Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Versionshinweise für NetScaler 13.1—49.15 Build

March 17, 2024
Beitrag von: 
C

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die NetScaler-Version Build 13.1—49.15 bestehen.

Hinweise

  • Dieses Dokument mit den Versionshinweisen enthält keine sicherheitsrelevanten Fixes. Eine Liste mit sicherheitsrelevanten Fixes und Hinweisen finden Sie im Citrix Security Bulletin.
  • Build 13.1-49.15 und spätere Builds beheben die in CTX579459 beschriebenen Sicherheitslücken.
  • Build 13.1-49.15 ersetzt Build 13.1-49.13.
  • Build 13.1-49.15 enthält Korrekturen für NSHELP-35981, NSHELP-35915, NSHELP-35734, NSHELP-35726, NSHELP-35042 und NSHELP-34825 sowie alle Verbesserungen und Bugfixes, die in Build 13.1-49.13 verfügbar sind.
  • SDX Build 49.14 ersetzt SDX Build 49.13. Dieser SDX-Build enthält einen Fix für das folgende Problem, das im vorherigen NetScaler ADC 13.1-Release-Build bestand: NSSVM-5786. Dieser Fix ist nur für das SDX-Bundle spezifisch und hat keine Auswirkungen auf die ADC nCore-Firmware.
  • Build 13.1 - 49.13 und höhere Builds beheben die in CTX561482 beschriebenen Sicherheitslücken.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.1—49.15 verfügbar sind.

Netzwerke

  • Die Befehlsweitergabe ist während der HA-Synchronisierung deaktiviert.rn
    Für Hochverfügbarkeits-Setups ist die Befehlsweitergabe während der HA-Synchronisierung deaktiviert, um Fehler bei der Befehlsweitergabe während der HA-Synchronisierung zu verhindern.

    [NSHELP-34253]

Plattform

  • Unterstützung für die Anzeige von NetScaler-Softwareversionsinformationen mithilfe von AWS-Instance-Tags

    Jetzt werden die NetScaler VPX-Versionsinformationen zum AWS-Instance-Tag-Feld hinzugefügt. Mit dieser Änderung können Sie jetzt die Softwareversion kennen, ohne sich bei der NetScaler-Instanz anmelden zu müssen. Um diese Informationen hinzuzufügen, wenn die NetScaler-Instanz gestartet wird, benötigt die Standard-IAM-Rolle die Berechtigung „ec2:CreateTags“.

    [NSPLAT-25066]

Behobene Probleme

Die Probleme, die in Build 13.1—49.15 behoben wurden.

Authentifizierung, Autorisierung und Prüfung

  • Ein mit einer OAuth-Authentifizierungsrichtlinie konfigurierter NetScaler stürzt möglicherweise ab, wenn ein Zertifikat mit elliptischer Kurve global an das VPN gebunden ist.

    [NSHELP-34795]

  • Ein HTTP 404-Fehler wird angezeigt, wenn ein Benutzer versucht, sich nach Ablauf der Sitzung mit einem GSLB-konfigurierten NetScaler zu authentifizieren.

    [NSHELP-34336]

Bot-Verwaltung

  • Angriffe zur Wiederholung von Bot-Gerätefingerabdrucksitzungen werden verworfen, wenn die Gerätefingerabdruckaktion auf LOG, RESET oder REDIRECT gesetzt ist.

    [ NSBOT-1117 ]

CallHome

  • Call Home sendet Telemetriedaten an den NetScaler-Server des technischen Supports, obwohl die Funktion deaktiviert ist.

    [ NSHELP-33240 ]

Lastausgleich

  • In einem HA-Setup sendet der DNS-Server möglicherweise zeitweise eine leere Antwort für eine GSLB-Domänenabfrage, wenn die folgenden Bedingungen erfüllt sind:

    • Die Persistenz ist auf dem virtuellen GSLB-Server konfiguriert.
    • Eine große Anzahl von Load Balancing-Bereitstellungen ist konfiguriert.
    • Ein HA-Failover tritt auf.

    [NSHELP-35981]

  • Der sekundäre NetScaler stürzt möglicherweise ab, wenn die folgenden Bedingungen erfüllt sind:

    • In einem Hochverfügbarkeitssetup wird eine große Anzahl von Lastausgleichsservern mit Lastausgleichsgruppen konfiguriert.
    • Während der Synchronisation wird der Setvorgang auf einem der Lastenausgleichsserver in der Lastausgleichsgruppe ausgeführt.

    [NSHELP-34225]

Sonstiges

  • Wenn ein Netzprofil in einer nicht standardmäßigen Verkehrsdomäne konfiguriert und in der AppFlow-Konfiguration verwendet wird, sind die Systemports erschöpft und der Datenverkehr ist beeinträchtigt.

    [ NSHELP-34544 ]

  • Auf NetScaler SDX FIPS wird der folgende Fehler angezeigt, wenn Sie einen Vorgang zum Hinzufügen oder Bearbeiten auf VPX ausführen:

    „is_fips_enabled ist nicht definiert“

    [NSSVM-5786]

NetScaler Gateway

  • Manchmal stürzt ein NetScaler mit konfiguriertem VPN und AppFlow ab, was zu einem HA-Failover führt.

    [NSHELP-35734, NSCXLCM-1247]

  • Die NetScaler Gateway-Startseite kann die Apps möglicherweise nicht auflisten, wenn Sie versuchen, mit einem mobilen Browser im clientlosen VPN-Modus darauf zuzugreifen.

    [NSHELP-35541, NSCXLCM-1132, NSCXLCM-1212, NSCXLCM-1248]

NetScaler Web App Firewall

  • Der NetScaler stürzt möglicherweise ab, wenn „VerboseLogLevel“ im Web App Firewall-Profil auf „PatternPayloadHeader“ gesetzt ist.

    [NSHELP-35915]

  • Die IP-Reputationsdatenbank wird möglicherweise nicht von Webroot aktualisiert, wenn Sie die unbefristete Lizenz auf dem NetScaler verwenden.

    [NSHELP-33965]

Netzwerke

  • In einem Hochverfügbarkeitssetup stürzt der sekundäre Knoten ab, wenn eine Route im Rahmen der HA-Synchronisierung vom Knoten entfernt wird, während Sie sie ändern.

    [ NSHELP-34927 ]

  • In einem Hochverfügbarkeits-Setup zeigt der Knoten show ha möglicherweise eine falsche Ausgabe an, wenn die beiden folgenden Bedingungen erfüllt sind:

    • HA-Heartbeats werden nur über eine einzige Schnittstelle oder einen einzigen Kanal ausgetauscht.

    • Die Schnittstelle oder der Kanal ist deaktiviert.

    [NSHELP-34193]

Plattform

  • Wenn Sie ein Cloud-Profil für das Hinzufügen des AWS Autoscaling-Service zu einer NetScaler VPX-Instanz erstellen, schlägt dies möglicherweise fehl, wenn die Richtlinien zur Servicesteuerung global konfiguriert sind.

    [ NSHELP-35562 ]

  • In einer HA-Paarkonfiguration auf der AWS-Plattform wurden NetScaler VPX-Schnittstellen während eines Failovers für die folgende Konfiguration nicht ordnungsgemäß migriert:

    • Die HA-Bereitstellung erfolgt in derselben Zone.
    • Mehrere Schnittstellen verwenden dasselbe Subnetz.

    [NSHELP-35369]

  • Nach einem Firmware-Upgrade fällt die Verwaltungsschnittstelle auf einer NetScaler MPX 5900/8900-Appliance möglicherweise aus. Infolgedessen ist der Zugriff auf das Gerät nicht möglich.

    [NSHELP-31587]

Benutzeroberfläche

  • Wenn Sie eine Responder-Richtlinie oder eine Rewrite-Richtlinie auf der NetScaler-GUI konfigurieren, ohne Werte in den Feldern Log Action und AppFlow Action hinzuzufügen, die nicht obligatorisch sind, wird der folgende Fehler angezeigt:

    Invalid name; names must begin with an alphanumeric character or underscore and must contain only alphanumerics, '_', '%23', '.', ' ', ':', '@', '=' or '-' [logAction, ]

    [NSHELP-35726]

  • Wenn Sie mehrere Partitionen erstellen oder löschen, werden möglicherweise doppelte Partitions-IDs generiert. Daher kann beim Erstellen einer Partition der folgende Fehler auftreten.

    Partition-id is already in use by another partition

    [NSHELP-35042]

  • Benutzersitzungen werden falsch berechnet, wenn derselbe Benutzer an zwei verschiedene Partitionen gebunden ist. Bei den beiden Partitionen kann es sich um Standardpartitionen, Nicht-Standardpartitionen oder beide Partitionen handeln.

    [ NSHELP-34971 ]

  • Möglicherweise stellen Sie in einer NetScaler-Appliance eine hohe Verwaltungs-CPU-Auslastung fest, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Admin-Partitionen sind auf der Appliance konfiguriert.
    • Die Appliance wird von NetScaler ADM verwaltet.

    [NSHELP-34825, NSCXLCM-192, NSCXLCM-501, NSCXLCM-1279]

  • Wenn Sie einen Autorisierungsrichtlinienausdruck auf der NetScaler Gateway-Benutzeroberfläche ändern, wird die AAA-Option nicht in der Dropdownliste “Ausdruckseditor” angezeigt.

    [NSHELP-33509]

  • Wenn ein Benutzer die Bindung in einer Content Switching-Richtlinie betrachtet, werden die Details des virtuellen Content Switching-Servers nicht in derselben Zeile unter Bindungen anzeigen angezeigt.

    [NSHELP-33149]

Bekannte Probleme

Die Probleme, die in Version 13.1—49.15 bestehen.

Authentifizierung, Autorisierung und Prüfung

  • Die NetScaler Appliance stürzt möglicherweise ab, wenn der virtuelle Authentifizierungsserver in einer nicht standardmäßigen Partition verwendet wird.

    [NSHELP-32054, NSCXLCM-640]

  • Nach einem Upgrade von Citrix SSO für iOS werden die Push-Benachrichtigungen, die Sie zur Authentifizierung erhalten, möglicherweise nicht mit einem Ton ausgegeben.

    [NSHELP-27525]

  • Administratoren können keine benutzerdefinierte Protokollierung für Authentifizierungsfehler durchführen, die auf ungültige Anmeldeinformationen zurückzuführen sind. Dieses Problem tritt auf, weil die NetScaler-Responder-Richtlinien Fehler bei Anmeldefehlern nicht erkennen.

    [ NSAUTH-11151 ]

  • Das ADFS-Proxyprofil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxyprofil wird fälschlicherweise leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven NetScaler im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Es würde den Status des Proxyprofils anzeigen.

    [ NSAUTH-5916 ]

  • Die Seite „Authentifizierungs-LDAP-Server konfigurieren“ auf der NetScaler-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

    • Die Option LDAP-Erreichbarkeit testen ist geöffnet.
    • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
    • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

    Problemumgehung: Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

    [ NSAUTH-2147 ]

Bot-Verwaltung

  • Die NetScaler Appliance stürzt möglicherweise ab, wenn die BOT-Richtlinie eine Protokollaktion mit komplexen Richtlinienregeln verwendet.

    [NSHELP-34999]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Abonnentensitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Das ist ein seltener Fall.

    [ NSLB-7679 ]

  • Der NetScaler stürzt möglicherweise ab, wenn Sie auf einen domänennamenbasierten Dienst (DBS) verweisen, nachdem die folgende Reihenfolge von Bedingungen erfüllt ist:

    1. Ein Standorteintrag ist für die IP-Adresse konfiguriert, in die der DBS-Domainname aufgelöst wird.
    2. Der DBS-Domainname wird entfernt, was zu einer NXDOMAIN-Antwort vom Nameserver führt.
    3. Der Standorteintrag wird entfernt.

    [NSHELP-35370]

  • In seltenen Fällen kann es vorkommen, dass eine NetScaler-Appliance abstürzt und einen Core-Dump generiert, wenn die folgenden Bedingungen erfüllt sind:

    • Die TCP-basierte DNS-Monitorprobe wird zur Überwachung eines Back-End-Dienstes verwendet.
    • Der Appliance geht der Arbeitsspeicher aus.

    [NSHELP-35289]

  • Eine hohe CPU-Auslastung kann auftreten, wenn Static Proximity als GSLB-Methode konfiguriert ist und die Suche nach dem Client-Standort in der Datenbank fehlschlägt.

    [NSHELP-33823]

  • Wenn Sie in den SOA-Kontaktinformationen eine E-Mail-Adresse mit mehr als einem Punkt eingeben (z. B. john.doe.example.com), ist das Ergebnis john@doe.example.com![](https://issues.citrite.net/images/icons/mail_small.gif). Sie können jetzt einen Backslash () als Escape-Zeichen verwenden. Als Ergebnis wird john.doe.example.com übersetzt in john.doe@example.com![](https://issues.citrite.net/images/icons/mail_small.gif).

    [NSHELP-33610]

  • Der NetScaler kann aufgrund eines Zeitproblems zwischen dem Abrufen von Datensätzen, die die Rate einschränken, und dem Prozess der Datensatzalterung abstürzen.

    [NSHELP-33349]

  • Das ServiceGroupName-Format im Trap entityofsfür die Dienstgruppe lautet wie folgt: <service(group)name>?<ip/DBS>?<port>

    Im Trap-Format wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen („? „) wird als Separator verwendet. Der NetScaler sendet den Trap mit dem Fragezeichen (?). Das Format wird in der NetScaler ADM-GUI gleich angezeigt. Dies ist das erwartete Verhalten.

    [NSHELP-28080]

Sonstiges

  • Wenn eine erzwungene Synchronisation in einem Hochverfügbarkeits-Setup stattfindet, führt die Appliance den Befehl „set urlfiltering parameter“ auf dem sekundären Knoten aus.
    Daher überspringt der sekundäre Knoten jedes geplante Update bis zur nächsten geplanten Zeit, die im Parameter “TimeOfDayToUpdateDB” angegeben ist.

    [NSSWG-849]

  • NetScaler Gateway meldet autorisierte Zugriffsanforderungen als SSO-Fehler an NetScaler ADM. Daher werden auf der Seite Gateway > Gateway Insight auf der NetScaler ADM UI falsche SSO-Fehlerberichte angezeigt, die zu Fehlalarmen führen.

    [NSHELP-27992]

  • Eine NetScaler-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter für URL-Filterung auftritt.

    [NSHELP-22409]

  • Wenn Sie in einer Clusterbereitstellung den Befehl „Force Cluster Sync“ auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

    [NSANINFRA-2850, NSGI-1293]

  • Wenn Sie NetScaler ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

    Workaround : Starten Sie den Management-Pod neu.

    [NSANINFRA-1504]

  • Wenn die EDT Insight-Funktion aktiviert ist, können Audiokanäle manchmal aufgrund von Netzwerkdiskrepanzen ausfallen.

    [GOPHDX-1055]

  • In einem Hochverfügbarkeitssetup erhöht sich während eines NetScaler-Failovers die SR-Anzahl anstelle der Failover-Anzahl in NetScaler ADM.

    [GOPHDX-1050]

NetScaler Gateway

  • Manchmal ist die NetScaler-GUI nach einem Upgrade möglicherweise nicht über HTTP zugänglich, wenn Sie über NetScaler Gateway mit dem VPN verbunden sind.

    [NSHELP-35015]

  • Wenn der erweiterte clientlose VPN-Zugriff auf NetScaler Gateway konfiguriert ist, können die Seiten möglicherweise nicht von den mit einem Lesezeichen versehenen URLs geladen werden.

    [NSHELP-33771]

  • Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung „Eigenschaft ‘Typ’ von undefined kann nicht gelesen werden“ angezeigt.

    [NSHELP-21897]

  • Die Windows-Betriebssystemoption ist nicht in der Dropdownliste des Ausdruckseditors für Vorauthentifizierungsrichtlinien und Authentifizierungsaktionen auf der NetScaler-GUI aufgeführt. Wenn Sie den Windows-Betriebssystem-Scan jedoch bereits auf einem früheren NetScaler-Build mithilfe der GUI oder der CLI konfiguriert haben, hat das Upgrade keine Auswirkungen auf die Funktionalität. Sie können die CLI verwenden, um bei Bedarf Änderungen vorzunehmen.

    Workaround:

    Verwenden Sie die CLI-Befehle für die Konfiguration.

    • Verwenden Sie den folgenden Befehl, um eine erweiterte EPA-Aktion in der nFactor-Authentifizierung zu konfigurieren.

      add authentication epaAction adv_win_scan -csecexpr "sys.client_expr("sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]")"

    • Verwenden Sie die folgenden Befehle, um eine klassische Vorauthentifizierungsaktion zu konfigurieren.

      add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]')EXISTS" win_scan_action

    [CGOP-22966]

  • Um die Funktion Always On VPN vor der Windows-Anmeldung zu verwenden, wird empfohlen, Ihr NetScaler Gateway auf 13.0 oder höher zu aktualisieren. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und in Version 12.1 nicht verfügbar sind.

    [CGOP-19355]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die NetScaler-GUI hinzufügen oder bearbeiten.

    [CGOP-11830]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem schwerwiegenden Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [CGOP-7269]

NetScaler SDX-Appliance

  • Auf NetScaler SDX FIPS ist beim Bereitstellen oder Ändern einer NetScaler-Instanz die Option „FIPS aktivieren“ nicht verfügbar.

    [NSSVM-5848]

NetScaler Web App Firewall

  • Sie können die JSON-Relaxationsregeln für Cross-Site Scripting nicht mit der NetScaler-GUI bearbeiten oder löschen, wenn die Regeln mit einem Schlüssel-Wert-Paar konfiguriert sind.

    [NSHELP-35610]

Netzwerke

  • In einer NetScaler BLX-Appliance mit DPDK-Unterstützung werden markierte VLANs für DPDK Intel i350 NIC-Ports nicht unterstützt. Dies wird beobachtet, da es sich um ein bekanntes Problem mit dem DPDK-Treiber handelt.

    [NSNET-25299]

  • Eine NetScaler BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn alle der folgenden Bedingungen erfüllt sind:

    • Der NetScaler BLX-Appliance ist eine geringe Anzahl von “hugepages” zugewiesen. Zum Beispiel 1G.
    • Der NetScaler BLX-Appliance ist eine hohe Anzahl von Arbeitsprozessen zugewiesen. Zum Beispiel 28.

    Das Problem wird als Fehlermeldung in “/var/log/ns.log” protokolliert:

    • “BLX-DPDK:DPDK Mempool konnte nicht für PE-x initialisiert werden”

    Hinweis: x ist eine Zahl <= Anzahl der Worker-Prozesse.

    Workaround: Weisen Sie eine hohe Anzahl von “hugepages” zu und starten Sie die Appliance anschließend neu.

    [NSNET-25173]

  • Der Neustart einer NetScaler BLX-Appliance im DPDK-Modus kann aufgrund der DPDK-Easiness-Funktionalität etwas länger dauern.

    [NSNET-24449]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer NetScaler BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Aktivieren
    • Zurücksetzen

    [NSNET-16559]

  • Die Installation einer NetScaler BLX-Appliance kann auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehlschlagen:

    „Die folgenden Pakete haben unerfüllte Abhängigkeiten: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19), aber es ist nicht installierbar“

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine NetScaler BLX-Appliance installieren:

    • dpkg –add-architecture i386
    • apt-get aktualisieren
    • apt-get installiert libc6:i386

    [NSNET-14602]

  • In einigen Fällen von FTP-Datenverbindungen führt die NetScaler Appliance nur den NAT-Vorgang und keine TCP-Verarbeitung der Pakete für die TCP-MSS-Aushandlung durch. Infolgedessen ist die optimale Schnittstellen-MTU für die Verbindung nicht eingestellt. Diese falsche MTU-Einstellung führt zur Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

    [NSNET-5233]

  • Die NetScaler Appliance protokolliert die SNMPv3-Authentifizierungsfehler-Trap-Meldungen nicht in der NetScaler-Protokolldatei (“ /var/log/ns.log „).

    [NSHELP-33909]

  • Wenn ein Speicherlimit für die Admin-Partition in einer NetScaler Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

    [NSHELP-21082]

Plattform

  • Einige Python-Pakete werden nicht installiert, wenn Sie die NetScaler Appliance von Version 13.1-4.x und höheren Versionen auf eine der folgenden Versionen herunterstufen:

    • Beliebiger 11.1-Build
    • 12.1—62.21 und früher
    • 13.0-81.x und früher

    [NSPLAT-21691]

  • Wenn Sie eine Autoscale-Einstellung oder eine VM-Skalierungsgruppe aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der NetScaler-Instanz. Verwenden Sie den Befehl „rm cloudprofile“, um das Profil zu löschen.

    [ NSPLAT-4520 ]

  • In einem Hochverfügbarkeits-Setup in Azure wird bei der Anmeldung am sekundären Knoten über die GUI der FTU-Bildschirm (First Time User) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt. Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich am primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil muss immer auf dem primären Knoten konfiguriert werden.

    [ NSPLAT-4451 ]

  • Wenn das sekundäre NetScaler SDX in einem HA-Setup mit einem gemeinsam genutzten CPU-Kern konfiguriert ist und HA-Heartbeats über VLAN ausgetauscht werden, versucht es erfolglos, zum primären Knoten zu wechseln.

    [NSHELP-32412, NSCXLCM-789]

Richtlinien

  • Verbindungen können hängen bleiben, wenn die Größe der verarbeiteten Daten die konfigurierte Standard-TCP-Puffergröße überschreitet.

    Workaround: Stellen Sie die TCP-Puffergröße auf die maximale Datengröße ein, die verarbeitet werden muss.

    [ NSPOLICY-1267 ]

SSL

  • Auf einem heterogenen Cluster von NetScaler SDX 22000- und NetScaler SDX 26000-Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten, z. B. für virtuelle Server, Dienste, Dienstgruppen und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application-Entitäten mit derselben Client-ID und demselben Client-Schlüssel erstellen. Die NetScaler Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL-Aktualisierung deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird auf einer Cluster-IP-Adresse fälschlicherweise als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird die falsche Warnmeldung „Warnung: Keine verwendbaren Chiffren konfiguriert auf dem SSL vserver/service“ angezeigt.

    [NSSSL-4001]

  • Ein abgelaufenes Sitzungsticket wird auf einem Nicht-CCO-Knoten und auf einem HA-Knoten nach einem HA-Failover berücksichtigt.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

  • Möglicherweise kommt es beim DTLS-Verkehr auf dem NetScaler zu einem hohen Speicheraufbau, da Speicher bei der Verarbeitung eines erneut übertragenen Handshake-Fluges von einem Client nicht ordnungsgemäß freigegeben wird.

    [NSHELP-35359]

System

  • Webseiten, die HTTP/2 verwenden, werden möglicherweise nicht vollständig geladen, wenn ein HTTP/2-Stream, der die CONNECT-HTTP-Anforderungsmethode verwendet, beendet wird.

    [NSHELP-36407, NSBASE-17449]

  • Wenn NetScaler eine CONNECT-HTTP-Anfrage über eine Client-TCP-Verbindung empfängt, verwendet es nicht die vorherige Server-TCP-Verbindung, auf die bereits eine HTTP-Antwort „407 Proxy Authentication Required“ gesendet wurde. Stattdessen leitet NetScaler die CONNECT-HTTP-Anfrage über eine neue TCP-Verbindung an den Backend-Server weiter. Das Weiterleiten der Anfrage über eine neue TCP-Verbindung unterbricht Proxyauthentifizierungsprotokolle wie NTLM, die den Austausch mehrerer HTTP-Authentifizierungsnachrichten auf derselben TCP-Verbindung erfordern.

    Workaround:

    1. Fügen Sie ein benutzerdefiniertes HTTP-Profil hinzu, das eingehende HTTP-Anfragen mit der CONNECT-Methode als UNGÜLTIG markiert und außerdem sicherstellt, dass als UNGÜLTIG markierte HTTP-Anfragen NICHT verworfen werden.

    add ns httpprofile fw-proxy-http-prof -markConnReqInval ENABLED -dropInvalReqs DISABLED

    1. Binden Sie dieses benutzerdefinierte HTTP-Profil an den virtuellen Lastausgleichsserver, der für den Lastenausgleich des Pools von Forward-Proxyservern verwendet wird.

    set lb vs fw-proxy-vs -httpprofileName fw-proxy-http-prof

    Hinweis: NetScaler-Funktionsrichtlinien werten keine HTTP-Anfragen oder -Antworten aus, die als UNGÜLTIG markiert sind.

    [NSHELP-35717, NSCXLCM-1514]

  • Die mit einem SSL-Dienst konfigurierte NetScaler-Appliance stürzt ab, wenn die Appliance ein TCP-FIN-Steuerpaket gefolgt von einem TCP-RESET-Steuerpaket empfängt.

    [ NSHELP-31656 ]

  • Ein hoher RTT-Wert wird für eine TCP-Verbindung beobachtet, wenn die folgende Bedingung erfüllt ist:

    • ein hohes maximales Überlastungsfenster (>4 MB) ist eingestellt
    • Der TCP-NILE-Algorithmus ist aktiviert

    Damit eine NetScaler-Appliance den NILE-Algorithmus zur Überlastungskontrolle verwenden kann, müssen die Bedingungen den Schwellenwert für langsamen Start überschreiten, der mit dem maximalen Überlastungsfenster verknüpft ist.

    Bis das maximal konfigurierte Überlastungsfenster erreicht ist, akzeptiert NetScaler also weiterhin Daten und hat am Ende eine hohe RTT.

    [NSHELP-31548]

  • Die mptcp_cur_session_without_subflow-Zähler dekrementieren fälschlicherweise auf einen negativen Wert statt auf Null.

    [NSBASE - 18295]

  • Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn ein LogStream-Transporttyp für Insight konfiguriert ist.

    [NSBASE-8506]

Benutzeroberfläche

  • In der NetScaler-GUI ist der Link „Hilfe“ auf der Registerkarte „Dashboard“ defekt.

    [NSUI-14752]

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht mehr oder kann keinen CloudBridge-Connector konfigurieren.

    Problemumgehung: Konfigurieren Sie Cloudbridge Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der NetScaler-GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Wenn Sie einen ECDSA-Schlüssel mit der GUI erstellen, wird der Kurventyp nicht angezeigt.

    [NSUI-6838]

  • Wenn das Feld Wert der Seite LB-Aktionen konfigurieren Leerzeichen enthält, zeigt die GUI keine Fehlermeldung an. Wenn Sie das Wertfeld bearbeiten, das Leerzeichen enthält, ersetzt die GUI das Leerzeichen durch ein Komma, was zu einer ungültigen Konfiguration führt.

    [NSHELP-35532]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer NetScaler Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der herabgestuften NetScaler Appliance anmelden.

    1. Aktualisieren Sie die NetScaler Appliance auf einen der Builds
      • 13.0 52.24 bauen
      • 12.1 57.18 gebaut
      • Version 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Passwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration, und
    3. Führen Sie ein Downgrade der NetScaler Appliance auf einen beliebigen älteren Build durch.

    Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie
    in der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Umgehung: Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die NetScaler Appliance noch nicht herabgestuft wurde (Schritt 3 in den oben genannten Schritten), führen Sie ein Downgrade der NetScaler Appliance mithilfe einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds durch.
    • Jeder Systemadministrator, dessen Passwort auf dem aktualisierten Build nicht geändert wurde, kann sich bei dem heruntergestuften Build anmelden und die Passwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [NSCONFIG-3188]

Versionshinweise für NetScaler 13.1—49.15 Build
March 17, 2024
Beitrag von: 
C
March 17, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.