Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Versionshinweise für NetScaler 13.1-52.19 Build

April 15, 2024
Beitrag von: 
C

In diesem Dokument mit Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die NetScaler-Version Build 13.1-52.19 bestehen.

Hinweise

  • Dieses Dokument mit den Versionshinweisen enthält keine sicherheitsrelevanten Fixes. Eine Liste mit sicherheitsrelevanten Fixes und Hinweisen finden Sie im Citrix Security Bulletin.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.1-52.19 verfügbar sind.

NetScaler Secure Web Gateway

  • Einstellung der URL-Kategorisierung in der URL-Filterfunktion

    Die URL-Kategorisierung in der URL-Filterfunktion ist in dieser Version veraltet.

    Hinweis: Veraltete Funktionen werden nicht sofort entfernt. NetScaler behält die veraltete Funktion weiterhin bei, bis sie in einer zukünftigen Version entfernt wird.

    [NSSWG-1370]

Plattform

  • Unterstützung für neue AWS-Regionen

    NetScaler unterstützt jetzt die AWS-Regionen in Hyderabad und Jakarta. Weitere Informationen finden Sie unter AWS-VPX-Unterstützungsmatrix.

    [ NSPLAT-28073 ]

  • Unterstützung für VMware ESX 8.0 Update 2 auf NetScaler VPX

    NetScaler VPX unterstützt jetzt das VMware ESX 8.0 Update 2 (Build 22380479). Weitere Informationen finden Sie unter Support-Matrix und Nutzungsrichtlinien.

    [PLAT-27755]

  • Unterstützung für die Erhöhung des primären Datenträgerspeichers auf NetScaler VPX

    Der primäre DAtenträgerspeicher auf NetScaler VPX kann jetzt dynamisch von 20 GB auf jeweils 1 TB erhöht werden. Um den Speicherplatz zu erhöhen, erweitern Sie das primäre Laufwerk in der jeweiligen Cloud- oder Hypervisor-Benutzeroberfläche um mindestens 1 GB.

    [NSPLAT-27622]

  • Unterstützung für den AWS R7iz-Instanztyp

    NetScaler VPX in der AWS-Cloud unterstützt jetzt den R7iz-Instanztyp. Weitere Informationen finden Sie unter AWS-VPX-Unterstützungsmatrix.

    [NSPLAT-26632]

SSL

  • Unterstützt Aktualisierungsvorgänge für Zertifikatspakete

    Aktualisierungsvorgänge werden jetzt für Zertifikatspakete unterstützt. Sie können jetzt ein Zertifikatspaket direkt aktualisieren. Bisher mussten Sie zuerst ein Paket entbinden und löschen und dann ein Zertifikatspaket hinzufügen und binden.

    [NSSSL-12613]

Benutzeroberfläche

  • NetScaler Next-Gen-API (technische Vorschau)

    Die NetScaler Next-Gen API ist eine fortschrittliche und robuste RESTful-API, mit der Sie die NetScaler-Appliance auf einfache und benutzerfreundliche Weise programmgesteuert konfigurieren können. Die API basiert auf einer deklarativen, anwendungsorientierten und anwendungsorientierten Schnittstelle.

    Die API zielt darauf ab, viele der einfachen Komplexitäten der traditionellen NetScaler-Konfigurationen zu abstrahieren und zu vereinfachen. Diese API-Funktionen machen es besser für Anwendungsentwickler geeignet, die keine Netzwerk- oder NetScaler-Experten sind.

    Das Kernkonzept der Next-Gen-API ist die Anwendung. Alle Konfigurationselemente, die sich auf dieselbe Anwendung beziehen, sind gruppiert, sodass Änderungen einfach und sicher atomar angewendet werden können.

    Derzeit werden die folgenden Funktionen über die Next-Gen-API unterstützt:

    1. Content Switching (HTTP-, HTTPS-Protokolle)
    2. Lastausgleich (HTTP-, HTTPS-Protokolle)
    3. SSL-Offload
    4. HTTP Redirect, HTTP Responder
    5. Serverintegritätsprüfungen

    [NSCONFIG-8040]

Behobene Probleme

Die Probleme, die in Build 13.1-52.19 behoben wurden.

Analytics-Infrastruktur

  • Wenn eine erweiterte Syslog-Richtlinie an Syslog Global gebunden ist, erscheinen einige Meldungen, die sich auf das SSLVPN beziehen, nicht in der Datei ns.log:

    • SSLVPN-ANMELDUNG
    • SSLVPN ABMELDEN

    [NSHELP-37051]

  • Wenn Sie Analytics auf NetScaler aktivieren, das mit Admin-Partitionen konfiguriert ist, stellen Sie möglicherweise ein Speicherleck auf NetScaler fest.

    [NSHELP-36584]

  • NetScaler stürzt möglicherweise ab, wenn alle der folgenden Bedingungen erfüllt sind:

    • Ein interner Dienst von NetScaler bearbeitet die Zähleraktualisierungsanforderung von SNMP, und gleichzeitig läuft der Clear Config-Prozess.
    • Die CPU-Auslastung wird erhöht.
    • Die SNMP-initiierte Abfrage, die sich auf eine Partition bezieht, wird gelöscht.

    [NSHELP-36400]

  • Nach dem Upgrade von NetScaler auf 13.1 49.x Build wird eine hohe CPU-Auslastung beobachtet.

    [NSHELP-36389, NSCXLCM-3856]

Authentifizierung, Autorisierung und Prüfung

  • Wenn in einem Hochverfügbarkeitssetup die SAML-IdP-Aktion und das SAML-IdP-Profil mit der Metadaten-URL konfiguriert sind, stürzt NetScaler möglicherweise ab, wenn eine der folgenden Bedingungen erfüllt ist:

    • Während eines HA-Failovers.
    • Wenn die SAML-Aktion und das SAML-IdP-Profil entfernt werden.
    • Beides oben Genannte.

    [NSHELP-36573]

  • Single Sign-On schlägt möglicherweise fehl, wenn das SAML-SSO-Profil oder das SAML-IdP-Profil benutzerdefinierte Richtlinienausdrücke verwenden.

    [NSHELP-36412, NSCXLCM-626]

  • NetScaler, das mit Self-Service-Kennwortrücksetzung konfiguriert ist, stürzt möglicherweise ab, wenn die Antwort des LDAP-Servers verzögert wird.

    [NSHELP-35586]

  • In einem HA-Setup starten Benutzer häufig die sekundären NetScaler-Instanzen aufgrund von Speicherlecks neu.

    [NSHELP-28659]

Bot-Verwaltung

  • Einige gute Bots werden gelöscht, während einige schlechte Bots erlaubt sind, was zu falsch positiven Ergebnissen führt. Dieses Problem tritt auf, wenn die AWS-Signaturdatei während des automatischen Aktualisierungsprozesses mit einer falschen Aktion für einige Bot-Signaturen aktualisiert wird.

    [ NSBOT-1121 ]

Lastausgleich

  • Ein virtueller Lastausgleichsserver setzt die Verbindung zurück, wenn ein Dienst vom Typ MQTT-Protokollversion 5 an ihn gebunden ist, und sendet eine Abfrage mit QoS Level 1.

    [NSHELP-37134]

  • In einer Admin-Partitionseinrichtung stellen Sie möglicherweise eine hohe CPU-Auslastung durch den automatischen Synchronisierungsprozess fest, unabhängig davon, ob die GSLB-Konfiguration (Global Server Load Balancing) vorhanden ist oder nicht. Dieses Problem tritt normalerweise auf, wenn eine große Anzahl von Partitionen konfiguriert ist.

    [NSHELP-37015, NSCXLCM-3207]

  • Ein virtueller Lastausgleichsserver, der mit dem Porttyp ANY konfiguriert ist, reagiert möglicherweise nicht auf Anfragen, wenn eine Dienstgruppe mit vier oder mehr IPv6-Servern an ihn gebunden ist.

    [NSHELP-36498]

  • In einem seltenen Szenario reagiert NetScaler möglicherweise auf eine GSLB-Domänenabfrage mit einer falschen IP-Adresse. Dieses Problem tritt auf, wenn die DNS-basierten GSLB-Dienstgruppen mit automatischer Skalierung an den virtuellen GSLB-Server gebunden sind.

    [NSHELP-36393]

  • Möglicherweise stellen Sie eine hohe CPU-Auslastung fest, wenn der Self-Heal-Daemon aufgrund fehlender IAM-Berechtigungen abstürzt und alle 10 Minuten im Backend neu gestartet wird.

    [NSHELP-36220]

  • In einem Hochverfügbarkeitssetup reagiert NetScaler möglicherweise auf eine GSLB-Domänenabfrage mit einer falschen IP-Adresse, wenn die DNS-basierten GSLB-Dienstgruppen an den virtuellen GSLB-Server gebunden sind. Dieses Problem tritt nach einem Failover auf.

    [NSHELP-35633]

  • NetScaler stürzt möglicherweise ab, wenn eine IP-Adresse gelöscht wird, während sie an eine Domäne gebunden wird. Dieses Problem tritt aufgrund einer niedrigen TTL auf, was zu einer Wettlaufbedingung zwischen dem Binden der IP-Adresse und dem Löschen der IP-Adresse führt.

    [NSHELP-34546]

  • Der NetScaler kann aufgrund eines Zeitproblems zwischen dem Abrufen von Datensätzen, die die Rate einschränken, und dem Prozess der Datensatzalterung abstürzen.

    [NSHELP-33349]

  • NetScaler stürzt möglicherweise ab, wenn die Monitorprobe für einige interne virtuelle Server fehlschlägt.

    [NSHELP-30985]

Sonstiges

  • In einem HA-Modus stürzt die sekundäre NetScaler-Instanz bei der Verarbeitung der ICA-Pakete ab.

    [NSHELP-37256, NSCXLCM-3410, NSCXLCM-3573]

  • Nach einem Upgrade stürzt NetScaler im HA-Modus ab, wenn AppFlow aktiviert ist.

    [NSHELP-37142, NSCXLCM-3613]

  • Benutzer können ICA-Sitzungen nicht über UDP starten, wenn richtlinienbasiertes Routing auf NetScaler Gateway konfiguriert ist.

    [NSHELP-36448]

  • Nach einem Upgrade können Benutzer die NetScaler Gateway-Konfigurationsdatei nicht von StoreFront herunterladen.

    [NSHELP-36322]

NetScaler Gateway

  • Webseiten, auf die über das NetScaler Gateway-Portal zugegriffen wird, enthalten HTTP in der URL. Mit diesem Fix wird HTTP in den URLs der Webseiten, auf die über NetScaler Gateway zugegriffen wird, durch HTTPS ersetzt.

    [NSHELP-36832]

  • NetScaler zeigt Syslog-Meldungen in mehreren Zeilen an, da redundante Zeichenfolgen vorhanden sind.

    [NSHELP-36775]

  • In der NetScaler-GUI (Konfiguration > System > Authentifizierung) fehlt der Abschnitt “Erweiterte Richtlinien” für Benutzer mit einer NetScaler Gateway-Lizenz.

    [NSHELP-36762]

  • Nach einem Upgrade funktionieren die NetScaler Gateway-Proxyeinstellungen im vollständigen VPN-Modus nicht.

    [NSHELP-35853]

  • Auf einige Intranetanwendungen kann nicht zugegriffen werden, wenn eine Content Switching-Aktion einen virtuellen Authentifizierungsserver oder einen virtuellen VPN-Server als einen der virtuellen Zielserver enthält.

    [NSHELP-35582]

  • Nach einem Upgrade werden im Navigationsbereich der NetScaler-GUI die Funktionen im Abschnitt “Sicherheit” nicht angezeigt, wenn die Option “Konfiguration > Nicht lizenzierte Funktionen anzeigen” ausgewählt ist.

    [CGOP-25521]

NetScaler SDX-Appliance

  • Die Authentifizierung beim externen LDAP-Server schlägt möglicherweise fehl, nachdem der Management Service aktualisiert wurde.

    [NSHELP-36455, NSHELP-36842]

NetScaler Web App Firewall

  • Die angezeigten Konfigurationsdetails sind falsch, wenn Sie den Befehl show ausführen, nachdem Sie dem Web App Firewall-Profil eine Bypass- und Deny-Liste hinzugefügt haben.

    [NSHELP-37079]

  • Die Web App Firewall blockiert möglicherweise immer noch den Datenverkehr für eine Signatur-ID, die während des automatischen Aktualisierungsvorgangs aus der benutzerdefinierten Signaturdatei gelöscht wurde. Dieses Problem tritt auf, weil der automatische Aktualisierungsvorgang die aktualisierte benutzerdefinierte Signaturobjektdatei nicht an die Paket-Engine weiterleitet, wenn ihre Version mit der Standardsignaturdateiversion übereinstimmt.

    [ NSHELP-37008 ]

  • NetScaler stürzt möglicherweise ab, wenn die Web App Firewall länger als erwartet benötigt, um die Command Injection-Schutzprüfung durchzuführen.

    [NSHELP-36343, NSCXLCM-2189]

Netzwerke

  • Nicht-TCP-Verkehr zur IPv6-Adresse von NSIP (NSIP6) kann aufgrund einer großen Anzahl von Portlecks fehlschlagen.

    [NSHELP-36764]

  • In einem Large Scale NAT (LSN) -Setup stürzt NetScaler möglicherweise aufgrund eines internen Problems bei der Verarbeitung von LSN-Warteschlangen ab.

    [NSHELP-36605]

  • Wenn Sie den tcpproxy Parameter in der RNAT-Konfiguration aktivieren, verwendet NetScaler möglicherweise die SNIPs, die nicht im IP-Set und im Netzprofil angegeben sind, als Quell-IP-Adresse für die Back-End-Kommunikation.

    [NSHELP-36562, NSCXLCM-2223]

  • In einem großen NAT-Setup (LSN) stürzt die NetScaler-Appliance möglicherweise ab, wenn die interne Anzahl der LSN-Frontend- und Backend-Verbindungen nicht übereinstimmt.

    [NSHELP-36391]

  • NetScaler stürzt möglicherweise aufgrund von Inkonsistenzen bei der Verarbeitung der Sitzungsreferenzzähler ab.

    [NSHELP-36379]

  • Bei einem Large Scale NAT (LSN) -Setup stürzt die NetScaler-Appliance möglicherweise aufgrund eines falschen Bitcodierungsvorgangs ab.

    [NSHELP-36124]

  • Wenn in einem Hochverfügbarkeitssetup der Tag-All-Parameter aktiviert ist, werden die HA-Pakete mit dem VLAN-Tag gesendet. Wenn die synchronisierte Konfiguration nicht innerhalb der konfigurierten HA-Deadintervallzeit (der Standardwert ist 3 Sekunden) auf den sekundären Knoten angewendet wird, kann dies zu einem Split-Brain-Szenario führen, bei dem sowohl der primäre als auch der sekundäre Knoten versuchen, den Primärstatus zu beanspruchen.

    [NSHELP-35628]

  • Das BGP konnte die Standardrouten nach dem Neustart von NetScaler aufgrund einer Verzögerung bei Netzwerkschnittstellenereignissen nicht installieren.

    [NSHELP-30262]

Plattform

  • Wenn die Schnittstellenkonfiguration deaktiviert ist, ist der Tx-Laser nach dem Neustart der Appliance möglicherweise nicht AUS.

    [NSPLAT-28484, NSHELP-35272]

  • Wenn Sie den verwalteten NetScaler BLX-Host aktivieren, werden nicht alle auf dem Host konfigurierten IP-Adressen zu NetScaler BLX hinzugefügt.

    [NSLINUX-1044]

  • Wenn Sie den NetScaler BLX aktualisieren, wird das Nitro-Python-Paket möglicherweise nicht aktualisiert. Daher kann beim Upgrade der folgende Fehler auftreten:

    “tar: /var/netscaler/nitro/ns_nitro-python_artesa_xx_xx.tar: Nicht im Archiv gefunden”

    [NSLINUX-1008]

  • Im dedizierten Modus verwendet NetScaler BLX die Ports 9080 und 9443 als Standard-Management-Ports für HTTP und HTTPS anstelle der Ports 80 und 443.

    [NSLINUX-977]

  • NetScaler VPX auf KVM-Plattformen mit VirtIO-NICs meldet möglicherweise einen Tx-Stall, wenn in einem einzelnen PE-Modus gearbeitet wird.

    [NSHELP-37106]

  • Auf NetScaler SDX mit Intel Fortville NICs wird die Schnittstellengeschwindigkeit in der VPX-Instanz nicht aktualisiert, wenn die physische NIC-Geschwindigkeitsänderung innerhalb weniger Sekunden erfolgt, nachdem der Verbindungsstatus in UP geändert wurde.

    [NSHELP-36361]

  • Auf NetScaler SDX mit Intel Fortville NICs steigt die Management-CPU-Auslastung durch eine VPX-Instanz für jede Fortville-Schnittstelle, die der VPX-Instanz hinzugefügt wird, um 1%.

    [NSHELP-35445, NSCXLCM-768]

  • NetScaler VPX auf der SDX-Plattform kann bei starkem Datenverkehr abstürzen.

    [NSHELP-34775]

Richtlinien

  • Während des NetScaler-Upgrades können Fehler auftreten, wenn die standardmäßigen integrierten klassischen CMP-Bindungen in der Datei ns.conf vorhanden sind.

    [ NSPOLICY-5562 ]

SSL

  • Konfigurieren Sie das DTLS-Timeout, um das letzte Paket von NetScaler erneut zu übertragen
    In einer DTLS-Bereitstellung können Sie jetzt den anfänglichen Timeoutwert so konfigurieren, dass das letzte Paket von NetScaler erneut übertragen wird. Sie können zwischen 1 Sekunde und 3 Sekunden wählen, wobei der Standardwert auf 3 Sekunden festgelegt ist.

    Zuvor waren 3 Sekunden fest codiert, während der RFC 1 Sekunde empfahl.

    [NSSSL-8868]

  • Eine VPX-Instanz auf SDX FIPS 14000 kann aufgrund einer möglichen Speicherbeschädigung abstürzen, wenn sie mit SSL-Kontexten (Sitzungen) von mehr als 250 K konfiguriert ist.

    [NSHELP-36503, NSSVM-6019, NSCXLCM-1759, NSCXLCM-3465]

System

  • Der Zählerwert SI_TOT_ResponseBytes für Dienste ist viel höher als die tatsächliche Antwortgröße auf dem virtuellen Server. Dieser Zustand tritt aufgrund einer Neuordnung der Pakete oder eines Paketverlusts im Netzwerk zwischen NetScaler und Server auf.

    [NSHELP-36743]

  • NetScaler stürzt möglicherweise ab, wenn versucht wird, ein bereits freigegebenes Speichersegment freizugeben. Dieses Problem tritt bei der Verarbeitung der Proxyprotokolldaten auf einem virtuellen TCP-Lastausgleichsserver auf, der an eine Responder-Richtlinie gebunden ist und deren Aktion auf RESET gesetzt ist.

    [NSHELP-36729, NSCXLCM-2733, NSHELP-37102]

  • Wenn Sie den start nstrace -nodes <nodeId> Befehl in einer Clusterbereitstellung ausführen, wird auf jedem Knoten eine Netzwerkverfolgung durchgeführt. Das erwartete Verhalten besteht jedoch darin, den Netzwerk-Trace nur auf den angegebenen Knoten und dem Cluster-Koordinator zu erfassen.

    [NSHELP-36489]

  • Die an den Client (VIP) gesendeten gRPC-Anfragen schlagen fehl, wenn die Fenstergröße für HTTP/2 kleiner ist als die gRPC-Antwortnachricht von NetScaler.

    [NSHELP-36335]

  • Auf der Clientseite werden HTML-Seiten möglicherweise manchmal nicht geladen, wenn Analytics (clientseitige Messungen in AppFlow) in der NetScaler Console aktiviert ist.

    [NSHELP-36318]

  • NetScaler verwirft SYN-Pakete, die alle der folgenden Bedingungen erfüllen:

    • Trägt eine ältere Sequenznummer
    • Die Zeitstempeloption ist aktiviert
    • Entspricht dem 4-Tupel (Quell-IP, Quellport, Ziel-IP und Zielport) der vorhandenen Verbindung, die sich im TIME_WAIT-Status befindet.

    Da die SYN-Pakete verworfen werden, werden Sie aufgefordert, die Verbindung über einen anderen Quellport erneut herzustellen.

    [NSHELP-35867]

  • NetScaler gibt möglicherweise den Kern aus, wenn Sie den Befehl unset nstcpprofile verwenden, um die TCP-Profilparameter zu deaktivieren.

    [NSBASE-18724]

Benutzeroberfläche

  • Sie können mit der NetScaler-GUI keinen Datensatz im IPv4-CIDR-Format erstellen.

    [NSHELP-36659]

  • Wenn das Passwort eines Benutzerkontos auf dem TACACS-Server abläuft, funktioniert die Anmeldung mit demselben Benutzerkonto möglicherweise nicht.

    Stellen Sie sicher, dass die Passwörter aller Benutzerkonten am oder vor Ablauf aktualisiert werden.

    [NSHELP-36453, NSCXLCM-2312]

  • Die NetScaler-GUI reagiert bei der Konfiguration des Datenexports nach Splunk über die GUI nicht richtig.

    [NSHELP-36334]

  • Sie können nicht mit GUI oder SSH auf die System-Upgrade-Seite zugreifen, nachdem Sie den NetScaler über die GUI aktualisiert haben.

    [NSHELP-35785]

  • NetScaler GUI benötigt länger als üblich, um die DNS-Einträge anzuzeigen, und es kann auch eine hohe CPU-Auslastung beobachtet werden. Dieses Problem tritt auf, wenn die Anzahl der zwischengespeicherten DNS-Proxyeinträge hoch ist.

    [NSHELP-34788]

  • In einem Hochverfügbarkeits-Setup, das mit einer großen Anzahl (Tausenden) von SSL-Zertifikaten konfiguriert ist, kann die Konfigurationssynchronisierung länger als gewöhnlich dauern. Daher sehen Sie möglicherweise, dass der Synchronisierungsstatus für eine lange Zeit in Bearbeitung ist.

    [NSHELP-32959, NSCXLCM-1752, NSCXLCM-1989, NSHELP-35003]

Bekannte Probleme

Die Probleme, die in Version 13.1-52.19 bestehen.

Analytics-Infrastruktur

  • Wenn Sie NetScaler ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

    Workaround : Starten Sie den Management-Pod neu.

    [NSANINFRA-1504]

Authentifizierung, Autorisierung und Prüfung

  • NetScaler stürzt in den folgenden Szenarien ab:

    • Wenn eine mit einer Metadaten-URL konfigurierte SAML-Aktion geändert wird.
    • Wenn eine SAML-Aktion, die mit einer Abmelde-URL und einer Metadaten-URL konfiguriert ist, gespeichert wird und NetScaler neu gestartet wird. Dieser Absturz wiederholt sich.

    [ NSAUTH-14541 ]

  • In einem SAML-SP-Setup schlägt die SAML-Authentifizierung fehl, wenn der Parameter Name des virtuellen Authentifizierungsservers (authnVsName) auf einem virtuellen Lastausgleichsserver konfiguriert ist.

    [ NSAUTH-14566 ]

  • Nach einem Upgrade von Citrix SSO für iOS werden die Push-Benachrichtigungen, die Sie zur Authentifizierung erhalten, möglicherweise nicht mit einem Ton ausgegeben.

    [NSHELP-27525]

  • Administratoren können keine benutzerdefinierte Protokollierung für Authentifizierungsfehler durchführen, die auf ungültige Anmeldeinformationen zurückzuführen sind. Dieses Problem tritt auf, weil die NetScaler-Responder-Richtlinien Fehler bei Anmeldefehlern nicht erkennen.

    [ NSAUTH-11151 ]

  • Das ADFS-Proxyprofil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxyprofil wird fälschlicherweise leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven NetScaler im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Es würde den Status des Proxyprofils anzeigen.

    [ NSAUTH-5916 ]

  • Die Seite “Authentifizierungs-LDAP-Server konfigurieren” auf der NetScaler-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

    • Die Option LDAP-Erreichbarkeit testen ist geöffnet.
    • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
    • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

    Problemumgehung: Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

    [ NSAUTH-2147 ]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Abonnentensitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Das ist ein seltener Fall.

    [ NSLB-7679 ]

  • In einem Cluster-Setup listet ein virtueller Content Switching-Server möglicherweise falsche Informationen auf, wenn eine Content Switching-Richtlinie an ihn gebunden ist. Dieses Problem tritt auf, wenn die Länge des Richtlinienregelausdrucks mehr als 255 Zeichen beträgt.

    [NSHELP-37118]

  • NetScaler stürzt möglicherweise ab, wenn die folgenden Bedingungen erfüllt sind:

    • Ein virtueller Lastausgleichs- oder GSLB-Server ist an mehr als 64 aktive Dienste oder Dienstgruppenmitglieder gebunden.
    • Die statische Proximity-Load-Balancing-Methode ist konfiguriert.

    [NSHELP-37111]

  • Wenn NetScaler eine Anfrage erhält, gibt es die Abfrage zurück, anstatt mit den Details zu antworten. Dieses Problem kann auftreten, wenn die folgenden Bedingungen erfüllt sind:

    • Der ADNS-Dienst und der virtuelle DNS-Lastausgleichsserver sind auf demselben NetScaler konfiguriert.
    • Eine DNS-Anfrage wird an den virtuellen Server gesendet, der eine negative Antwort erhält. Während des zwischengespeicherten Zeitraums wird dieselbe Abfrage jedoch an den ADNS-Dienst gesendet.

    [NSHELP-35878]

  • Zusätzliche CNAME-Einträge werden in der laufenden Konfiguration angezeigt, wenn Sie die folgenden Schritte mit der NetScaler-GUI ausführen:

    1. Erstellen Sie einen virtuellen GSLB-Server mit dem DNS-Eintragstyp CNAME
    2. Konfigurieren Sie einen DNS-Eintragstyp CNAME
    3. Speichern Sie die Konfiguration

    Dieses Problem ist rein kosmetischer Natur und beeinträchtigt die Funktionalität nicht.

    [NSHELP-29217]

  • Das serviceGroupName-Format im Trap entityofsfür die Dienstgruppe lautet wie folgt: <service(group)name>?<ip/DBS>?<port>

    Im Trap-Format wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (“? “) wird als Separator verwendet. Der NetScaler sendet den Trap mit dem Fragezeichen (?). Das Format wird in der NetScaler ADM-GUI gleich angezeigt. Dies ist das erwartete Verhalten.

    [NSHELP-28080]

NetScaler Gateway

  • In der NetScaler-Benutzeroberfläche (Konfiguration > System) verschwindet der Abschnitt Profile nach einem Upgrade, wenn eine NetScaler Gateway-Lizenz hinzugefügt wird.

    [NSHELP-36496]

  • NetScaler stürzt ab, wenn alle der folgenden Bedingungen erfüllt sind:

    • Der virtuelle VPN-Server ist mit einer IPv6-Adresse konfiguriert.
    • Auf dem virtuellen IPv6-Server sind nur IPv4-IP-Adressen (keine IPv6-IP-Adressen) konfiguriert.

    [NSHELP-35559]

  • Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung “Eigenschaft ‘Typ’ von undefined kann nicht gelesen werden” angezeigt.

    [NSHELP-21897]

  • Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

    [CGOP-25905]

  • Die Windows-Betriebssystemoption ist nicht in der Dropdownliste des Ausdruckseditors für Vorauthentifizierungsrichtlinien und Authentifizierungsaktionen auf der NetScaler-GUI aufgeführt. Wenn Sie den Windows-Betriebssystem-Scan jedoch bereits auf einem früheren NetScaler-Build mithilfe der GUI oder der CLI konfiguriert haben, hat das Upgrade keine Auswirkungen auf die Funktionalität. Sie können die CLI verwenden, um bei Bedarf Änderungen vorzunehmen.

    Workaround:

    Verwenden Sie die CLI-Befehle für die Konfiguration.

    • Verwenden Sie den folgenden Befehl, um die erweiterte EPA-Aktion in der nFactor-Authentifizierung zu konfigurieren.
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • Verwenden Sie die folgenden Befehle, um eine klassische Vorauthentifizierungsaktion zu konfigurieren.
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [CGOP-22966]

  • Um die Funktion Always On VPN vor der Windows-Anmeldung zu verwenden, wird empfohlen, Ihr NetScaler Gateway auf 13.0 oder höher zu aktualisieren. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und in Version 12.1 nicht verfügbar sind.

    [CGOP-19355]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die NetScaler-GUI hinzufügen oder bearbeiten.

    [CGOP-11830]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem schwerwiegenden Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [CGOP-7269]

NetScaler Secure Web Gateway

  • Eine NetScaler-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter für URL-Filterung auftritt.

    [NSHELP-22409]

Netzwerke

  • In einigen Fällen von FTP-Datenverbindungen führt die NetScaler Appliance nur den NAT-Vorgang und keine TCP-Verarbeitung der Pakete für die TCP-MSS-Aushandlung durch. Infolgedessen ist die optimale Schnittstellen-MTU für die Verbindung nicht eingestellt. Diese falsche MTU-Einstellung führt zur Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

    [NSNET-5233]

  • Der Befehl “show rnat” zeigt möglicherweise eine unvollständige Liste der auf NetScaler konfigurierten RNAT-Entitäten an.

    [NSHELP-36253]

  • Die NetScaler Appliance generiert nach einem Kaltstart möglicherweise keine “coldStart” -SNMP-Trap-Meldungen.

    [NSHELP-27917]

  • Die GUI oder CLI zeigt möglicherweise nicht alle auf NetScaler konfigurierten SNMP-Manager mit gleichzeitigen Sitzungen an

    [NSHELP-25952]

  • Wenn ein Speicherlimit für die Admin-Partition in der NetScaler Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

    [NSHELP-21082]

Plattform

  • Wenn Sie eine Autoscale-Einstellung oder eine VM-Skalierungsgruppe aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der NetScaler-Instanz. Verwenden Sie den Befehl “rm cloudprofile”, um das Profil zu löschen.

    [ NSPLAT-4520 ]

  • Wenn Sie ein Paket für technischen Support in NetScaler CPX generieren, wird eine Reihe von Core-Dump-Dateien (virtuelle Teletype-Shell-Core-Dumps) im Verzeichnis /cpx/crash/ generiert. Diese Core-Dump-Dateien sind funktionell unbedeutend und können getrost ignoriert werden.

    [NSLINUX-1016]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer NetScaler BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Aktivieren
    • Zurücksetzen

    [NSLINUX-64]

  • Eine NetScaler BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn alle der folgenden Bedingungen erfüllt sind:

    • Der NetScaler BLX-Appliance ist eine geringe Anzahl von “hugepages” zugewiesen. Zum Beispiel 1G.
    • Der NetScaler BLX-Appliance ist eine hohe Anzahl von Arbeitsprozessen zugewiesen. Zum Beispiel 28.

    Das Problem wird als Fehlermeldung in “/var/log/ns.log” protokolliert:

    • “BLX-DPDK:DPDK Mempool konnte nicht für PE-x initialisiert werden”

    Hinweis: x ist eine Zahl <= Anzahl der Worker-Prozesse.

    Workaround: Weisen Sie eine hohe Anzahl von “hugepages” zu und starten Sie die Appliance anschließend neu.

    [NSLINUX-42]

  • In einer NetScaler BLX-Appliance mit DPDK-Unterstützung werden markierte VLANs für DPDK Intel i350 NIC-Ports nicht unterstützt. Dies wird beobachtet, da es sich um ein bekanntes Problem mit dem DPDK-Treiber handelt.

    [NSLINUX-17]

  • Der Neustart einer NetScaler BLX-Appliance im DPDK-Modus kann aufgrund der DPDK-Easiness-Funktionalität etwas länger dauern.

    [NSLINUX-14]

  • Die Installation einer NetScaler BLX-Appliance kann auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehlschlagen:

    “Die folgenden Pakete haben unerfüllte Abhängigkeiten: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19), aber es ist nicht installierbar”

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine NetScaler BLX-Appliance installieren:

    • dpkg –add-architecture i386
    • apt-get aktualisieren
    • apt-get installiert libc6:i386

    [NSLINUX-5]

  • Ein Fehler kann auftreten, wenn Sie eine Load Balancing-Servicegruppe einer Autoscale-Gruppe für das AWS-Cloud-Profil aktualisieren. Die Konfiguration wird jedoch erwartungsgemäß korrekt aktualisiert.

    [NSHELP-37030]

  • In bestimmten Szenarien erfasst NetScaler BLX möglicherweise nicht die Syslogs in der Datei ns.log.

    [NSHELP-36913]

Richtlinien

  • Verbindungen können hängen bleiben, wenn die Größe der verarbeiteten Daten die konfigurierte Standard-TCP-Puffergröße überschreitet.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

SSL

  • Auf einem heterogenen Cluster von NetScaler SDX 22000- und NetScaler SDX 26000-Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten, z. B. für virtuelle Server, Dienste, Dienstgruppen und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application-Entitäten mit derselben Client-ID und demselben Client-Schlüssel erstellen. Die NetScaler Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL-Aktualisierung deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird auf einer Cluster-IP-Adresse fälschlicherweise als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird die falsche Warnmeldung “Warnung: Keine verwendbaren Chiffren konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

  • Ein abgelaufenes Sitzungsticket wird auf einem Nicht-CCO-Knoten und auf einem HA-Knoten nach einem HA-Failover berücksichtigt.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

  • Ein hoher RTT-Wert wird für eine TCP-Verbindung beobachtet, wenn die folgende Bedingung erfüllt ist:

    • ein hohes maximales Überlastungsfenster (>4 MB) ist eingestellt
    • Der TCP-NILE-Algorithmus ist aktiviert

    Damit eine NetScaler-Appliance den NILE-Algorithmus zur Überlastungskontrolle verwenden kann, müssen die Bedingungen den Schwellenwert für langsamen Start überschreiten, der mit dem maximalen Überlastungsfenster verknüpft ist.

    Bis das maximal konfigurierte Überlastungsfenster erreicht ist, akzeptiert NetScaler also weiterhin Daten und hat am Ende eine hohe RTT.

    [NSHELP-31548, NSCXLCM-159]

Benutzeroberfläche

  • In der NetScaler-GUI (System > FIPS-Systeminformationsseite ) sind die folgenden Felder leer:

    • Version der Steuerungsebene
    • Version der Datenebene
    • Version des Grafikmoduls

    [ NSUI-19559 ]

  • In der NetScaler-GUI ist der Link “Hilfe” auf der Registerkarte “Dashboard” defekt.

    [NSUI-14752]

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht mehr oder kann keinen CloudBridge-Connector konfigurieren.

    Problemumgehung: Konfigurieren Sie Cloudbridge Connectors, indem Sie IPsec-Profile, IP-Tunnel und PBR-Regeln mithilfe der NetScaler-GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Wenn Sie einen ECDSA-Schlüssel mit der GUI erstellen, wird der Kurventyp nicht angezeigt.

    [NSUI-6838]

  • In der NetScaler-GUI funktioniert die Option zum Exportieren von Diff-Berichten unter System -> Diagnose -> Pre v/s Post Upgrade -> Diff-Bericht exportieren nicht wie erwartet.

    [NSHELP-37188]

  • **Wenn Sie das Feld “ Ratenbegrenzungsbedingung “ in einem Profil bearbeiten, in dem die Ratenbegrenzungsfunktion aktiviert ist, wird möglicherweise die folgende Fehlermeldung angezeigt: Eine Entität mit dem Namen ist bereits gebunden, Keine solche Bindungsressource

    [NSHELP-36747, NSCXLCM-3290]

  • Das Ändern einer datensatzbasierten ACL, bei der ein Datensatz auf den Ziel-IP-Parameter gesetzt ist, schlägt mit dem folgenden Fehler fehl, wenn Sie die NetScaler-GUI verwenden:

    Argument pre-requisite missing [operator, destIP]

    [NSHELP-36666]

  • In der GUI werden auf der Seite Authentifizierungsrichtlinien (Virtueller Authentifizierungsserver > Authentifizierungsrichtlinie > Richtlinienbindung) aufgrund von Paginierungsproblemen nur 25 Richtlinien angezeigt.

    [NSHELP-36577]

  • Sie können keine SSL-Abfangrichtlinien über Sicherheit > SSL Forward Proxy > SSL Interception Policies in der NetScaler-GUI hinzufügen.

    [NSHELP-36166]

  • Bei großen Konfigurationen kann es zu einer Verzögerung bei der Anwendung der Konfiguration mit dem Batch-CLI-Befehl kommen.

    [NSCONFIG-8607]

  • Benutzer können sich möglicherweise nicht bei der herabgestuften NetScaler-Appliance anmelden, wenn die folgende Reihenfolge von Bedingungen erfüllt ist:

    1. Sie führen einen der folgenden Schritte aus:
      • Nach dem Upgrade auf den aktuellen Build fügen Sie einen Systembenutzer hinzu oder ändern das Kennwort eines vorhandenen Systembenutzers und speichern die Konfiguration.
      • Stellen Sie eine neue NetScaler VPX-, BLX- oder CPX-Instanz mit dem aktuellen Build bereit.
    2. Führen Sie ein Downgrade der Appliance auf einen der folgenden Builds durch:
      • 13.1-4.x
      • 13.0-82.x oder früher
      • 12.1-62.x oder früher

    Um die Liste der nach dem Downgrade betroffenen Benutzer anzuzeigen, geben Sie an der Befehlszeile Folgendes ein:
    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
    Problemumgehung: Setzen Sie das Kennwort der betroffenen Benutzer zurück. Weitere Informationen finden Sie unter [So setzen Sie das Root-Administratorkennwort (nsroot) zurück](https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.
    Hinweis: Wenn Sie einen zuvor aktualisierten Build herunterstufen, verwenden Sie beim Downgrade die gesicherte Konfigurationsdatei (ns.conf) des früheren Builds, um dieses Problem zu vermeiden.

    [NSCONFIG-8068]

  • Benutzer können sich möglicherweise nicht bei der herabgestuften NetScaler-Appliance anmelden, wenn die folgende Reihenfolge von Bedingungen erfüllt ist:

    1. Sie führen einen der folgenden Schritte aus:
      • Nach dem Upgrade auf den aktuellen Build fügen Sie einen Systembenutzer hinzu oder ändern das Kennwort eines vorhandenen Systembenutzers und speichern die Konfiguration.
      • Stellen Sie eine neue VPX-, BLX- oder CPX-Instanz mit dem aktuellen Build bereit.
    2. Führen Sie ein Downgrade der Appliance auf einen der folgenden Builds durch:
      • 13.0-47.x oder früher
      • 12.1-56.x oder früher
      • 11.1-64.x oder früher

    Um die Liste der nach dem Downgrade betroffenen Benutzer anzuzeigen, geben Sie an der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Problemumgehung: Setzen Sie das Kennwort der betroffenen Benutzer zurück. Weitere Informationen finden Sie unter [So setzen Sie das Root-Administratorkennwort (nsroot) zurück](https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    Hinweis: Wenn Sie einen zuvor aktualisierten Build herunterstufen, verwenden Sie beim Downgrade die gesicherte Konfigurationsdatei (ns.conf) des früheren Builds, um dieses Problem zu vermeiden.

    [NSCONFIG-3188]

Versionshinweise für NetScaler 13.1-52.19 Build
April 15, 2024
Beitrag von: 
C
April 15, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.