Produktdokumentation
ADC
Current Release 13.0 12.1
PDF anzeigen

Hinweise

May 11, 2023
Beitrag von: 
C

In diesem Dokument mit den Versionshinweisen werden die Erweiterungen und Änderungen sowie behobene und bekannte Probleme beschrieben, die für die NetScaler-Version Build 13.1—21.50 bestehen.

Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste sicherheitsbezogener Fixes und Empfehlungen finden Sie im Security Bulletin.

Build 13.1-21.50 und höhere Builds beheben die unter beschriebenen Sicherheitslücken https://support.citrix.com/article/CTX457048.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.1—21.50 verfügbar sind.

Bot-Verwaltung

Technik zur Bot-Ratenbegrenzung basierend auf dem geografischen Standort des Benutzers

Mit der Erkennungstechnik für Bot-Ratengrenzen können Sie jetzt den Traffic-Bot basierend auf dem geografischen Standort des Benutzers einschränken. In dieser Konfiguration können Sie einen Ländernamen als Wert festlegen, der der URL oder dem Cookie-Namen ähnelt. Auf diese Weise können Sie für verschiedene Länder unterschiedliche Tarifbegrenzungen anwenden. Bisher konnte die Erkennungstechnik den Datenverkehr nur basierend auf der IP-Adresse, Sitzung oder URL des Clients begrenzen.

[NSBOT-753]

Verbesserte Device Fingerprint (DFP) -Technik zur Erkennung von Headless-Browsern

Ein Hacker kann über einen Headless-Browser auf Serverressourcen zugreifen, indem er Prozesse wie das Erstellen mehrerer Benutzerkonten, das Buchen von Tickets, das Abwracken von Preisen, Ausfüllen von Anmeldeinformationen, Ticket-Spinning-Angriffe usw. automatisiert.

Die Device Fingerprint (DFP) -Erkennungstechnik in einem Bot-Profil wurde jetzt um Intelligenz zur Erkennung von Headless- und Web-Treiber-Bots erweitert. Um den Bot-Verkehr mit kopflosen Browsern zu verringern, müssen Sie die Option Erkennung von Headless-Browsern zusammen mit der Funktion zur Erkennung von Fingerabdrücken des Geräts aktivieren.

[NSBOT-747]

NetScaler Web App Firewall

Feinkörnige Entspannung für JSON-Command Injection-Angriffe

Mit der NetScaler-Appliance können Sie jetzt eine feinkörnige Entspannung für JSON Command Injection-Angriffe konfigurieren.

[NSWAF-8511]

Feinkörnige Entspannung für JSON-Cross-Site Scripting-Angriffe

Mit der NetScaler-Appliance können Sie jetzt eine feinkörnige Entspannung für JSON-Cross-Site Scripting-Angriffe konfigurieren.

[NSWAF-8510]

Feinkörnige Entspannung für JSON-SQL-Einschleusung-Angriffe

Mit der NetScaler-Appliance können Sie jetzt eine feinkörnige Entspannung für JSON-SQL-Einschleusung-Angriffe konfigurieren.

[NSWAF-8509]

Lastausgleich

Verbesserte API-Fehlermeldungen für den gewünschten Status

Die angezeigte Fehlermeldung, wenn die IP-Adresse eines Dienstgruppenmitglieds bereits anderen NetScaler-Entitäten wie dem virtuellen CS-Server zugeordnet ist, wird erweitert. Der Grund für das Scheitern wird nun in der Fehlermeldung deutlich gemacht. Zuvor war der Grund für das Scheitern der Fehlermeldung unklar.

[NSLB-9005]

Desired State API unterstützt die Wiederverwendung vorhandener Server-IP-Adressen und -Namen

Die API für den gewünschten Status unterstützt jetzt das Binden von Dienstgruppenmitgliedern an eine Dienstgruppe, auch wenn die IP-Adresse eines Dienstgruppenmitglieds mit einem vorhandenen Server übereinstimmt. Die IP-Adresse und der Name des vorhandenen Servers werden wiederverwendet, während das Mitglied der Dienstgruppe gebunden wird.

Früher, als die IP-Adresse übereinstimmte, war es nicht erfolgreich, die Mitglieder der Dienstgruppe an eine Dienstgruppe zu binden.

[NSLB-9004]

Netzwerke

Unterstützung für CIDR-basierte Bindungen in IPv4-Datensätzen für erweiterte ACLs

Die erweiterte ACLS unterstützt jetzt IPv4-Datensätze mit IPv4-Adressbereichen, die in der CIDR-Notation angegeben sind.

[NSNET-24452]

Unterstützung für Software-Receive Side Scaling für NetScaler BLX Appliance im DPDK-Modus

Eine NetScaler BLX-Appliance im DPDK-Modus, die mit einer höheren Anzahl von Paket-Engines konfiguriert ist, unterstützt keinen NIC-Port mit einer geringeren Anzahl von Sende- (Tx) - und Empfangswarteschlangen (Rx).

Eine NetScaler BLX-Appliance im DPDK-Modus verwendet keinen NIC-Port, wenn beide der folgenden Bedingungen erfüllt sind:

  • Die Appliance verfügt über einen NIC-Port, der eine begrenzte Anzahl von Sende- (Tx) und Empfangswarteschlangen (Rx) unterstützt. Zum Beispiel 7.
  • Die Appliance ist mit einer höheren Anzahl von Paket-Engines konfiguriert. Zum Beispiel 28.

Um dieses Problem zu beheben, verwendet die NetScaler BLX-Appliance ab Build 13.1 21.x Software Receive Side Scaling (RSS), um empfangene Pakete an den NIC-Ports effizient über mehrere Paket-Engines zu verteilen.

Das Software-RSS-Modul weist jedem NIC-Port ein logisches Rx- und Tx-Warteschlangenpaar zu. Das Warteschlangenpaar wird dann der Paket-Engine PE-0 zugeordnet.

Für jedes Paket in der Rx-Warteschlange eines NIC-Ports wählt PE-0 mithilfe eines RSS-Hash-Algorithmus eine Paket-Engine aus. PE-0 sendet das Paket dann zur Verarbeitung an die ausgewählte Paket-Engine. Nachdem die Verarbeitung des Pakets abgeschlossen ist, sendet PE-0 das Paket an die Tx-Warteschlange des NIC-Ports.

[NSNET-23133]

Konfigurieren Sie den internen HTTP-GUI-Dienst über die NetScaler GUI oder NetScaler CLI oder NetScaler NITRO APIs

Auf einer NetScaler-Appliance ist /etc/httpd.conf die Konfigurationsdatei für den internen HTTP-GUI-Dienst, der Verbindungen zur NetScaler GUI verwaltet.

Anstatt die httpd.conf Datei für die Konfiguration des internen HTTP-GUI-Dienstes zu verwenden, können Sie jetzt NetScaler GUI, NetScaler CLI oder NetScaler NITRO APIs verwenden. Sie können beispielsweise die NetScaler CLI verwenden, um die maximale Anzahl von Clients zu ändern, die sich gleichzeitig mit dem internen HTTP-Dienst verbinden können.

Der interne HTTP-GUI-Dienst hat das folgende Namensformat: nshttpd-gui-<loop back IP address>-80

Verwenden Sie die NetScaler-Dienstbefehlsoperationen, um den internen HTTP-GUI-Dienst zu konfigurieren.

[NSNET-20350]

Plattform

Unterstützung für NetScaler MPX 9100 Plattform

Dieses Release unterstützt die NetScaler MPX 9100-Plattform. Es umfasst die Modelle MPX 9110, MPX 9120 und MPX9130. Weitere Informationen finden Sie unter NetScaler MPX 9100.

[NSPLAT-23308]

Unterstützung für NetScaler SDX 9100 Plattform

Dieses Release unterstützt die NetScaler SDX 9100-Plattform. Es umfasst die Modelle SDX 9120 und SDX 9130. Weitere Informationen finden Sie unter NetScaler SDX 9100.

[NSPLAT-23299]

Verbessern Sie die SSL-TPS-Leistung in AWS- und GCP-Clouds

Sie können eine bessere SSL-TPS-Leistung in AWS- und GCP-Clouds erzielen, indem Sie die Gewichte der Paket-Engine (PE) gleichmäßig verteilen. Führen Sie dazu den folgenden Befehl in der NetScaler CLI aus, um den PE-Modus festzulegen:

set cpuparam pemode [CPUBOUND | Default]

In einer Azure-Cloud werden die PE-Gewichte standardmäßig gleichmäßig verteilt. Diese Funktion verbessert nicht die Leistung der Azure-Instanzen.

[ NSPLAT-22570 ]

VMware ESXi 7.0 Update 3c-Unterstützung auf NetScaler VPX-Instanz

Die NetScaler VPX-Instanz unterstützt jetzt das VMware ESXi Version 7.0 Update 3c (Build 19193900).

[ NSPLAT-22468 ]

SSL

Details zur SSL-Chip-Nutzung auf NetScaler-Plattformen anzeigen

Ab Version 13.1 Build 21.x werden Zähler hinzugefügt, um weitere Details zur SSL-Chip-Nutzung auf MPX- und SDX-Plattformen anzuzeigen, die mit Intel Coleto-Chips und der MPX 9100 (Lewisburg) -Plattform geliefert werden. Auf nicht unterstützten Plattformen zeigen diese Zähler einen Wert von 0,0 an.

Weitere Informationen finden Sie unter Unterstützung für Intel Coleto- und Lewisberg SSL-Chip-basierte Plattformen.

[NSSSL-10996]

Unterstützung für ECDSA-Zertifikate und -Verschlüsselungen mit DTLS

ECDSA-Zertifikate und -Verschlüsselungen können jetzt für DTLS-Entitäten wie virtuelle Server und Dienste verwendet werden.

[NSSSL-9535]

System

Erweiterungen im Zusammenhang mit dem Senden von Clientdetails im TCP-Optionsheader

  • Die NetScaler-Appliance fügt jetzt die Client-IP-Adresse zusätzlich zum ersten Datenpaket in das endgültige ACK-Paket des Dreiwege-Handshakes ein. Bisher sendet die Appliance die Client-IP-Adresse nur im ersten Datenpaket.
  • Die NetScaler-Appliance unterstützt jetzt das Senden des Clientports in der TCP-Option für die Konfiguration des Einfügemodus. Im TCP-Profil wurde ein Parameter Send Client Port in Tcp Option (sendClientPortInTcpOption) zum Aktivieren oder Deaktivieren dieser Funktion eingeführt.

[NSBASE - 15635]

Behobene Probleme

Die Probleme, die in Build 13.1—21.50 behoben wurden.

Authentifizierung, Autorisierung und Auditing

Die NetScaler-Appliance stürzt möglicherweise ab, wenn beim Aktualisieren des in der SAML-Konfiguration verwendeten SSL-Zertifikatschlüsselpaars ein Fehler auftritt. Um dieses Problem zu beheben, können Sie das Zertifikat aufheben, das Zertifikat aktualisieren und dann erneut binden.

[ NSHELP-30270 ]

Benutzer können sich nicht bei der NetScaler-Appliance anmelden, wenn die Anmeldeanforderung mit SAML andere Leerzeichen als ‘’ (einfache Anführungszeichen) enthält. Mit diesem Fix sind alle Leerraumzeichen zulässig.

[ NSHELP-29773 ]

Beim Senden einer AS_REQ-Anfrage für einen delegierten Benutzer, der Teil von KCD SSO ist, wählt die NetScaler-Appliance einen Verschlüsselungstyp mit der folgenden Priorität aus, wenn der Domänencontroller (DC) alle Verschlüsselungstypen veröffentlicht.

  1. ETYPE_ARCFOUR_HMAC_MD5
  2. ETYPE_AES128_CTS_HMAC_SHA1_96
  3. ETYPE_AES256_CTS_HMAC_SHA1_96 statt
  4. ETYPE_AES256_CTS_HMAC_SHA1_96
  5. ETYPE_AES128_CTS_HMAC_SHA1_96
  6. ETYPE_ARCFOUR_HMAC_MD5

[ NSHELP-28681 ]

Manchmal schlägt die Authentifizierung möglicherweise fehl, wenn Authentifizierung, Autorisierung und auditing.LOGIN.PASSWORD verwendet werden.

[ NSHELP-28101 ]

Die NetScaler-Appliance gerät möglicherweise in eine SSO-Schleife mit dem Backend-Server und führt zu einem Speicheraufbau, wenn die beiden folgenden Bedingungen erfüllt sind.

  • Die ADC-Appliance führt Verhandlungs- und NTLM-SSO-Authentifizierungen mit dem Backend-Server durch.
  • Der Backend-Server führt nicht beide Authentifizierungen durch.

[ NSHELP-27757 ]

Die NetScaler-Appliance stürzt möglicherweise ab, wenn die Synchronisierung der Sitzung und der Schlüsselkonfiguration zwischen der primären und der sekundären Controllerkarte erfolgt.

[ NSHELP-26891 ]

NetScaler SDX-Appliance

Eine falsche Meldung wird angezeigt, wenn die Neuinstallation fehlschlägt, weil die Werkspartition nicht über genügend Speicherplatz verfügt.

[ NSHELP-30136 ]

Das Backplane-Feld auf der Seite “Cluster-Knoten hinzufügen” ist nicht mehr obligatorisch, sofern eine der folgenden Bedingungen nicht erfüllt ist:

  • Die Knotengruppe ist bereits für Layer-3-Cluster vorhanden.
  • Es ist ein Layer-2-Cluster.

[ NSHELP-29701 ]

NetScaler Gateway

VPN-Clientbenutzer können sich nicht erfolgreich abmelden, wenn SAML und EPA als aufeinanderfolgende Faktoren in einer nFactor-Authentifizierung konfiguriert sind. Mit diesem Fix können sich Benutzer problemlos abmelden.

[ NSHELP-30193 ]

In einem NetScaler GSLB- und SSL-VPN-Setup wird bei der Verarbeitung einer DTLS-ICA-Verbindung ein Speicherleck beobachtet. Dadurch wird die Verbindung unterbrochen und Speicher baut sich auf.

[ NSHELP-30182 ]

Der Start von PCoIP Apps and Desktops schlägt fehl, wenn er von einem Browser aus gestartet wird und die Fehlermeldung VMware client missing angezeigt wird. Dieses Problem tritt auf, weil das Protokoll vmware-view nicht zur Liste der zugelassenen Protokolle hinzugefügt wurde.

[NSHELP-30062]

Der EPA-Scan zur Überprüfung des letzten vollständigen Systemscans des Virenschutzes schlägt unter macOS fehl.

[ NSHELP-29571 ]

Der vollständige NetScaler Gateway VPN-Tunnel funktioniert nicht wie erwartet, wenn die binäre Antwort aktiviert ist. Infolgedessen ist das NSAAC-Cookie beschädigt. Mit diesem Fix funktioniert die binäre Antwort in den früheren VPN-Plug-Ins. Citrix empfiehlt jedoch, das neueste VPN-Plug-in zu verwenden, das mit der JSON-Antwort kompatibel ist.

[ NSHELP-28729 ]

Lastausgleich

Eine partitionierte NetScaler-Appliance kann den Kern ausgeben, während ein DNS-Anforderungspaket mit einem zusätzlichen Header (EDNS) verarbeitet wird.

[ NSHELP-30796 ]

In einer DNS-Bereitstellung mit automatischer Skalierung erkennen die Mitglieder im TROFS-Status keinen Fehler bei der Integritätsprüfung und reagieren nicht darauf.

[ NSHELP-29628 ]

Die NetScaler-Appliance stürzt möglicherweise ab, während die Richtlinie zum Umschreiben an den virtuellen Lastausgleichsserver gebunden wird, wenn die folgenden Bedingungen erfüllt sind:

  1. Bei der Auswertung des zweiten Ausdrucks werden die Policy-State-Variablen des ersten Ausdrucks überschrieben, der gerade ausgeführt wird.
  2. Die Richtlinienstatusvariablen DETERMINE_SERVICES werden durch die Regel überschrieben, die vom virtuellen Lastausgleichsserver definiert ist.

[ NSHELP-29449 ]

Die Reaktionszeit des Monitors, die angezeigt wird, wenn Sie den Befehl show service ausführen, ist manchmal falsch.

[ NSHELP-28994 ]

Die SMPP-Wiederholungsnachrichten werden an alle Knoten in einem Cluster gesendet, auch wenn die Anforderung erfolgreich ist. Dieses Szenario führt zu einem hohen Speicherverbrauch auf der NetScaler-Appliance.

[ NSHELP-28332 ]

Netzwerke

Beim Aktualisieren einer NetScaler BLX-Appliance auf Version 13.1 Build 17.x wird die Appliance möglicherweise nicht gestartet.

[ NSNET-25002 ]

Die Installation einer NetScaler BLX-Appliance auf einem RHEL-basierten Linux-Host schlägt fehl, wenn das Python-Modul jsonschema auf dem Host nicht vorhanden ist.

[ NSNET-24638 ]

Das Aktualisieren einer NetScaler BLX-Appliance mit DPDK schlägt fehl, wenn alle folgenden Bedingungen erfüllt sind:

  • Die NetScaler BLX-Appliance läuft auf einem Debian-basierten Linux-Host
  • Das Upgrade erfolgt von NetScaler Release 13.0 Build 82.x oder früher auf Version 13.1 Build 17.x.

[ NSNET-24622 ]

Wenn Sie eine ICMP-ACL-Regel konfigurieren, nachdem Sie eine TCP-ACL-Regel mit Porteinstellungen konfiguriert haben, tritt möglicherweise das folgende Problem auf:

  • Die NetScaler-Appliance fügt fälschlicherweise dieselben Porteinstellungen der TCP-ACL auch zur ICMP-ACL hinzu.

[ NSHELP-31114 ]

Das Ändern einer privaten IP-Adresse in einer INAT-Regel über die GUI schlägt fehl, wenn die folgende Bedingung erfüllt ist:

  • Das Verbindungsfailover ist für die INAT-Regel aktiviert.

[ NSHELP-30792 ]

Auf der seriellen Konsole einer NetScaler-Appliance zeigt die VTYSH-Eingabeaufforderung oder die Shell-Eingabeaufforderung möglicherweise keine Ausgabe an.

[ NSHELP-30446 ]

Das Ändern eines Netzprofils, an das bereits ein IP-Satz gebunden ist, schlägt möglicherweise mit dem folgenden Fehler fehl:

  • IP set is already bound to the network profile

[ NSHELP-29363 ]

In einem großen NAT44-Setup kann die NetScaler-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

  • Das Filtern und Zuordnen von Referenzzählern ist für das LSN-Modul in der Appliance ungleich Null.

[ NSHELP-28842 ]

Plattform

Auf die serielle Konsole einer NetScaler VPX-Instanz, die in der Azure-Cloud gehostet wird, kann nicht zugegriffen werden, wenn sich die virtuelle Maschine in einem frühen Stadium des Startens befindet.

[ NSPLAT-23010 ]

Während des NetScaler VPX HA-Failovers schlägt die elastische IP-Adressverschiebung in der AWS-Cloud fehl, wenn Sie ein IPset konfigurieren, ohne das IPset an eine IP-Adresse zu binden.

[ NSHELP-29425 ]

SSL

Die RC4-Verschlüsselungssammlung schlägt während eines SSL-Handshakes mit einer Illegal parameter error-Nachricht fehl.

[ NSSSL-11463 ]

Die NetScaler-Appliance stürzt ab, wenn das SSL-Abfangen aktiviert ist und mehrere parallele Anforderungen für den Zugriff auf einen Backend-Server mit einem abgelaufenen Zertifikat vorliegen.

[ NSHELP-29520 ]

In einem Clustersetup können Sie die folgenden Probleme feststellen:

  • Fehlender Befehl für das standardmäßige Zertifikatschlüsselpaar, das an die internen SSL-Dienste auf dem CLIP bindet. Wenn Sie jedoch von einem älteren Build upgraden, müssen Sie möglicherweise das Standard-Zertifikatschlüsselpaar an die betroffenen internen SSL-Dienste auf dem CLIP binden.
  • Konfigurationsdiskrepanz zwischen dem CLIP und den Knoten für den standardmäßigen set-Befehl für die internen Dienste.
  • Fehlender Standard-Verschlüsselungsbindungsbefehl an die SSL-Entitäten in der Ausgabe des Befehls show running config, der auf einem Knoten ausgeführt wird. Die Auslassung ist nur ein Anzeigeproblem und hat keine funktionalen Auswirkungen. Die Bindung kann mit dem Befehl show ssl <entity> <name> angezeigt werden.

[ NSHELP-25764 ]

System

Die NetScaler-Appliance stürzt ab, wenn eine der folgenden Bedingungen eintritt:

  • Die Syslog-Aktion wird mit dem Domänennamen konfiguriert und Sie löschen die Konfiguration über die GUI oder der CLI.
  • Die Hochverfügbarkeitssynchronisierung erfolgt auf dem sekundären Knoten. [ NSHELP-30987, NSHELP-28121, NSHELP-29843 ]

Alle weitergeleiteten Datenpakete von einer NetScaler-Appliance haben nicht den konfigurierten TTL-Wert, sondern haben den vom Client oder Server gesendeten Wert.

[ NSHELP-30683 ]

Die NetScaler-Appliance kann einige der Nicht-HTTP-Datenpakete nicht an die Back-End-Server weiterleiten.

[ NSHELP-30192 ]

In bestimmten Szenarien leitet die NetScaler-Appliance einige HTTP-Pakete nicht an den Back-End-Server weiter, wenn die folgende Bedingung erfüllt ist:

  • Wenn eine NetScaler-Funktion intern HTTP-Pakete klont.

[ NSHELP-29958 ]

Die NetScaler-Appliance fügt möglicherweise fälschlicherweise eine IPv4-Adresse zu einem AppFlow-Datensatz hinzu, der sich auf eine IPv6-Transaktion bezieht.

[ NSHELP-29261 ]

Eine NetScaler-Appliance stürzt möglicherweise ab, wenn eine Chunked-Antwort vom ICAP-Modul an den Client wiedergegeben wird.

[ NSHELP-28788 ]

Ein Pitboss-Fehler tritt auf, wenn eine große Anzahl von Paketen in der Warteschlange für die erneute Übertragung in

[ NSHELP-26071 ]

Einige SYSLOG-Meldungen werden verworfen, wenn Sie sich mit dem TCP-Protokoll an einem externen SYSLOG-Server anmelden.

[ NSHELP-24522 ]

In bestimmten Szenarien verfehlen bei der nstrace-Paketerfassung alle Pakete, wenn Sie den IP-Adressbasierten Filter anwenden.

[ NSHELP-23483 ]

Benutzeroberfläche

Die Cache-Filterung funktioniert in der NetScaler GUI möglicherweise nicht wie erwartet.

[ NSHELP-30392 ]

Wenn eine NetScaler-Appliance für die Verwendung eines externen Authentifizierungsservers konfiguriert ist, kann es zu einer Verzögerung bei der Ausführung der Stat-Befehle kommen, unabhängig davon, ob der RBAOnResponse-Parameter global deaktiviert werden soll. Der Parameter kann über die GUI oder CLI deaktiviert werden.

[ NSHELP-30289 ]

Die NetScaler GUI verarbeitet die RAPI-Aufrufe nicht, was dazu führt, dass einige Komponenten der GUI nicht mehr reagieren.

[ NSHELP-30231 ]

In einigen Fällen können Sie möglicherweise keine SSL-Schlüssel von der Registerkarte SSL-Schlüssel in der NetScaler GUI laden.

[ NSHELP-28870 ]

Die API-Antwort für eine NITRO GET-Anfrage mit einem Filter kann zusätzliche Informationen enthalten, auch wenn sie im Filter nicht erwähnt werden.

[ NSHELP-28598 ]

Das Hochladen und Hinzufügen einer Zertifikatsperrlistendatei (CRL) schlägt in einer Admin-Partitionseinrichtung fehl.

[NSHELP-20988]

Bekannte Probleme

Die Probleme, die in Version 13.1—21.50 bestehen.

AppFlow

HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

[ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Auditing

Eine NetScaler-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]

Das DualAuthPushOrOTP.xml LoginSchema wird im Bildschirm des Anmeldeschema-Editors der NetScaler GUI nicht ordnungsgemäß angezeigt.

[ NSAUTH-6106 ]

Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird. show adfsproxyprofile <profile name>

Workaround:

Stellen Sie eine Verbindung zum primären aktiven NetScaler im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

[ NSAUTH-5916 ]

Die Seite Authentifizierung LDAP-Server konfigurieren auf der NetScaler-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

  • Die Option LDAP-Erreichbarkeit testen wird geöffnet.
  • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
  • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

Workaround:

Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

[ NSAUTH-2147 ]

Zwischenspeichern

Eine NetScaler-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

[NSHELP-22942]

NetScaler SDX-Appliance

Wenn auf einer NetScaler SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

[ NSSVM-4333 ]

Auf einer NetScaler SDX-Appliance mit Mellanox-NICs wird durch Ändern des Durchsatzes einer VPX-Instanz mit Mellanox-NICs die VPX-Instanz neu gestartet.

[NSHELP-31305]

Nach dem Upgrade einer NetScaler SDX-Appliance auf Version 13.1 Build 21.50 oder höher schlagen die SSL-Entschlüsselung und der MAC-Vergleich möglicherweise fehl. Infolgedessen können SSL-Handshake-Fehler, ein Flattern des VPX-Status, die Nichtverfügbarkeit der VPX-Instanz-GUI sowie ein Ausfall virtueller Server und Anwendungen auftreten.

Hinweis: Dieses Problem tritt auf den Plattformen SDX 8900, SDX 15000, SDX 15000-50G, SDX 26000 und SDX 26000-50S auf.

[NSHELP-31672]

NetScaler Gateway

In einigen Fällen unterbricht Citrix Secure Access für macOS Verbindungen aufgrund von Problemen mit einigen Nicht-DNS-Protokollen, die Port 53 verwenden, wie z. B. STUN.

[NSHELP-31004]

Wenn Always on konfiguriert ist, schlägt der Benutzertunnel aufgrund der falschen Versionsnummer (1.1.1.1) in der Datei aoservice.exe fehl.

[NSHELP-30662]

Benutzer können keine Verbindung zur NetScaler Gateway-Appliance herstellen, nachdem sie den Profilparameter “networkAccessOnVPNFailure” von “fullAccess” auf “onlyToGateway” geändert haben.

[NSHELP-30236]

Der Windows VPN-Client berücksichtigt die Warnung “SSL-Benachrichtigung zum Schließen” des Servers nicht und sendet die Anmeldeanforderung für die Übertragung über dieselbe Verbindung.

[ NSHELP-29675 ]

In einigen Fällen schlägt der Servervalidierungscode fehl, wenn das Serverzertifikat als vertrauenswürdig eingestuft wird. Daher können Endbenutzer nicht auf das Gateway zugreifen.

[ NSHELP-28942 ]

Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

[ NSHELP-28551 ]

Manchmal wird ein Benutzer innerhalb weniger Sekunden bei NetScaler Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

[ NSHELP-28404 ]

Sie können die Bindung einer klassischen Autorisierungsrichtlinie nicht über die GUI aufheben. Sie können jedoch die CLI verwenden, um die Authentifizierungs-, Autorisierungs- und Überwachungsautorisierungsrichtlinie aufzuheben.

Mit diesem Fix können Sie jetzt die Autorisierungsrichtlinie über die GUI aufheben.

[ NSHELP-27064 ]

In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

  • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

Workaround:

Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Erfolgsstatus Sync).

[ NSHELP-25598 ]

Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

[ NSHELP-23937 ]

Das VPN-Plug-in richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

  • NetScaler Gateway-Appliance ist für Always On konfiguriert
  • Die Appliance ist für zertifikatbasierte Authentifizierung mit Zwei-Faktor-Authentifizierung konfiguriert off

[ NSHELP-23584 ]

Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung Cannot read property 'type' of undefined angezeigt.

[ NSHELP-21897 ]

Wenn Sie Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf NetScaler Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und die in Version 12.1 nicht verfügbar sind.

[ CGOP-19355 ]

Ein Fehler beim Anwendungsstart aufgrund eines ungültigen STA-Ticket wird in Gateway Insight nicht gemeldet.

[ CGOP-13621 ]

Im Gateway Insight-Bericht wird fälschlicherweise der Wert Local statt SAML im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

[ CGOP-13584 ]

In einem Hochverfügbarkeits-Setup wird während eines NetScaler-Failovers die SR-Anzahl anstelle der Failover-Anzahl in NetScaler ADM erhöht.

[ CGOP-13511 ]

Wenn eine ICA-Verbindung von einer MAC-Receiver-Version 19.6.0.32 oder Citrix Virtual Apps and Desktops Version 7.18 gestartet wird, ist die HDX Insight-Funktion deaktiviert.

[CGOP-13494]

Wenn die EDT Insight-Funktion aktiviert ist, können manchmal Audiokanäle während einer Netzwerkdiskrepanz ausfallen.

[CGOP-13493]

Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

[ CGOP-13050 ]

Der Text Home Page in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

[ CGOP-13049 ]

Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die NetScaler-GUI hinzufügen oder bearbeiten.

[ CGOP-11830 ]

Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem kritischen Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

[ CGOP-7269 ]

Lastausgleich

In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

[ NSLB-7679 ]

Das serviceGroupName-Format im entityofs Trap für die Dienstgruppe lautet wie folgt: <service(group)name>?<ip/DBS>?<port>

Im Trapformat wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Trennzeichen verwendet. Der NetScaler sendet den Trap mit dem Fragezeichen (?). Das Format erscheint in der NetScaler ADM GUI gleich. Dies ist das erwartete Verhalten.

[NSHELP-28080]

Sonstiges

Wenn eine erzwungene Synchronisierung in einem Hochverfügbarkeitssetup stattfindet, führt die Appliance den Befehl set urlfiltering parameter im sekundären Knoten aus. Infolgedessen überspringt der sekundäre Knoten jede geplante Aktualisierung bis zur nächsten geplanten Zeit, die im Parameter TimeOfDayToUpdateDB erwähnt wird.

[NSSWG-849]

Eine NetScaler-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter der URL-Filterung auftritt.

[NSHELP-22409]

Netzwerke

In einer NetScaler BLX-Appliance mit DPDK-Unterstützung werden getaggte VLANs für DPDK-Intel i350-NIC-Ports nicht unterstützt. Dies wird beobachtet, da es sich um ein bekanntes Problem im DPDK-Treiber handelt.

[NSNET-25299]

Eine NetScaler BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn alle folgenden Bedingungen erfüllt sind:

  • Die NetScaler BLX-Appliance wird mit einer geringen Anzahl von zugewiesen hugepages. Zum Beispiel 1G.
  • Der NetScaler BLX-Appliance wird eine hohe Anzahl von Arbeitsprozessen zugewiesen. Zum Beispiel 28.

Das Problem wird als Fehlermeldung protokolliert in /var/log/ns.log:

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

Hinweis: x ist eine Zahl <= Anzahl von Arbeitsprozessen.

Workaround:

Weisen Sie eine hohe Anzahl von hugepages zu und starten Sie die Appliance anschließend neu.

[NSNET-25173]

Eine NetScaler BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn die folgende Bedingung erfüllt ist:

  • Die NetScaler BLX-Appliance wird mit einer hohen Anzahl von hugepages zugewiesen. Zum Beispiel 16 GB.

Das Problem wird als Fehlermeldung protokolliert in /var/log/ns.log:

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

Workaround:

Verwenden Sie eine der folgenden Problemumgehungen für dieses Problem:

  • Erhöhen Sie das Limit für offene Dateien auf dem Linux-Host, indem Sie entweder den Befehl ulimit verwenden oder die Datei limits.conf bearbeiten.
  • Reduzieren Sie die Anzahl der zugewiesenen hugepages.

[NSNET-24727]

Der Neustart einer NetScaler BLX-Appliance im DPDK-Modus kann aufgrund der einfachen DPDK-Funktionalität etwas länger dauern.

[NSNET-24449]

Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer NetScaler BLX-Appliance mit DPDK nicht unterstützt:

  • Deaktivieren
  • Smartcard
  • Reset

[NSNET-16559]

Die Installation einer NetScaler BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Workaround:

Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine NetScaler BLX-Appliance installieren:

  • dpkg — Architektur hinzufügen i386
  • apt-get update
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[NSNET-14602]

In einigen Fällen von FTP-Datenverbindungen führt die NetScaler-Appliance nur NAT-Operationen und keine TCP-Verarbeitung für die Pakete für die TCP-MSS-Aushandlung aus. Infolgedessen ist die optimale Schnittstellen-MTU nicht für die Verbindung eingestellt. Diese falsche MTU-Einstellung führt zu einer Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

[NSNET-5233]

Wenn ein Speicherlimit für die Admin-Partition in der NetScaler-Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

[NSHELP-21082]

Plattform

Das Hochverfügbarkeitsfailover funktioniert nicht in AWS- und GCP-Clouds. Die Verwaltungs-CPU erreicht möglicherweise ihre Kapazität von 100% in AWS- und GCP-Clouds und NetScaler VPX on-premises. Beide Probleme werden verursacht, wenn die folgenden Bedingungen erfüllt sind:

  1. Beim ersten Start der NetScaler-Appliance speichern Sie das angeforderte Kennwort nicht.
  2. Anschließend starten Sie die NetScaler-Appliance neu.

[ NSPLAT-22013 ]

Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den NetScaler-Appliances installiert. Dieses Problem wurde für die folgenden NetScaler-Versionen behoben:

  • 13.1-4.x
  • 13.0—82.31 und höher
  • 12.1—62.21 und höher

Die Python-Pakete werden nicht installiert, wenn Sie die NetScaler-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

  • Jeder 11.1-Build
  • 12,1—62,21 und früher
  • 13.0-81.x und früher

[NSPLAT-21691]

In einem Cluster-Setup auf einer NetScaler SDX-Appliance gibt es eine CLAG-MAC-Nichtübereinstimmung auf dem zweiten Knoten und CLIP, wenn die folgenden Bedingungen erfüllt sind:

  • Die CLAG wird auf einer Mellanox-NIC erstellt.
  • Sie fügen dem Cluster- und CLAG-Setup eine weitere VPX-Instanz hinzu.

Infolgedessen stoppt der Datenverkehr zur VPX-Instanz.

[NSPLAT-21049]

In einem Cluster-Setup auf einer NetScaler SDX-Appliance wird der erste Knoten aufgrund einer Nichtübereinstimmung der MAC-Adresse in der CLIP- und MAC-Tabelle DOWN, wenn die folgenden Bedingungen erfüllt sind:

  • Die CLAG wird auf einer Mellanox-NIC erstellt.
  • Sie entfernen den zweiten Knoten aus dem Cluster.

[NSPLAT-21042]

Wenn Sie eine Autoscale-Einstellung oder einen VM-Skalierungssatz aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der NetScaler-Instanz. Verwenden Sie den Befehl rm cloudprofile, um das Profil zu löschen.

[NSPLAT-4520]

In einem Hochverfügbarkeitssetup auf Azure wird bei der Anmeldung am sekundären Knoten über die GUI der Bildschirm für den Erstbenutzer (FTU) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt. Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich beim primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil muss immer auf dem primären Knoten konfiguriert werden.

[ NSPLAT-4451 ]

Ab NetScaler Version 13.1 kann die NetScaler-Appliance nicht in einem ESXi Hypervisor mit mehr als 8 VMXNET3-Netzwerkschnittstellen hochgefahren werden.

[ NSHELP-31266 ]

Richtlinien

Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße. Workaround: Stellen Sie die TCP-Puffergröße auf eine maximale Datengröße ein, die verarbeitet werden muss.

[ NSPOLICY-1267 ]

In einigen Szenarien kann eine NetScaler-Appliance abstürzen, wenn eine Zuweisungsaktion mit der Löschoperation für eine AppExpert-Variable verwendet wird.

[ NSHELP-29766 ]

SSL

Auf einem heterogenen Cluster von NetScaler SDX 22000 und NetScaler SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

Workaround:

  1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Zum Beispiel set ssl vserver <name> -SSL3 DISABLED.
  2. Speichern Sie die Konfiguration.

[NSSSL-9572]

Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[NSSSL-6478]

Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die NetScaler-Appliance gibt keinen Fehler zurück.

[NSSSL-6213]

Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben. FEHLER: CRL Refresh ist deaktiviert

[NSSSL-6106]

Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[NSSSL-4427]

Eine falsche Warnmeldung Warning: No usable ciphers configured on the SSL vserver/service, wird angezeigt, wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern.

[NSSSL-4001]

Ein abgelaufenes Sitzungsticket wird nach einem HA-Failover auf einem Nicht-CCO-Knoten und auf einem HA-Knoten berücksichtigt.

[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

Bei MPX 8900- und MPX 15000 FIPS-zertifizierten Appliances kann der ausgeführte ECDHE-Datenverkehr zu einem Speicherverlust führen.

[NSHELP-30744]

Anpassungen, die Teil der Datei rc.netscaler sind, werden nicht angewendet, da diese Datei während der Systeminitialisierung nicht ausgeführt wird.

[NSHELP-31914]

System

Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 gesetzt, wenn die Appliance den max_concurrent_stream-Einstellungsframe nicht vom Client empfängt.

[NSHELP-21240]

Die mptcp_cur_session_without_subflow-Zähler verringern fälschlicherweise auf einen negativen Wert statt auf Null.

[NSHELP-10972]

Wenn Sie in einer Clusterbereitstellung den Befehl force cluster sync auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge. [NSBASE-16304, NSGI-1293]

Wenn Sie NetScaler ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

Problemumgehung: Starten Sie den Management-Pod neu.

[NSBASE - 15556]

Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

[NSBASE-8506]

Die NetScaler-Appliance verwirft Pakete, die benutzerdefinierte HTTP-Header mit einem Punkt (“ enthalten. “) im Feld für den Header-Namen. Diese Aktion tritt auf, weil der Parameter allowOnlyWordCharactersAndHyphen im Standard-HTTP-Profil standardmäßig aktiviert ist.

Problemumgehung: Deaktivieren Sie allowOnlyWordCharactersAndHyphen im Standard-HTTP-Profil. Citrix empfiehlt jedoch, sie aktiviert zu lassen.

[NSBASE - 16722]

Benutzeroberfläche

Für die MQTT-Rewrite-Funktion können Sie einen Ausdruck nicht mit dem Ausdruckseditor in der GUI löschen.

Workaround:

Verwenden Sie den Befehl zum Hinzufügen oder Bearbeiten von Aktionen vom Typ MQTT über die CLI.

[NSUI-18049]

In der NetScaler GUI ist der Help-Link unter der Dashboard-Registerkarte defekt.

[NSUI-14752]

Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

Workaround:

Konfigurieren Sie Cloudbridge-Konnektoren, indem Sie über die NetScaler GUI oder CLI IPSec-Profile, IP-Tunnel und PBR-Regeln hinzufügen.

[NSUI-13024]

Wenn Sie über die GUI einen ECDSA-Schlüssel erstellen, wird der Kurventyp nicht angezeigt.

[NSUI-6838]

In einem Hochverfügbarkeitssetup von NetScaler BLX-Appliances reagiert der primäre Knoten möglicherweise nicht mehr und blockiert CLI- oder API-Anforderungen.

Workaround:

Starten Sie den primären Knoten neu.

[NSCONFIG -6601]

Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer NetScaler-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften NetScaler-Appliance anmelden.

  1. Aktualisieren Sie die NetScaler-Appliance auf einen der Builds:
  • Build 13.0 52.24
  • Build 12.1 57.18
  • Build 11.1 65.10
  1. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
  2. Downgrade der NetScaler-Appliance auf einen älteren Build.

Um die Liste dieser Systembenutzer über die CLI anzuzeigen: Geben Sie an der Eingabeaufforderung Folgendes ein:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Workaround:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

  • Wenn die NetScaler-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die NetScaler-Appliance mithilfe einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herab.
  • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
  • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

Weitere Informationen finden Sie unter So setzen Sie das Root-Administratorkennwort (nsroot)zurück.

[NSCONFIG-3188]

Hinweise
May 11, 2023
Beitrag von: 
C
May 11, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.