This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 14.1-8.50 Build 的发行说明
本发行说明文档描述了 NetScaler 版本 Build 14.1-8.50 中存在的增强和更改、已修复和已知问题。
备注
- 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
- 版本 14.1-8.50 及更高版本可解决 https://support.citrix.com/article/CTX579459 中描述的安全漏洞。
新增功能
版本 14.1-8.50 中提供的增强功能和更改。
分析基础结构
-
支持将时间序列指标直接导出到 Splunk
现在,您可以直接将时间序列指标从 NetScaler 导出到 Splunk。您可以使用 Splunk 控制板可视化导出的数据,以获得有意义的见解。
[NSANINFRA-3349]
其他
-
用于上载技术支持包的身份验证令牌
将技术支持包直接从 NetScaler 上载到 Citrix 技术支持服务器时,您现在需要一个身份验证令牌。以前,您需要 Citrix 用户名和密码才能上载技术支持包。有关更多信息,请参阅 如何生成用于解决设备问题的技术支持包。
[NSTOOLS-3019]
NetScaler Gateway
-
虚拟通道的智能控制增强功能
NetScaler Gateway 将 SmartControl 功能的功能扩展到了更多 Citrix Virtual Apps and Desktops 的 ICA 虚拟通道。此扩展改进了 NetScaler Gateway 和 ICA 虚拟通道之间的交互。
要利用扩展的 SmartControl 功能的功能,可以在
add ica accessprofile <name>命令中使用以下 CLI 参数。- ClientTWAINDeviceRedirection
- WIARedirection
- DragAndDrop
- SmartCardRedirection
- FIDO2Redirection
有关更多信息,请参阅 配置智能控制。
[GOPHDX-3259]
-
支持 HDX 的新版减速器
NetScaler Gateway 支持适用于 HDX 的新版本的减速器。适用于 HDX 的 Reducer 是一款可跨虚拟通道运行的通用压缩器。新的减速器通过以下功能提高了 NetScaler Gateway 的整体性能:
- 降低 ICA 会话的网络带宽使用率。
- 提供更快的响应。
[GOPHDX-1352]
NetScaler SDX 设备
-
管理服务中的用户会话限制
在“配置”>“系统”>“用户管理”>“组”中,默认为管理员和只读组的成员分配 40 个用户会话。默认情况下,会为其他组的成员分配 20 个用户会话。
有关更多信息,请参阅 配置身份验证和授权设置。
[NSSVM-5772]
-
移除群集节点时对警告消息的更改
在群集设置中,当您删除支持发现的配置备份功能的节点时,管理服务 GUI 中现在会出现以下警告:
“所有发现的配置都将丢失。使用 CLI 中的
shell spottedconfig <node ID to be deleted>命令备份已发现的节点 ID(待删除的节点 ID)的配置。 是否确实要删除群集节点?”早些时候,即使节点不支持发现的配置备份功能,也会显示警告。
[NSSVM-5657]
-
品牌重塑变更
Citrix SDX 现已更名为 NetScaler SDX。为了与新品牌保持一致,SDX GUI 也进行了更新。
[NSSVM-5554]
NetScaler Web App Firewall
-
将 Web App Firewall 策略绑定到 VPN 虚拟服务器
现在,您可以通过将 Web App Firewall 策略绑定到 VPN 虚拟服务器来保护 VPN 虚拟服务器后面的所有应用程序。
有关更多信息,请参阅 绑定 Web App Firewall 策略。
[NSWAF-9727]
网络连接
-
已弃用大规模 NAT 功能
此版本中已弃用 NetScaler 的大规模 NAT 功能。
注意:不推荐使用的功能不会立即移除。NetScaler 设备将继续支持已弃用的功能,直到在将来的版本中将其删除。
[NSNET-27990]
-
支持在群集节点中列出发现的配置
为避免丢失已发现的配置,您现在可以使用
shell spottedconfig <nodeID>命令列出群集节点的已发现配置,并在从群集中移除该节点之前进行备份。有关更多信息,请参阅 移除群集节点。[NSNET-24559]
平台
-
AWS 自动缩放组中备用服务器的连接耗尽支持
当 AWS 自动缩放组中的后端服务器从 InService 状态更改为待机状态时,NetScaler VPX 将停止向处于待机状态的服务器发送任何新的客户端连接。但是,备用服务器会继续处理现有的客户端连接,直到这些连接关闭。备用服务器仍然是自动缩放组的一部分,但它们不会主动处理来自负载平衡器的新流量。使用此功能可实现备用服务器的连接耗尽。您可以将服务器置于待机状态,例如更新服务器或对其进行故障排除,或者根据用例缩小规模。
早些时候,NetScaler VPX 用于将新的客户端连接也发送到处于待机状态的服务器。
[NSPLAT-27119]
-
取消对 NetScaler MPX 11500 的支持
NetScaler 固件 14.1 不支持 NetScaler MPX 11500/13500/14500/16500/18500/20500 和 MPX 11504/11515/11520/11530/11540/11542。
[NSPLAT-26924]
-
支持新的 SNMP MIB 作为速率限制指标
为 NetScaler 添加了一个新的 SNMP MIB,用于获取每秒的数据包数和每秒比特数。此 MIB 可帮助您了解 NetScaler 的当前速率限制指标。有关更多信息,请参阅 Citrix ADC 14.1 SNMP OID 参考。
[NSPLAT-26679]
-
支持 Mellanox ConnectX5 NIC
Linux KVM 上的 NetScaler VPX 现在支持 Mellanox ConnectX5 NIC。有关更多信息,请参阅 VPX 平台与NIC 列表。
[NSPLAT-26640]
-
支持 AWS M6i 实例类型
AWS 云上的 NetScaler VPX 现在支持 M6i 实例类型。有关更多信息,请参阅 AWS-VPX 支持列表。
[NSPLAT-25994]
-
在带有 10G/25G/40G 网卡的 NetScaler SDX 上支持更新的网卡驱动程序和固件
升级到单捆绑映像 (SBI) 版本 14.1-8.50 及更高版本或 13.1-50.x 及更高版本时,10G/25G/40G NIC 驱动程序和固件将在以下平台上自动升级到 8.70 版本。网卡固件版本 8.70 修复了 CVE-2020-8690、CVE-2020-8691、CVE-2020-8692 和 CVE-2020-8693。
- SDX 8900
- SDX 14000-40G
- SDX 15000
- SDX 15000-50G
- SDX 25000-40G
- SDX 16000
- SDX 9100
- SDX 26000
- SDX 26000-50S
[NSPLAT-23460]
策略
-
预配置检查工具经过增强,可验证过时的命令和参数 建议在升级 NetScaler 之前运行预配置检查工具,现在可以检查与版本中过时的参数和命令相关的配置。有关更多信息,请参阅 预配置检查工具。
[NSPOLICY-5183]
SSL
-
不建议在 SSL 实体上设置 SSL 参数
在 SSL 实体上设置 SSL 参数很快就会被弃用。使用默认(增强型)配置文件来设置这些参数。
有关默认配置文件的信息,请参阅 启用默认配置文件。
有关将配置迁移到默认配置文件的信息,请参阅 将 SSL 配置迁移到增强型 SSL 配置文件。
[ NSSSL-12424 ]
-
在重启期间记录证书密钥对加载失败
将证书文件或私钥文件上载到 NetScaler 内存后,除非设备重新启动,否则对源文件的任何更改都不会反映出来。重启失败的原因可能有,例如证书文件已更新但密钥文件未更新、更新的文件已损坏、新的密钥文件受密码保护或密码已更改。
由于证书或密钥文件更改而导致添加证书密钥对时出现的任何错误现在都会被记录下来。
有关更多信息,请参阅 记录重启期间加载证书密钥对失败。
[NSSSL-11980]
系统
-
HTTP QUIC VPN 虚拟服务器
现在,您可以在浏览器上使用 HTML5 通过 QUIC 发送 ICA 流量以启动 Citrix DaaS 会话。使用 CLI 创建服务类型为 HTTP QUIC 的 VPN 虚拟服务器,在没有客户端插件软件的情况下通过 QUIC 在 HTML5 客户端上启动 Citrix DaaS 应用程序。有关更多信息,请参阅 HTTP QUIC VPN 虚拟服务器。
[NSBASE-16981]
已修复的问题
版本 14.1-8.50 中解决的问题。
分析基础结构
-
如果满足以下所有条件,NetScaler 可能会崩溃:
- 在分析配置文件或 AppFlow 参数中启用事件、审核日志或指标。
- 配置了响应端重写策略。
[NSHELP-35550]
-
重新启动 NetScaler 后,即使之前已禁用 SNMP 警报,它也会自动重新启用。
[NSHELP-34745]
-
配置了多重身份验证的 NetScaler 在策略评估期间崩溃。
[NSHELP-33674]
-
重启后,如果 newnslog 配置文件为空,则 VPX 会继续重启。
[NSHELP-33373]
-
当满足以下两个条件时,
show syslogAction命令将在输出中显示未解析的 IP 地址:- 在传输模式下使用带有域名的 SYSLOG 操作 UDP。
- 服务器上的 ICMP 已被禁用。
出现此问题的原因是,由于无法通过 ICMP 访问服务器,ping-default 监视器将服务标记为关闭。因此,即使 IP 地址已解析,也不会显示在输出中。
[NSHELP-32886,NSHELP-33392]
-
在群集环境中,当 syslog 策略绑定到负载平衡虚拟服务器时,NetScaler 可能会崩溃。
[NSHELP-30983,NSANINFRA-21]
身份验证、授权和审核
-
升级后,用户无法重置过期的 NetScaler Gateway 密码。当使用双重身份验证登录架构的 StoreFront 身份验证配置为 nfactor 流程中的第二个因素时,就会出现此问题。
[NSHELP-35631]
-
在 NetScaler GUI 身份验证服务器页面(配置 > 身份验证 > 控制板)中,状态列无法正确加载,并出现“正在进行中的小图像”消息。正在进行服务器配置的条目会出现此问题。
[NSHELP-34534]
-
当同时有大量传入请求时,Kerberos SSO 可能会失败。
[NSHELP-34177]
-
配置为 SAML 服务提供商的 NetScaler 可能会向 SAML 注销请求发送两个响应。当注销请求包含“SAML 请求”参数时,就会出现此问题。
[NSHELP-32555]
-
如果将以下身份验证方法之一用作第二个因素,并且在 nFactor 流程中配置了后续因素并需要用户交互,NetScaler 可能会崩溃。
- SAML
- OAuth
- 客户端证书
[NSHELP-29573、NSCXLCM-492、NSCXLCM-872、NSCXLCM-1216、NSHELP-32631、NSHELP-32765]
负载平衡
-
在流量域部署中,当 netprofile 绑定到 DNS 虚拟服务器时,DNS 查询的负载平衡可能会失败。
[NSHELP-35675]
- 满足以下一系列条件后,当您引用基于域名的服务 (DBS) 时,NetScaler 可能会崩溃:
- 为 DBS 域名解析到的 IP 地址配置了位置条目。
- DBS 域名被移除,导致域名服务器发出 NXDOMAIN 响应。
- 位置条目已删除。
[NSHELP-35370]
-
在极少数情况下,当为 TCP 类型的虚拟服务器配置持久性时,NetScaler 可能会崩溃。
[NSHELP-35360]
-
在 HA 设置中,当辅助节点重新启动时,静态邻近数据库可能无法加载。
[NSHELP-35271]
-
NTLM 监视器不支持以下选项:
- 由 NTLM 版本 1 和版本 2 配置的监视器进行并行探测。
- 当“scriptArg”参数中的 URL 解析为不同的 IP 地址时,将探测定向到服务器的 IP 地址。
- NTLM 版本 2.
[NSHELP-35185]
-
如果绑定到用户监视器的服务超过 30 个,则绑定到用户监视器的服务可能会间歇性不可用。
[NSHELP-34669,NSCXLCM-1373]
-
由于超时计算不正确,对 StoreFront 用户监视器的探测可能会失败。在配置 StoreFront 用户监视器时,如果将超时值设置为 1 或 2 秒,则会出现此问题。
[NSHELP-34418]
-
如果将静态邻近配置为 GSLB 方法,并且从数据库中查找客户端位置失败,则可能会出现 CPU 使用率过高。
[NSHELP-33823]
-
在高可用性设置中,故障转移后移除分区可能会导致 CPU 使用率过高。
[NSHELP-33701]
-
当满足以下条件时,NetScaler 可能会崩溃:
- 负载平衡虚拟服务器在多个分区中配置了重定向 URL。
- 触发内存恢复。
[NSHELP-33638、NSCXLCM-227、NSCXLCM-509]
-
在 SOA 联系人信息中,当您输入包含多个点字符的电子邮件地址(例如 john.doe.example.com)时,它将转换为
john@doe.example.com。现在您可以使用反斜杠 (“\”) 作为转义字符。结果,john.doe.example.com 转换为john.doe@example.com。[ NSHELP-33610 ]
-
缓存重定向功能已禁用,但虚拟服务器仍在处理流量。将缓存重定向虚拟服务器的 IP 地址和端口号添加到 GSLB 服务时,会出现此问题。
[NSHELP-33495]
-
执行增量同步时,如果修改了监视器的“resptimeout”参数,则会触发完全同步。
[NSHELP-31987]
-
当几个内部虚拟服务器的监视探测失败时,NetScaler 可能会崩溃。
[NSHELP-30985]
-
当您使用 NetScaler GUI 执行以下步骤时,可以在运行配置中看到额外的 CNAME 记录:
- 创建 DNS 记录类型为 CNAME 的 GSLB 虚拟服务器
- 配置 DNS 记录类型 CNAME
- 保存配置
此问题是表面问题,不影响功能。
[NSHELP-29217]
其他
-
当 NetScaler 在将 NetScaler 生成的 cookie 发送到上游 HTTP 服务器之前将其从传入的 HTTP 请求中删除时,上游服务器可能会拒绝该请求。之所以出现此问题,是因为删除 Cookie 名称/值对可能会导致 cookie 标头字段不符合 HTTP 协议规范。
[NSHELP-35855]
NetScaler Gateway
-
当满足以下条件时,NetScaler 可能会崩溃:
- EDT 上有活跃的 ICA 连接。
- 添加了 IP 地址和端口号与 Citrix VDA 相同的 UDP 服务。
- NetScaler Gateway 和 Citrix VDA 之间存在连接问题。
[NSHELP-35637]
-
NetScaler Gateway 无法向 NetScaler ADM 报告 VPN 登录会话。当用户通过 Citrix Workspace 应用程序登录 NetScaler Gateway 时,就会出现此问题。
[NSHELP-35367]
-
当 EDT ICA 连接启动时,NetScaler 会崩溃。当 HDX Insight 的 AppFlow 分析配置文件绑定到 VPN 虚拟服务器时,就会出现此问题。
[GOPHDX-5014]
-
在 NetScaler GUI 中,即使绑定成功,也不会显示与 VPN 虚拟服务器的 SAML IdP 策略绑定。
[NSHELP-35663]
-
如果满足以下所有条件,NetScaler 就会崩溃:
- VPN 虚拟服务器配置了 IPv6 地址。
- 在 IPv6 虚拟服务器上只配置 IPv4 IIP 地址(没有 IPv6 IIP 地址)。
[NSHELP-35559]
-
有时,升级后,如果您通过 NetScaler Gateway 连接到 VPN,NetScaler GUI 可能无法通过 HTTP 访问。
[ NSHELP-35015 ]
-
当辅助节点收到待处理的数据包时,配置了 HDX Insight 的 NetScaler 可能会重新启动。
[NSHELP-34152]
-
NetScaler Gateway 向 NetScaler ADM 报告授权访问请求作为 SSO 故障。因此,NetScaler ADM 用户界面上的 Gateway > Gateway Insight 页面显示错误的 SSO 失败报告,从而导致虚假警报。
[NSHELP-27992]
NetScaler SDX 设备
-
在 NetScaler SDX FIPS 上,在配置或修改 NetScaler 实例时,“启用 FIPS”选项不可用。
[NSSVM-5848]
-
如果 VPX 从不支持内部管理网络的版本升级到支持内部管理网络的版本,则无法为 NetScaler VPX 启用内部管理网络。
[NSSVM-5634]
-
如果 NetScaler SDX 中存在的 VPX 的 IP 地址在各自的八位组中有不同的位数,则
snmpwalkget 调用可能不会返回所有 VPX 的响应。[NSHELP-35877]
-
对使用 25G、40G 或 100G 端口创建 LACP 信道的最大吞吐量检查验证失败。
[NSHELP-35743]
NetScaler Secure Web Gateway
-
在极少数情况下,NetScaler 可能会在数据包捕获期间崩溃。当 PCB 结构中的 TCP 配置文件变量为空值时,可能会出现此问题。
[NSHELP-36081]
NetScaler Web App Firewall
-
尽管 BOT 速率限制流量过滤器被配置为 Bursty 过滤器,但它在内部也可以用作 Smooth 过滤器。
[NSHELP-36095]
-
当 Web App Firewall 配置文件绑定了检查 SQL 注入保护的签名时,NetScaler 可能会崩溃。
[NSHELP-35989]
-
使用 URL 转换策略更新主机标头时,响应标头会使用端口号更新两次。
[NSHELP-35840]
-
如果规则配置了键值对,则无法使用 NetScaler GUI 编辑或删除 JSON 跨站脚本编写放松规则。
[NSHELP-35610]
-
在极少数情况下,当配置的内存不足且使用了 Web App Firewall 配置文件时,NetScaler 可能会崩溃。
[NSHELP-35463]
网络连接
-
在专用模式下,NetScaler BLX 使用端口 9080 和 9443 作为 HTTP 和 HTTPS 的默认管理端口,而不是端口 80 和 443。
[NSNET-30095]
-
从非默认分区绑定路由监视器时,会出现以下错误消息: “操作不允许” 但是,如果相应的路由存在于非默认分区中,则路由监视器的状态显示为 UP。
[NSNET-28589]
-
升级 NetScaler BLX 后,新
blx.config文件中缺少参数blx-managed-host和host-ipaddress。这会导致无法访问托管主机 IP 地址。[NSHELP-36092]
-
在返回 VTYSH 提示符之前,VTYSH 终端在 show 命令输出的末尾显示“更多”。之所以出现此问题,是因为 NetScaler 设备的底层 FreeBSD 操作系统已升级到 11.4 版。
[NSHELP-35829]
-
当您删除其中一个管理分区时,NetScaler 也可能会删除其他分区的数据包缓冲区。因此,当您删除已删除数据包缓冲区的分区时,NetScaler 可能会崩溃。
[NSHELP-35595]
-
当包含大型集成缓存或大规模 NAT 配置的 NetScaler 设备从 12.1 或 13.0 版升级到 13.1 或 14.1 版时,从数据包引擎崩溃中恢复的时间相对比预先升级的版本长。
[NSHELP-33797]
平台
-
支持使用 Mellanox ConnectX3 NIC 的 Azure 加速联网的 NetScaler VPX 实例可能会间歇性地降低流量。
[NSHELP-35666]
-
当您创建用于将 AWS 自动缩放服务添加到 NetScaler VPX 实例的云配置文件时,如果服务控制策略是全局配置的,则该配置文件可能会失败。
[NSHELP-35562]
-
在配备 Intel Fortville NIC 的 NetScaler SDX 上,每向 VPX 实例添加一个 Fortville 接口,VPX 实例的管理 CPU 使用率就会增加 1%。
[NSHELP-35445,NSCXLCM-768]
SSL
-
如果 NetScaler 上的内存使用率很高且配置经常被清除,NetScaler 可能会在删除默认 CA 证书组时崩溃。
[NSHELP-35441]
-
您可能会看到 NetScaler 上的 DTLS 流量积聚了大量内存,因为在处理来自客户端的重新传输的握手飞行时,内存未被正确释放。
[NSHELP-35359、NSCXLCM-999、NSCXLCM-1968]
-
当客户端应用程序通过 TLS1.3 SSL 连接上载带有填充的大文件时,上载可能会失败。之所以出现故障,是因为 TCP 接收缓冲区已满,因为未从接收缓冲区释放已填充的字节。
[NSHELP-34490]
-
如果在密钥交换期间使用 DH 512 密码,则包含 Intel Coleto 或 Intel Lewisburg 芯片的 NetScaler 设备可能会崩溃。
[NSHELP-34094]
-
在包含 Coleto 芯片的 NetScaler 平台上,当握手消息的大小大于量子大小时,SSL 重新协商握手会失败。
[NSHELP-33924]
-
在具有 SSL_TCP(前端)虚拟服务器和 TCP(后端)服务的 NetScaler 部署中,客户端请求可能会间歇性地失败。之所以出现故障,是因为 NetScaler 会转发前端收到的 SSL 客户端 hello 消息,但后端无法处理该消息,请求失败。
[NSHELP-32806]
系统
-
当同时启用 AppFlow 和 HTTP 压缩功能时,NetScaler 可能会发送错误的响应。
[NSHELP-35862]
-
当 NetScaler 在客户端 TCP 连接上收到 CONNECT HTTP 请求时,它不会重复使用已经发送了“407 代理身份验证”HTTP 响应的先前服务器 TCP 连接。取而代之的是,NetScaler 通过新的 TCP 连接将 CONNECT HTTP 请求转发到后端服务器。在新的 TCP 连接上转发请求会破坏代理身份验证协议,例如 NTLM,这些协议要求在同一 TCP 连接上交换多条 HTTP 身份验证消息。
[NSHELP-35717、NSCXLCM-1514、NSCXLCM-1835、NSCXLCM-1910]
-
在极少数情况下,启用前端优化 (FEO) 功能时,NetScaler 可能会崩溃。
[NSHELP-34861]
-
如果满足以下条件,NetScaler 可能会停止数据传输:
- 已启用多项功能。
- 多个功能尝试删除 TCP 或 HTTP 有效负载的相同部分。
[NSHELP-33793、NSCXLCM-1512、NSCXLCM-1954]
-
当基于 HTTP 的功能尝试缓冲大量应用程序数据时,NetScaler 可能会阻止 HTTP/2 连接上的数据传输。
[NSHELP-32612]
-
当配置有 SSL 服务的 NetScaler 设备收到 TCP FIN 控制数据包后接收 TCP RESET 控制数据包时,该设备会崩溃。
[ NSHELP-31656 ]
用户界面
-
使用 NetScaler GUI 创建 HA 对时,会出现以下错误消息: “参数 [rpcnode_password] 无效”
[NSHELP-36192]
-
在 NetScaler GUI 中,当您编辑 GSLB 虚拟服务器时,在将负载平衡策略绑定到虚拟服务器后,策略部分不会在 GSLB 虚拟服务器页面中列出。
[NSHELP-35899]
-
使用 GUI 升级 NetScaler 后,您将无法使用 GUI 或 SSH 访问系统升级页面。
[NSHELP-35785]
-
启用 SSL 默认配置文件后,无法使用 GUI 配置 DTLS 类型的负载平衡虚拟服务器的密码设置。
[NSHELP-35704]
-
如果“配置 LB 操作”页面的“值”字段包含空格,则 GUI 不会显示任何错误消息。编辑包含空格的值字段时,GUI 会用逗号替换空格,从而导致配置无效。
[ NSHELP-35532 ]
-
当满足以下两个条件时,您可能会在 NetScaler 设备中观察到管理 CPU 使用率过高:
- 管理员分区是在设备上配置的。
- 该设备由 NetScaler ADM 管理。
[NSHELP-34825、NSCXLCM-192、NSCXLCM-501、NSCXLCM-1279]
已知问题
版本 14.1-8.50 中存在的问题。
分析基础结构
-
在群集部署中,如果在非 CCO 节点上运行
force cluster sync命令,ns.log 文件将包含重复的日志条目。[NSANINFRA-2850,NSGI-1293]
-
在 Kubernetes 群集上安装 NetScaler ADM 时,它无法按预期工作,因为所需的进程可能无法启动。
解决方法 :重新启动“管理”窗格。
[NSANINFRA-1504]
身份验证、授权和审核
-
当满足以下条件时,NetScaler 会崩溃:
- 基于 401 的证书身份验证通过负载平衡虚拟服务器进行。
- 没有绑定到身份验证虚拟服务器的身份验证策略。
- 调试日志已启用。
[NSAUTH-13259]
-
管理员无法对因凭据无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题,是因为 NetScaler 响应程序策略无法检测到登录失败的错误。
[NSAUTH-11151]
-
可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
show adfsproxyprofile <profile name>解决办法:连接到群集中的主要活动 NetScaler 并运行
show adfsproxyprofile <profile name>命令。它将显示代理配置文件状态。[NSAUTH-5916]
-
如果执行以下步骤,NetScaler GUI 上的配置身份验证 LDAP 服务器页面将无响应:
- 测试 LDAP 可达性选项已打开。
- 填充并提交了无效的登录凭据。
- 将填充并提交有效的登录凭据。
解决办法:关闭并打开“测试 LDAP 可访问性”选项。
[NSAUTH-2147]
负载平衡
-
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。
[NSLB-7679]
NetScaler Gateway
-
有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。
[NSHELP-21897]
-
NetScaler GUI 上的预身份验证策略和身份验证操作的表达式编辑器下拉列表中未列出 Windows 操作系统选项。但是,如果您已经使用 GUI 或 CLI 在之前的 NetScaler 版本上配置了 Windows 操作系统扫描,则升级不会影响该功能。如果需要,您可以使用 CLI 进行更改。
解决方法:
使用 CLI 命令进行配置。
- 要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。 add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
- 要配置经典的预身份验证操作,请使用以下命令。 add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[CGOP-22966]
-
要在 Windows 登录之前使用始终可用的 VPN 功能,建议您将 NetScaler Gateway 升级到 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。
[CGOP-19355]
-
从 NetScaler GUI 添加或编辑会话策略时,将显示错误消息。
[CGOP-11830]
-
在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示一个严重错误对话框。此外,页面变得无响应。
[CGOP-7269]
NetScaler Secure Web Gateway
-
如果 URL 筛选第三方供应商出现连接问题,NetScaler 设备可能会由于管理 CPU 停滞而重新启动。
[NSHELP-22409]
网络连接
-
带有 DPDK 的 NetScaler BLX 设备上的 Intel
X710 10G (i40e)接口不支持以下接口操作:- 禁用
- 启用
- 重置
[NSNET-16559]
-
在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 NetScaler BLX 设备可能会失败,并出现以下依赖项错误:
“以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”
解决办法:在安装 NetScaler BLX 设备之前,在 Linux 主机命令行界面中运行以下命令:
- dpkg — 添加架构 i386
- apt-get 更新
- apt-get 安装 libc6: i386
[NSNET-14602]
-
在某些 FTP 数据连接情况下,NetScaler 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。
[NSNET-5233]
-
在 NetScaler 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。
[NSHELP-21082]
平台
-
当您将软件升级到 14.1-8.x 及更高版本或 13.1-50.x 及更高版本时,带有铜质 1G SFP 收发器的 25G 接口无法连接到远程交换机或网络设备。
以下具有 25G NIC 的平台上会出现此问题:
- SDX 9100
- SDX 15000
- SDX 16000
- SDX 26000
- SDX 26000-50S
[NSPLAT-27864]
-
当您将 NetScaler 设备从 13.1-4.x 版本及更高版本降级到以下任何版本时,某些 python 软件包未安装:
- 任何 11.1 版本
- 12.1-62.21 及更早版本
- 13.0-81.x 及更早版本
[NSPLAT-21691]
-
从 Azure 资源组中删除 AutoScale 设置或 VM 比例集时,请从 NetScaler 实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。
[NSPLAT-4520]
-
在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于 AutoScale 云配置文件配置的首次用户 (FTU) 屏幕。 解决办法:跳过屏幕,登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。
[NSPLAT-4451]
策略
-
如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。
解决办法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。
[NSPOLICY-1267]
SSL
-
在 NetScaler SDX 22000 和 NetScaler SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。
解决方法:
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
set ssl vserver <name> -SSL3 DISABLED。 - 保存配置。
[NSSSL-9572]
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
-
如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。
[NSSSL-6478]
-
您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。NetScaler 设备不会返回错误。
[NSSSL-6213]
-
如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。 ERROR: crl refresh disabled
[NSSSL-6106]
-
会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)
[NSSSL-4427]
-
如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。
[NSSSL-4001]
-
在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。
[NSSSL-3184、NSSSL-1379、NSSSL-1394]
系统
-
当使用 CONNECT HTTP 请求方法的 HTTP/2 流终止时,使用 HTTP/2 的网页可能无法完全加载。
[NSHELP-36407,NSBASE-17449]
-
如果满足以下条件,则 TCP 连接的 RTT 为高:
- 设置了较高的最大拥塞窗口 (>4 MB)
- TCP NILE 算法已启用
要使 NetScaler 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口
因此,在达到配置的最大拥塞窗口之前,NetScaler 会继续接受数据并最终获得高 RTT。
[NSHELP-31548]
-
当您使用
unset nstcpprofile命令取消设置 TCP 配置文件参数时,NetScaler 可能会转储内核。解决办法:改用带有所需参数值的
set nstcpprofile命令。[NSBASE-18724]
-
如果您使用 HTML5 浏览器和 QUIC 传输协议,ICA 会话可能会在启动后的几分钟内失败。
解决办法:在配置 QUIC 配置文件时,将最大空闲超时值设置为 3600 秒。
[NSBASE-18402]
-
mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。
[NSBASE-18295]
-
当为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 将反转。
[NSBASE-8506]
用户界面
-
您无法使用 GUI 将技术支持包上载到 Citrix 技术支持服务器。
解决办法:使用 CLI 上载技术支持包。
[NSUI-19315]
-
在 NetScaler GUI 中,“控制板”选项卡下的“帮助”链接已损坏。
[NSUI-14752]
-
创建/监视 CloudBridge 连接器向导可能会变得无响应或无法配置 CloudBridge 连接器。
解决方法:使用 NetScaler GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge 连接器。
[NSUI-13024]
-
如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。
[NSUI-6838]
-
如果满足以下条件顺序,用户可能无法登录降级的 NetScaler 设备:
- 您可以执行以下步骤之一:
- 升级到当前版本后,您可以添加系统用户或更改现有系统用户的密码,然后保存配置。
- 使用当前版本配置新的 NetScaler VPX、BLX 或 CPX 实例。
- 将设备降级为以下版本之一:
- 13.1-4.x
- 13.0-82.x 或更早版本
- 12.1-62.x 或更早版本
要查看降级后受影响的用户列表,请在命令提示符下键入:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]解决办法:重置受影响用户的密码。有关更多信息,请参阅 如何重置根管理员 (nsroot) 密码。
注意:如果您要降级之前升级的版本,则在降级时使用先前版本的备份配置文件 (ns.conf) 来避免此问题。
[NSCONFIG-8068]
- 您可以执行以下步骤之一:
-
如果满足以下条件顺序,用户可能无法登录降级的 NetScaler 设备:
- 您可以执行以下步骤之一:
- 升级到当前版本后,您可以添加系统用户或更改现有系统用户的密码,然后保存配置。
- 使用当前版本配置新的 VPX、BLX 或 CPX 实例。
- 将设备降级为以下版本之一:
- 13.0-47.x 或更早版本
- 12.1-56.x 或更早版本
- 11.1-64.x 或更早版本
要查看降级后受影响的用户列表,请在命令提示符下键入:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]解决办法:重置受影响用户的密码。有关更多信息,请参阅 如何重置根管理员 (nsroot) 密码。
注意:如果您要降级之前升级的版本,则在降级时使用先前版本的备份配置文件 (ns.conf) 来避免此问题。
[NSCONFIG-3188]
- 您可以执行以下步骤之一:
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.