了较高的最大拥塞窗口 (>4 MB)
- TCP NILE 算法已启用
要使 NetScaler 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口
因此,在达到配置的最大拥塞窗口之前,NetScaler 会继续接受数据并最终获得高 RTT。
[NSHELP-31548,NSCXLCM-159]
-
当您使用
unset nstcpprofile
命令取消设置 TCP 配置文件参数时,NetScaler 可能会转储内核。解决办法:改用带有所需参数值的
set nstcpprofile
命令。[NSBASE-18724]
-
如果您使用 HTML5 浏览器和 QUIC 传输协议,ICA 会话可能会在启动后的几分钟内失败。
解决办法:在配置 QUIC 配置文件时,将最大空闲超时值设置为 3600 秒。
[NSBASE-18402]
-
mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。
[NSBASE-18295]
-
当为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 将反转。
[NSBASE-8506]
用户界面
-
您无法使用 GUI 将技术支持包上载到 Citrix 技术支持服务器。
解决办法:使用 CLI 上载技术支持包。
[NSUI-19315]
-
在 NetScaler GUI 中,“控制板”选项卡下的“帮助”链接已损坏。
[NSUI-14752]
-
创建/监视 CloudBridge 连接器向导可能会变得无响应或无法配置 CloudBridge 连接器。
解决方法:使用 NetScaler GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge 连接器。
[NSUI-13024]
-
如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。
[NSUI-6838]
-
如果满足以下条件顺序,用户可能无法登录降级的 NetScaler 设备:
- 您可以执行以下步骤之一:
- 升级到当前版本后,您可以添加系统用户或更改现有系统用户的密码,然后保存配置。
- 使用当前版本配置新的 NetScaler VPX、BLX 或 CPX 实例。
- 将设备降级为以下版本之一:
- 13.1-4.x
- 13.0-82.x 或更早版本
- 12.1-62.x 或更早版本
要查看降级后受影响的用户列表,请在命令提示符下键入:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
解决办法:重置受影响用户的密码。有关更多信息,请参阅 如何重置根管理员 (nsroot) 密码。
注意:
如果您要降级之前升级的版本,则在降级时使用早期版本的备份配置文件 (ns.conf) 来避免此问题。
[NSCONFIG-8068]
- 您可以执行以下步骤之一:
-
如果满足以下条件顺序,用户可能无法登录降级的 NetScaler 设备:
- 您可以执行以下步骤之一:
- 升级到当前版本后,您可以添加系统用户或更改现有系统用户的密码,然后保存配置。
- 使用当前版本配置新的 VPX、BLX 或 CPX 实例。
- 将设备降级为以下版本之一:
- 13.0-47.x 或更早版本
- 12.1-56.x 或更早版本
- 11.1-64.x 或更早版本
要查看降级后受影响的用户列表,请在命令提示符下键入:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
解决办法:重置受影响用户的密码。有关更多信息,请参阅 如何重置根管理员 (nsroot) 密码。
注意:
如果您要降级之前升级的版本,则在降级时使用早期版本的备份配置文件 (ns.conf) 来避免此问题。
[NSCONFIG-3188]
- 您可以执行以下步骤之一:
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.