Produktdokumentation
ADC
Current Release 13.0 12.1
PDF anzeigen

Versionshinweise für NetScaler 13.1-42.47 Release

May 11, 2023
Beitrag von: 
C

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die NetScaler-Version Build 13.1-42.47 bestehen.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste sicherheitsbezogener Fixes und Empfehlungen finden Sie im Security Bulletin.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.1-42.47 verfügbar sind.

Bot-Verwaltung

  • Unterstützung zum Stoppen der IP-Reputation-Downloads in den Bot-Einstellungen

    Nachdem Sie die IP-Reputationsfunktion deaktiviert haben, legen Sie in den NetScaler-Bot-Verwaltungseinstellungen das Standard-Non-Intrusive Profile auf BOT_BYPASS fest. Diese Konfiguration stoppt die IP-Reputation-Downloads.

    Um die Bot-Verwaltungseinstellungen zu ändern, navigieren Sie zu Sicherheit > NetScaler bot Management > NetScaler bot Management-Einstellungen ändern.

    [NSBOT-1050, NSHELP-34310, NSHELP-33835, NSHELP-34410]

  • Neue Bot-Verstöße werden in der NetScaler ADM GUI angezeigt

    Die folgenden Bot-Verstöße wurden in der NetScaler ADM GUI neu eingeführt:

    • Kein User-Agent-Header
    • Mehrere User-Agent-Header

    Ein Anwendungsserver verwendet die User-Agent-Header-Informationen, um mehr über eine eingehende Anfrage zu erfahren. Einige Bot-Anfragen können mehrere User-Agent-Header oder keinen User-Agent-Header haben. Sie können solche Bot-Verstöße mithilfe eines NetScaler-Bot-Verwaltungsprofils erkennen. Verwenden Sie dann die NetScaler ADM GUI, um Bot-Verstöße zu überwachen. Weitere Informationen finden Sie unter Kategorien von Verstößen.

    [NSBOT-1023]

NetScaler SDX-Appliance

  • Die SD-WAN-Unterstützung ist im Management Service veraltet

    Ab Version 13.1 Build 42.x und höher ist die SD-WAN-Unterstützung von der NetScaler SDX-Appliance veraltet.

    [NSSVM-5465]

  • Die Felder “Gateway” und “Nexthop” sind bei der Bereitstellung oder Bearbeitung der VPX optional

    In einem NetScaler SDX Appliance Management Service sind die Felder Gateway und Nexthop für die Bereitstellung, Bearbeitung, das Backup oder die Wiederherstellung von VPX nicht mehr erforderlich, wenn die folgenden Bedingungen erfüllt sind:

    • Jede der folgenden Optionen ist wahr:
      • “Über das interne Netzwerk verwalten” ist für VPX aktiviert.
      • Die VPX-IP-Adresse befindet sich im selben Subnetz wie die IP-Adresse des Management Service.
    • VPX wird mit Version 13.0-88.9 oder 13.1-37.8 und deren höheren Versionen bereitgestellt.

    Weitere Informationen finden Sie unter Bereitstellen von NetScaler-Instanzen.

    [NSSVM-5307]

NetScaler Gateway

  • Unterstützung für die standardmäßige Aktivierung der DF-Bitausbreitung für EDT

    Auf dem NetScaler Gateway-Gerät ist die DF-Bit-Durchsetzung für die Option EDT Path Maximum Transmission Unit Discovery (PMTUD) jetzt standardmäßig aktiviert. Diese Option verhindert eine EDT-Fragmentierung, die zu Leistungseinbußen oder zum Ausfall einer Sitzung führen kann. Zuvor war diese Option standardmäßig deaktiviert. Administratoren mussten die Option mithilfe der ICA-Parametereinstellungen aktivieren.

    [CGOP-22615]

NetScaler Web App Firewall

  • Verwenden Sie CLI oder API, um Signaturen in Ihrer NetScaler Web App Firewall zu aktivieren

    Sie können jetzt einzelne Signaturen in Ihrer NetScaler Web App Firewall über CLI-Befehle oder API-Aufrufe aktivieren. Wählen Sie dazu Signaturen anhand ihrer IDs oder Kategorien aus und legen Sie dann Aktionen fest. Bisher konnten Sie Signaturen nur aktivieren, indem Sie eine Signaturdatei hochladen.

    Example-1:

    import appfw signature DEFAULT object_name -sigRuleId 1001 9882 2000 1250 810 -Enabled ON -Action LOG BLOCK

    Beispiel-2:
    import appfw signature DEFAULT object_name -sigCategory web-misc -Enabled ON -Action LOG BLOCK

    Siehe, So fügen Sie einzelne Signaturen mithilfe der CLIhinzu.

    [NSWAF-9333]

  • Neue Übereinstimmungsmuster für die NetScaler Web App Firewall-Signaturen

    Für die NetScaler Web App Firewall-Signaturen können Sie jetzt die folgenden neuen Matchmuster auswählen:

    • Befehlseinschleusung
    • Grammatik der SQL-Injection
    • Befehlseinschleusungsgrammatik

    Die NetScaler Web App Firewall sucht nach dem ausgewählten Muster und kategorisiert den Angriff.

    Hinweis: Sie können die Signaturregelmuster nur für die benutzerdefinierten Signaturen ändern.

    Weitere Informationen finden Sie unter Hinzufügen von Signaturregelmustern.

    [NSWAF-9280]

  • Globale Listen konfigurieren, um WAF zu umgehen oder Anfragen abzulehnen

    Sie können jetzt globale Listen in einem NetScaler Web App Firewall-Profil konfigurieren, um die Web App Firewall zu umgehen oder Anfragen abzulehnen. Wenn die eingehenden Anfragen mit der globalen Bypass-Liste übereinstimmen, überspringen sie die Web App Firewall in NetScaler. Wenn die eingehenden Anfragen mit der globalen Deny-Liste übereinstimmen, blockiert die NetScaler Web App Firewall diese Anfragen und wendet die definierte Aktion an.

    Die Bypass- und Deny-Listen unterstützen URL-, IPv4- und IPv6-Adressen. Sie können sie mithilfe von Literalen, PCRE und Ausdrücken angeben. Weitere Informationen finden Sie unter Globale Listen verwalten, um WAF zu umgehen oder Anfragen abzulehnen.

    [NSWAF-8981]

  • Vereinfachte Erstellung von NetScaler Web App Firewall-Profilen zum Schutz vor CVEs

    Schützen Sie Ihre NetScaler Appliance, indem Sie eine entsprechende Signatur in der NetScaler Web App Firewall anwenden. Möglicherweise möchten Sie die Appliance vor CVEs schützen, ohne weitere Sicherheitsprüfungen durchzuführen. In diesem Fall können Sie jetzt ein Profil erstellen, das die verbleibenden Prüfungen der NetScaler Web App Firewall deaktiviert.

    Wählen Sie in einem NetScaler Web App Firewall-Profil die Option CVE als Standard aus. Bei dieser Option müssen Sie einfach eine Signatur hinzufügen und binden. Es deaktiviert automatisch die verbleibenden Prüfungen. Zuvor mussten Sie die Sicherheitsprüfungen nacheinander manuell im Profil deaktivieren.

    Weitere Informationen finden Sie unter Erstellen von Web App Firewall-Profilen.

    [NSWAF-8970]

Plattform

  • Unterstützung für VMware vSphere 8.0.0b

    Die NetScaler VPX-Instanz unterstützt jetzt VMware vSphere 8.0.0b (Build 20513097).

    [NSPLAT-25844]

  • Unterstützung für mehrere Dienste mit derselben Autoscaling-Gruppe in der Public Cloud

    Für die Backend-Autoscaling-Funktion in der Public Cloud unterstützt die NetScaler VPX-Instanz jetzt mehrere Dienste mit derselben Autoscaling-Gruppe. Diese Funktion wird in Azure-, AWS- und GCP-Clouds unterstützt. In der NetScaler GUI können Sie verschiedene Cloud-Profile für verschiedene Dienste (unter Verwendung verschiedener Ports) mit derselben Autoscaling-Gruppe in der Cloud erstellen.

    Zuvor war die Unterstützung von NetScaler VPX-Instanzen auf einen einzelnen Dienst pro Autoscaling-Gruppe beschränkt. Sie mussten verschiedene Autoscaling-Gruppen für verschiedene Dienste hinzufügen.

    [NSPLAT-21596]

  • Unterstützung für Mellanox ConnectX-4-NIC mit SR-IOV auf dem VMware ESXi-Hypervisor

    Die NetScaler VPX-Instanz unterstützt jetzt Mellanox ConnectX-4-NIC mit SR-IOV auf dem VMware ESXi-Hypervisor.

    [NSPLAT-20295]

Richtlinien

  • Erhöhung der Grenze der Muster, die an einen Mustersatz gebunden werden können

    In einer NetScaler Appliance können Sie jetzt 50000 Muster an einen Mustersatz binden. Mit der Mustersatzdatei können nur 10000 Muster an einen Mustersatz gebunden werden. Wenn der Mustersatz beim Streaming verwendet wird, können außerdem nur 5000 Muster an diesen Mustersatz gebunden werden. Ein Mustersatz für das Streaming wird im Suchparameter Rewrite Action, im HTTP-Body oder im auf der TCP-Nutzlast basierenden Ausdruck verwendet. Bisher konnten Sie nur 5000 Muster an einen Mustersatz binden.

    [NSPOLICY-2733]

  • Unterstützung für alle Ausdrücke, die den UDP-Headern und -Payloads auf der Client- und Serverseite zugeordnet sind

    Die folgenden Verbesserungen wurden für UDP-Header und -Payloads auf der Client- und Serverseite vorgenommen:

    • Mit dem UDP-Protokoll verknüpfte Ausdrücke werden in clientseitige und serverseitige Ausdrücke aufgeteilt.
    • Frühere Unterstützung war nur für clientseitige Ausdrücke verfügbar, und dieselben Ausdrücke wurden für die Serverseite verwendet.
    • Das UDP-Protokoll unterstützt jetzt serverseitige Ausdrücke. Dieser Ausdruck kann verwendet werden, um den UDP-Quellport, den Zielport, die Länge, die Prüfsumme und die Nutzlast zu extrahieren.
    • Die clientseitigen Ausdrücke wurden ebenfalls verbessert, um Länge, Prüfsumme und Nutzlast aus einem bestimmten UDP-Paket zu extrahieren.
    • Aus Gründen der Abwärtskompatibilität wird ein clientseitiger Ausdruck, der serverseitig verwendet wird, weiterhin unterstützt. Citrix empfiehlt, die serverseitigen Ausdrücke für die Serverseite zu verwenden.

    Weitere Informationen finden Sie unter Ausdrücke für TCP-, UDP- und VLAN-Daten.

    [NSPOLICY-1829]

SSL

  • Unterstützung für die Validierung von signierten Zertifikaten

    Die NetScaler Appliance unterstützt jetzt die Überprüfung signaturübergreifender Zertifikate. Wenn ein Zertifikat von mehreren Ausstellern signiert wurde, ist die Überprüfung erfolgreich, wenn mindestens ein gültiger Pfad zum Stammzertifikat vorhanden ist.

    Wenn eines der Zertifikate in der Zertifikatskette quersigniert war und mehrere Pfade zum Stammzertifikat hatte, suchte die ADC-Appliance früher nur nach einem Pfad. Und wenn dieser Pfad nicht gültig war, schlug die Überprüfung fehl.

    [NSSSL-11259]

System

  • Unterstützung für den direkten Export von Metriken von der NetScaler Appliance nach Prometheus

    NetScaler unterstützt jetzt den direkten Export von Metriken nach Prometheus. Mit dieser Funktion ruft Prometheus Metriken direkt aus den NetScaler-Instanzen ab, ohne dass ein externer Exporteur erforderlich ist. Bisher war eine Exportressource außerhalb der Appliance erforderlich, um Metriken von NetScaler auf den Prometheus-Server zu exportieren.

    Weitere Informationen finden Sie unter Überwachung von NetScaler und Anwendungen mit Prometheus.

    [NSBASE-17100]

Benutzeroberfläche

  • Unterstützung für das 8-MB-Upload-Limit für die systemfile NITRO API

    Das maximale Upload-Limit für die systemfile NITRO API wurde von 2 MB auf 8 MB erhöht.

    [NSCONFIG-7089]

  • Unterstützung für numerische 64-Bit-Werte in NITRO-API-Antworten

    Zuvor gab die NetScaler Appliance eine vorzeichenlose Ganzzahl oder einen langen Eigenschaftstypwert als Zeichenfolge in der NITRO-API-Antwort zurück, da die Integer-Antwort für diese Typen nicht unterstützt wurde. Außerdem gab die Appliance einen Statistik-Counterrate-Wert mit doppeltem Datentyp als Ganzzahl zurück.

    Die NITRO-APIs unterstützen jetzt 64-Bit-Ganzzahlen. Diese Unterstützung ermöglicht es der Appliance, in den NITRO-API-Antworten Folgendes zurückzugeben:

    • der exakte Integer-Wert anstelle einer Zeichenfolge für einen Integer-Datentyp ohne Vorzeichen oder eine lange Ganzzahl.
    • der genaue serialisierte Zählersatzwert anstelle einer Ganzzahl.

    Ein neuer Abfrageparameter largeintsupport wurde eingeführt, um die Unterstützung von 64-Bit-Ganzzahlen in den NITRO-APIs zu aktivieren.

    Wenn largeintsupport in einer NITRO-API-Anfrage auf yes festgelegt ist, gibt die NetScaler Appliance den genauen Ganzzahlwert in der NITRO-API-Antwort zurück. Die frühere Funktionalität wird beibehalten, wenn largeintsupport auf no festgelegt ist, was auch die Standardeinstellung ist.

    [NSCONFIG-5399]

Behobene Probleme

Die Probleme, die in Build 13.1-42.47 behoben wurden.

Authentifizierung, Autorisierung und Auditing

  • Wenn eine NetScaler Appliance aktualisiert wird, können Benutzer nicht mithilfe der RADIUS-Authentifizierung auf die NetScaler Appliance zugreifen.

    [NSHELP-33200]

  • Auf der NetScaler GUI werden im Abschnitt Antwortrichtlinien auf der Seite Virtueller Authentifizierungsserver die Cacherichtlinien für den Respondertyp nicht angezeigt.

    [NSHELP-33111]

  • Die Gateway-Authentifizierung über einen CWA-Client oder native VPN-Clients schlägt möglicherweise fehl, weil Zeichenfolgen im Patset ns_aaa_relaystate_param_whitelist fehlen.

    [NSHELP-33054]

  • Der Kerberos-SSO-Identitätswechsel mit erweiterten Verschlüsselungstypen schlägt möglicherweise fehl, wenn in den SSO-Anmeldeinformationen ein falscher Benutzerprinzipalname verwendet wird.

    [NSHELP-32890, NSHELP-34087]

Bot-Verwaltung

  • Die NetScaler Appliance stürzt während der Verarbeitung einer Bot-Signatur ab, wenn das Format der Signaturdatei ungültig ist.

    [NSHELP-33690]

  • In der NetScaler GUI zeigt die benutzerdefinierte Bot-Signatur eine falsche Basisversion an.

    [NSHELP-33546]

NetScaler SDX-Appliance

  • Wenn Sie eine NetScaler SDX-Appliance aktualisieren, wird in seltenen Fällen das folgende falsche Ereignis in der Management Service-GUI angezeigt:

    “SVM-Version und Hypervisor-Version sind nicht kompatibel”

    [NSHELP-32949]

NetScaler Gateway

  • Eine NetScaler Gateway-Appliance stürzt ab, wenn eine klassische Richtlinie für eine VPN-URL ausgewertet wird.

    [NSHELP-33683, CGOP-20369, NSHELP-34002, NSHELP-34030, NSHELP-34052, NSHELP-34076, NSHELP-34077, NSHELP-34100, NSHELP-34151, NSHELP-34180, NSHELP-34243, NSHELP-34276, NSHELP-34327, NSHELP-34402]

  • Nach dem Upgrade einer NetScaler Appliance funktionieren die RDP-Proxy-URLs nicht mit dem X1-Portaldesign und die Meldung
    “Http/1.1 Object Not Found” wird angezeigt.

    [NSHELP-33676, NSHELP-33845, NSHELP-33921, NSHELP-34032]

  • Wenn eine NetScaler Appliance aktualisiert wird, kann die Appliance während der Verarbeitung des UDP-Datenverkehrs abstürzen.

    [NSHELP-33417, NSHELP-34031]

  • Nach dem Upgrade einer NetScaler Appliance kann auf die RDP-Proxy-URLs nicht mehr zugegriffen werden und die Fehlermeldung “Http/1.1 Object Not Found” wird angezeigt. Dieses Problem tritt auf, wenn die benutzerdefinierten Parameter der RDP-URLs Leerzeichen enthalten.

    [NSHELP-33333]

  • In einem NetScaler Gateway-Setup mit hoher Verfügbarkeit stürzen die primären und sekundären Appliances während eines Failovers möglicherweise ab.

    [NSHELP-33198, NSHELP-33483]

  • Einige der VPN-Sitzungen werden nach einem Failover möglicherweise gelöscht oder von der sekundären ADC-Appliance entfernt.

    [NSHELP-33125]

  • Die NetScaler Gateway-Appliance stürzt möglicherweise ab, wenn HDX Insight aktiviert ist und sich ein Benutzer unmittelbar nach dem Abmelden bei StoreFront anmeldet.

    [NSHELP-32907, NSHELP-33079, NSHELP-33289]

  • In seltenen Fällen kann die NetScaler Appliance beim Abrufen eines STA-Monitors in einer VPN-Bereitstellung abstürzen.

    [NSHELP-32893]

  • Nach dem Upgrade einer NetScaler Gateway-Appliance wird der Abschnitt Konfiguration > In NetScaler-Produkte integrieren nicht in der NetScaler-GUI angezeigt.

    [NSHELP-32335]

  • Der EPA-Scan zur Überprüfung des CA-Zertifikats eines Clientgeräts schlägt auf der NetScaler Appliance fehl, wenn die CA-Zertifikate aus verschiedenen Domänen stammen.

    [NSHELP-32118]

  • Das Citrix EPA-Plug-In für macOS stürzt ab, wenn GSLB auf einer NetScaler-Appliance aktiviert ist.

    [CGOP-22722]

NetScaler Web App Firewall

  • Wenn Sie in der NetScaler Web App Firewall die Streaming- und Feldkonsistenzprüfungen aktivieren, wird die Übertragung der Nutzlast an den Originalserver verzögert. Infolgedessen schlägt die POST-Methode für die Payload fehl.

    [NSHELP-33700]

  • Die Cookie-Hijacking-Umleitung löscht die Abfrageparameter aus der Anforderungs-URL. Infolgedessen schlägt die umgeleitete Anfrage möglicherweise fehl.

    [NSHELP-33633, NSHELP-33812]

Lastausgleich

  • Der sekundäre Knoten kann abstürzen, wenn Sie denselben virtuellen GSLB-Server als Backup für mehrere virtuelle GSLB-Server verwenden.

    [NSHELP-33400, NSHELP-34247]

  • Die NetScaler-Appliance antwortet nicht mit der richtigen Service-IP-Adresse für die GSLB-Domainabfrage, wenn die folgenden Einstellungen auf dem virtuellen GSLB-Server konfiguriert sind:

    1. Die ECS-Option ist aktiviert.
    2. Statische Nähe ist als Lastausgleichsmethode konfiguriert.

    [NSHELP-32879]

Netzwerke

  • In einem Hochverfügbarkeits-Setup im INC-Modus lernt der sekundäre Knoten möglicherweise ungültige Routen vom primären Knoten, wenn die HA-Versionen nicht übereinstimmen.

    [NSHELP-33948]

  • In einer NetScaler-Appliance mit konfiguriertem OSPF-Routing wird die Standardroute nicht installiert, selbst wenn die OSPF-Standardroute LSA vorhanden ist.

    [NSHELP-33070]

  • Bei einigen eingehenden Paketen einer SSH-Sitzung werden möglicherweise fälschlicherweise eine andere Empfangsschnittstellennummer und VLAN-ID angezeigt, wenn alle der folgenden Bedingungen erfüllt sind: nstrace

    • ECMP-Routen für den Client der SSH-Sitzung sind auf der NetScaler Appliance vorhanden.
    • Die SSH-Sitzung ist für einige Sekunden inaktiv.

    [NSHELP-32734]

  • Das Laden der SNMP-MIB-Datei in ein Netzwerk-Morning-Tool schlägt möglicherweise fehl, da der SNMP-Trap-Name dataStreamRateLimitHit in der Datei nicht in der Groß-/Kleinschreibung steht.

    [NSHELP-32634]

  • In einem groß angelegten NAT 64-Setup kann die NetScaler Appliance aufgrund eines internen Fehlers bei der Paket-Engine abstürzen.

    [NSHELP-31985]

  • In einem GSLB-Setup, bei dem eine der GSLB-Site-IP-Adressen in einer Admin-Partition konfiguriert ist, erreichen ARP-Anfragen nach dieser GSLB-Site-IP-Adresse von Upstream-Routern die Admin-Partition nicht. Dieses Problem tritt auf, wenn alle der folgenden Bedingungen erfüllt sind:

    • Ein geteiltes VLAN ist an die Admin-Partition gebunden.
    • Eine SNIP-IP-Adresse, beispielsweise SNIP-1, im selben Subnetz wie die IP-Adresse der GSLB-Site ist im gemeinsam genutzten VLAN vorhanden.
    • Eine weitere SNIP-IP-Adresse, beispielsweise SNIP-2, im selben Subnetz wie die IP-Adresse der GSLB-Site wird hinzugefügt und SNIP-1 wird entfernt.

    [NSHELP-30552]

Plattform

  • Bei einem NetScaler VPX Release 13.1 Build 37.38 auf einem VMware ESX-Hypervisor mit VMXNET3-Schnittstellen sehen Sie im HA-Setup das folgende Verhalten:

    Das NetScaler VPX HA-Paar ist nicht konfiguriert, da die Kommunikation zwischen den HA-Knoten nicht hergestellt wird. Daher wird der Peer-Knotenstatus als UNKNOWN angezeigt.

    [NSPLAT-25677]

  • Wenn Sie Preboot-Benutzerdaten in einer OVF-Vorlage vom ESX vSphere-Client angeben, wendet der ESXi-Host die Preboot-Konfiguration nicht an.

    [NSPLAT-24233, NSPLAT-25551]

  • Die DNS-Auflösung schlägt fehl, wenn Sie mehr als drei DNS-Servernamen in der in AWS VPC festgelegten DHCP-Option konfigurieren. Dieses Problem tritt bei NetScaler VPX-Instanzen mit Versionen vor 13.1 Build 42.x auf.

    [NSHELP-33171]

  • Auf der NetScaler SDX 8015/8400/8600-Plattform sehen Sie möglicherweise einen erhöhten Speicherverbrauch auf Xen Server.

    [NSHELP-32260]

  • Auf einer NetScaler SDX-Appliance mit einer 10G-Schnittstelle kann es zu Übertragungsstörungen kommen, wenn viel Datenverkehr über diese Schnittstelle gesendet wird.

    [NSHELP-31232]

SSL

  • Ein virtueller Server stürzt aufgrund einer ausgefallenen TLS1.3-Verbindung ab, da der NetScaler Appliance der Arbeitsspeicher ausgeht und eine Speicherzuweisungsanforderung beim Start eines TLS 1.3-Handshakes fehlschlägt.

    Mit diesem Fix schlägt die TLS 1.3-Verbindung fehl, aber die Appliance stürzt nicht ab.

    [NSSSL-12200]

  • Ein virtueller Server kann einen TLS 1.3-Handshake fälschlicherweise mit einer decrypt_error Warnung beenden, wenn die folgenden Bedingungen erfüllt sind:

    • Der Client authentifiziert sich mit einem Zertifikat.
    • Der virtuelle Server ist so konfiguriert, dass er eine Zertifikatsstatusüberprüfung mithilfe von OCSP oder einer CRL durchführt.
    • Der Client sendet sowohl Certificate- als auch CertificateVerify-Nachrichten im selben TLS-Datensatz.

    [NSHELP-33355]

  • Wenn Sie nach dem Entbinden der DEFAULT-Verschlüsselung eine Protokollversion auf einem virtuellen Server deaktivieren und später versuchen, eine Verschlüsselung an dieses in der Beschreibung aufgeführte Protokoll zu binden, wird die folgende Fehlermeldung angezeigt.

    No usable ciphers configured on the SSL vserver/service

    Diese Meldung ist falsch, da die Verschlüsselung von anderen Protokollen unterstützt wird, die auf dem virtuellen Server aktiviert sind. Zum Beispiel

    Verschlüsselungsname: TLS1-ECDHE-RSA-AES256-SHA
    Beschreibung: SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014

    Diese Verschlüsselung wird für alle Protokolle ab SSLv3 unterstützt (SSLv3, TLS1, TLS11, TLS12). Wenn Sie SSLv3 auf einem virtuellen Server deaktivieren und dann versuchen, diese Verschlüsselung an diesen virtuellen Server zu binden, wird die Warnung angezeigt, obwohl die Protokolle TLS1, TLS11 und TLS12 auf dem virtuellen Server noch aktiviert sind.

    Mit diesem Fix wird die Warnung nur angezeigt, wenn eine Verschlüsselung für die Konfiguration nicht unterstützt wird.

    [NSHELP-32739]

  • Die NetScaler Appliance erlaubt keine Konfiguration von Zertifikaten, die ein notBefore date vor 1970 haben.

    [NSHELP-32677]

  • Die NetScaler-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen erfüllt sind:

    • Ein Client sendet frühe TLS1.3-Daten in der Client-Hello-Nachricht an einen virtuellen SSL Insight-Server.
    • ECDHE-Verschlüsselungen sind auf diesem virtuellen Server aktiviert.

    [NSHELP-31560]

System

  • Kundenanwendungen, die nicht RFC-konform sind (RFC 7230), können nach einem Upgrade auf NetScaler 13.1 fehlschlagen. Dieser Fehler tritt aufgrund einer obligatorischen Konformitätsprüfung auf, die auf der NetScaler Appliance erzwungen wird, um RFC 7230 zu erfüllen.

    Im Rahmen des Fixes wird diese spezifische Konformitätsprüfung in den HTTP-Profilparameter “-markRfc7230NonCompliantInval” verschoben. Kunden können diese zuvor erzwungene Konformitätsprüfung deaktivieren.

    [NSHELP-34046]

  • Eine NetScaler Appliance stürzt möglicherweise ab, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Das Inhaltsinspektionsgerät sendet eine Reset-Antwort (RST) an die ADC-Appliance, und eine der IPS-Ressourcen (Intrusion Prevention System) wird nicht ordnungsgemäß gelöscht.
    • Bei weiteren Transaktionen wird auf dieselbe IPS-Ressource zugegriffen.

    [NSHELP-33691]

  • In einigen Fällen kann eine NetScaler Appliance abstürzen, während eine Korrekturbestätigung verarbeitet wird, die von einer Serververbindung gesendet wird, die sich im Status TIME_WAIT befindet.

    [NSHELP-33469]

  • Eine NetScaler-Appliance stürzt möglicherweise ab, wenn sie versucht, auf Ressourcen auf dem freigegebenen ICAP zuzugreifen. Dieser Zustand tritt auf, wenn sich das ICAP im Modus Response Modification (RESPMOD) befindet.

    [NSHELP-33403]

  • Die NetScaler-Appliance kann Logstream-Daten nicht konsistent von Partitionen senden.

    [NSHELP-33237]

  • Die NetScaler-Appliance bricht die Verbindung ab, wenn der Chunk-Wert nicht analysiert werden kann. Dieses Problem tritt auf, wenn der Transfer-Encoding-Header mehrere Werte hat und Chunked nicht der erste Wert ist.

    [NSHELP-32420]

  • Die NetScaler Appliance stürzt möglicherweise ab, wenn sie ein korrektives ACK-Paket verarbeitet, das sich auf eine serverseitige TCP-Verbindung bezieht.

    [NSHELP-32290]

  • Die mit einem SSL-Dienst konfigurierte NetScaler-Appliance stürzt ab, wenn die Appliance ein TCP-FIN-Steuerpaket empfängt, gefolgt von einem TCP-RESET-Steuerpaket.

    [NSHELP-31656]

Benutzeroberfläche

  • Wenn Sie ein NetScaler Web App Firewall-Profil vom Typ JSON erstellen und versuchen, die Profileinstellungenzu aktualisieren, zeigt das JSON-Fehlerobjekt eine leere Liste an.

    [NSUI-18453]

  • Ein Systembenutzerkonto, das an eine Reihe von Admin-Partitionen gebunden ist, kann möglicherweise nicht über die NITRO-APIs auf die Standardpartition zugreifen, selbst wenn die Option Standardpartition zulassen als Teil der globalen Systemeinstellungen aktiviert ist.

    [NSHELP-33990]

  • Der Link für NetScaler-Bot-Verwaltungsprofile wird fälschlicherweise auf der Seite Traffic Management > Content Switching angezeigt. Wenn Sie auf diesen Link klicken, wird eine leere Seite angezeigt. Dieses Problem tritt auf, wenn Sie eine Bot-Richtlinie an den virtuellen Content Switching-Server binden.

    [NSHELP-33697]

  • Die Anmeldung an der NetScaler GUI schlägt fehl, wenn Ihr Benutzername oder Domainname ein Sonderzeichen enthält.

    [NSHELP-33684]

  • Wenn Sie die laufenden NetScaler-Konfigurationen löschen, wird die NetScaler-Verwaltungssitzung, die durch eine klassische TACACS-Konfiguration erstellt wurde, getrennt, auch wenn der Parameter RBAconfig auf NEIN gesetzt ist.

    [NSHELP-33655]

  • Wenn ein Benutzer die Bindung in einer Content Switching-Richtlinie betrachtet, werden die Details des virtuellen Content Switching-Servers nicht in derselben Zeile unter Bindungen anzeigen angezeigt.

    [NSHELP-33149]

  • Unterstützung der Abschaltoption in der Shutdown-NITRO-API

    Die shutdown NITRO-API unterstützt jetzt die Option “-p now” zum Herunterfahren und Ausschalten einer NetScaler-Appliance.

    Beispiel:

    Im folgenden Beispiel einer Curl-Anfrage wird die shutdown NITRO-API mit der Option “-p now” verwendet, um eine NetScaler-Appliance mit der IP-Adresse 192.0.0.33 herunterzufahren und auszuschalten.

    `curl -v -X POST -H Content-Type: application/json -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/install?warning=yes -d ‘{“shutdown”: {“args”:”-p now”}}’`

    [NSHELP-32915]

  • Nachdem Sie ein Profil für NetScaler Web App Firewall erstellt und versucht haben, den Konfigurationsbericht der Anwendungsfirewall unter System > Berichtezu generieren, wird der folgende Fehler angezeigt:

    “Das PDF-Dokument konnte nicht geladen werden. “

    [NSHELP-32469]

  • Im Cluster-Setup wird die TFTP-Option nicht in der Protokollliste angezeigt, wenn ein virtueller Server mit der NetScaler GUI erstellt wird.

    [NSHELP-32036]

  • Auf der NetScaler GUI können die Seite mit den Systemprotokolldateien (Konfiguration > System > Überwachung > Syslog-Meldungen ) und die Seite Protokolle (Konfiguration > Authentifizierung > Protokolle) die Protokolldateien nicht laden.

    [NSHELP-30868]

  • Auf der NetScaler GUI zeigt der Konfigurationsbildschirm Saved vs Running (System > Diagnostics) fälschlicherweise HTML-Tags an, anstatt Klartext anzuzeigen.

    [NSHELP-27169]

  • Beim Anzeigen der Richtlinien, die an ein Content-Switching-Richtlinienlabel gebunden sind, in der NetScaler GUI werden nur 25 Richtlinien angezeigt, obwohl mehr Richtlinien an diese Richtlinienbezeichnung gebunden sind.

    [NSHELP-23428]

Bekannte Probleme

Die Probleme, die in Version 13.1-42.47 bestehen.

AppFlow

  • HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

    [NSINSIGHT-943]

Authentifizierung, Autorisierung und Auditing

  • Administratoren können keine benutzerdefinierte Protokollierung für Authentifizierungsfehler durchführen, die auf ungültige Anmeldeinformationen zurückzuführen sind. Dieses Problem tritt auf, weil die NetScaler-Responder-Richtlinien Fehler für Anmeldefehler nicht erkennen können.

    [NSAUTH-11151]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven NetScaler im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

    [NSAUTH-5916]

  • Die Seite Authentifizierung LDAP-Server konfigurieren auf der NetScaler-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

    • Die Option LDAP-Erreichbarkeit testen wird geöffnet.
    • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
    • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

    Problemumgehung: Schließen Sie die Option LDAP Reachability testen und öffnen Sie sie.

    [NSAUTH-2147]

NetScaler SDX-Appliance

  • Paketverluste werden auf einer VPX-Instanz angezeigt, die auf einer NetScaler SDX-Appliance gehostet wird, wenn die folgenden Bedingungen erfüllt sind:

    • Der Durchsatzzuweisungsmodus ist Burst.
    • Es besteht ein großer Unterschied zwischen dem Durchsatz und der maximalen Burstkapazität.

    [NSHELP-21992]

NetScaler Gateway

  • Wenn die Registrierungswerte für Citrix Secure Access mehr als 1500 Zeichen umfassen, kann der Log Collector die Fehlerprotokolle nicht erfassen.

    [NSHELP-33457]

  • Bei Verwendung des Windows Filtering Platform (WFP) -Treibers funktioniert der Intranetzugriff manchmal nicht, nachdem das VPN erneut verbunden wurde.

    [NSHELP-32978]

  • Der Citrix Secure Access-Client, Version 21.7.1.2 und höher, kann für Benutzer ohne Administratorrechte nicht auf neuere Versionen aktualisiert werden. Dieses Problem tritt nur auf, wenn das Citrix Secure Access-Client-Upgrade von einer NetScaler-Appliance aus durchgeführt wird.

    [NSHELP-32793]

  • Wenn Benutzer auf dem Citrix Secure Access-Bildschirm für Windows auf die Registerkarte Startseite klicken, wird auf der Seite der Fehler “Verbindung verweigert” angezeigt.

    [NSHELP-32510]

  • Auf einem Mac-Gerät, das Chrome verwendet, stürzt die VPN-Erweiterung beim Zugriff auf zwei FQDNs ab.

    [NSHELP-32144]

  • In einigen Fällen führen leere Proxyeinstellungen in NetScaler Gateway Version 13.0 oder 13.1 dazu, dass Citrix SSO falsche Proxyeinstellungen erstellt.

    [NSHELP-31970]

  • Die Debug-Protokollierungssteuerung für den Citrix Secure Access-Client ist jetzt unabhängig von NetScaler Gateway und kann über die Plugin-Benutzeroberfläche sowohl für den Computer als auch für den Benutzertunnel aktiviert oder deaktiviert werden.

    [NSHELP-31968]

  • Direkte Verbindungen zu Ressourcen außerhalb des von Citrix Secure Access eingerichteten Tunnels schlagen möglicherweise fehl, wenn es zu einer erheblichen Verzögerung oder Überlastung kommt.

    [NSHELP-31598]

  • Eine benutzerdefinierte EPA-Fehlerprotokollmeldung wird im NetScaler Gateway-Portal nicht angezeigt. Stattdessen wird die Meldung “interner Fehler” angezeigt.

    [NSHELP-31434]

  • Manchmal funktioniert die automatische Windows-Anmeldung nicht, wenn sich ein Benutzer im Always-On-Dienstmodus am Windows-Computer anmeldet. Der Maschinentunnel geht nicht zum Benutzertunnel über und die Meldung “Verbindung wird hergestellt… “wird in der Benutzeroberfläche des VPN-Plug-ins angezeigt.

    [NSHELP-31357, CGOP-21192, NSHELP-34211]

  • Wenn Always on konfiguriert ist, schlägt der Benutzertunnel aufgrund der falschen Versionsnummer (1.1.1.1) in der Datei aoservice.exe fehl.

    [NSHELP-30662]

  • Benutzer können keine Verbindung zur NetScaler Gateway-Appliance herstellen, nachdem sie den Profilparameter “networkAccessOnVPNFailure” von “fullAccess” auf “onlyToGateway” geändert haben.

    [NSHELP-30236]

  • Die Gateway-Startseite wird nicht sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat Um dieses Problem zu beheben, wird der folgende Registrierungswert eingeführt.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Typ: DWORD

    Standardmäßig wird dieser Registrierungswert nicht festgelegt oder hinzugefügt. Wenn der Wert von “SecureChannelResetTimeoutSeconds” 0 ist oder nicht hinzugefügt wird, funktioniert der Fix zur Behandlung der Verzögerung nicht. Dies ist das Standardverhalten. Der Administrator muss diese Registrierung auf dem Client einrichten, um das Update zu aktivieren (das heißt, die Homepage wird sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat).

    [NSHELP-30189]

  • Der Windows VPN-Client berücksichtigt die Warnung “SSL-Benachrichtigung zum Schließen” des Servers nicht und sendet die Anmeldeanforderung für die Übertragung über dieselbe Verbindung.

    [NSHELP-29675]

  • Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

    [NSHELP-28551]

  • Manchmal wird ein Benutzer innerhalb weniger Sekunden bei NetScaler Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

    [NSHELP-28404]

  • Das VPN-Plug-in richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

    • NetScaler Gateway-Appliance ist für Always On konfiguriert
    • Die Appliance ist für die zertifikatsbasierte Authentifizierung konfiguriert, wobei die Zweifaktorauthentifizierung deaktiviert ist

    [NSHELP-23584]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Cannot read property ‘type’ of undefined”.

    [NSHELP-21897]

  • In einem NetScaler-Cluster-Setup können HDX Insight und Gateway Insight nicht gleichzeitig aktiviert werden.

    [CGOP-23570]

  • Die Windows-Betriebssystemoption ist in der Dropdownliste des Expression Editors für Vorauthentifizierungsrichtlinien und Authentifizierungsaktionen auf der NetScaler GUI nicht aufgeführt. Wenn Sie den Windows-Betriebssystemscan jedoch bereits in einem früheren NetScaler-Build mithilfe der GUI oder der CLI konfiguriert haben, hat das Upgrade keine Auswirkungen auf die Funktionalität. Sie können die CLI verwenden, um bei Bedarf Änderungen vorzunehmen.

    Workaround:

    Verwenden Sie die CLI-Befehle für die Konfiguration.

    • Verwenden Sie den folgenden Befehl, um die erweiterte EPA-Aktion in der nFactor-Authentifizierung zu konfigurieren.
      Authentifizierung hinzufügen ePAAction adv_win_scan -csecexpr “sys.client_expr (“sys_0_Win-OS_Name_Anyof_Win-10 [KOMMENTAR: Windows OS]”)”
    • Verwenden Sie die folgenden Befehle, um eine klassische Vorauthentifizierungsaktion zu konfigurieren.
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]') EXISTS" win_scan_action

    [CGOP-22966]

  • Wenn Sie Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf NetScaler Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und in Version 12.1 nicht verfügbar sind.

    [CGOP-19355]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [CGOP-13584]

  • In einem Hochverfügbarkeitssetup wird während des NetScaler-Failovers die SR-Anzahl anstelle der Failover-Anzahl in NetScaler ADM erhöht.

    [CGOP-13511]

  • Wenn eine ICA-Verbindung von einem MAC-Receiver Version 19.6.0.32 oder Citrix Virtual Apps and Desktops Version 7.18 gestartet wird, ist die HDX Insight-Funktion deaktiviert.

    [CGOP-13494]

  • Wenn die EDT Insight-Funktion aktiviert ist, können Audiokanäle manchmal während einer Netzwerkabweichung ausfallen.

    [CGOP-13493]

  • Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

    [CGOP-13050]

  • Der Text “Homepage” in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

    [CGOP-13049]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die NetScaler-GUI hinzufügen oder bearbeiten.

    [CGOP-11830]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem kritischen Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [CGOP-7269]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

    [NSLB-7679]

  • Das serviceGroupName-Format im entityofs-Trap für die Dienstgruppe lautet wie folgt:
    <service(group)name>?<ip/DBS>?<port>

    Im Trapformat wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Separator verwendet. Der NetScaler sendet den Trap mit dem Fragezeichen (?). Das Format erscheint in der NetScaler ADM GUI gleich. Dies ist das erwartete Verhalten.

    [NSHELP-28080]

Sonstiges

  • Wenn eine erzwungene Synchronisierung in einem Hochverfügbarkeitssetup stattfindet, führt die Appliance den Befehl set urlfiltering parameter im sekundären Knoten aus.
    Daher überspringt der sekundäre Knoten jedes geplante Update bis zur nächsten geplanten Zeit, die im Parameter “TimeOfDayToUpdateDB” angegeben ist.

    [NSSWG-849]

  • Die AlwaysOnAllow Listenregistrierung funktioniert nicht wie erwartet, wenn der Registrierungswert größer als 2000 Byte ist.

    [NSHELP-31836]

  • Eine NetScaler-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter der URL-Filterung auftritt.

    [NSHELP-22409]

Netzwerke

  • In einer NetScaler BLX-Appliance mit DPDK-Unterstützung werden getaggte VLANs für DPDK-Intel i350-NIC-Ports nicht unterstützt. Dies wird beobachtet, da es sich um ein bekanntes Problem im DPDK-Treiber handelt.

    [NSNET-25299]

  • Eine NetScaler BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn alle folgenden Bedingungen erfüllt sind:

    • Die NetScaler BLX-Appliance wird mit einer geringen Anzahl von zugewiesen hugepages. Zum Beispiel 1G.
    • Der NetScaler BLX-Appliance wird eine hohe Anzahl von Arbeitsprozessen zugewiesen. Zum Beispiel 28.

    Das Problem wird als Fehlermeldung in “/var/log/ns.log” protokolliert:

    • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

    Hinweis: x ist eine Zahl <= Anzahl von Arbeitsprozessen.

    Problemumgehung: Weisen Sie eine hohe Anzahl von zu hugepages und starten Sie die Appliance dann neu.

    [NSNET-25173]

  • Der Neustart einer NetScaler BLX-Appliance im DPDK-Modus kann aufgrund der einfachen DPDK-Funktionalität etwas länger dauern.

    [NSNET-24449]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer NetScaler BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Smartcard
    • Reset

    [NSNET-16559]

  • Die Installation einer NetScaler BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

    The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine NetScaler BLX-Appliance installieren:

    • dpkg --add-architecture i386
    • apt-get update
    • apt-get install libc6:i386

    [NSNET-14602]

  • In einigen Fällen von FTP-Datenverbindungen führt die NetScaler-Appliance nur NAT-Operationen und keine TCP-Verarbeitung für die Pakete für die TCP-MSS-Aushandlung aus. Infolgedessen ist die optimale Schnittstellen-MTU nicht für die Verbindung eingestellt. Diese falsche MTU-Einstellung führt zu einer Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

    [NSNET-5233]

  • Die NetScaler-Appliance generiert nach einem Kaltstart möglicherweise keine “ColdStart” -SNMP-Trap-Meldungen.

    [NSHELP-27917]

  • Wenn ein Speicherlimit für die Administratorpartition in der NetScaler-Appliance geändert wird, wird das TCP-Pufferspeicherlimit automatisch auf das neue Speicherlimit der Administratorpartition festgelegt.

    [NSHELP-21082]

Plattform

  • Einige Python-Pakete werden nicht installiert, wenn Sie die NetScaler-Appliance von Version 13.1-4.x und höheren Versionen auf eine der folgenden Versionen herabstufen:

    • Jeder 11.1-Build
    • 12.1-62,21 und früher
    • 13.0-81.x und früher

    [NSPLAT-21691]

  • Wenn Sie eine Autoscale-Einstellung oder einen VM-Skalierungssatz aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der NetScaler-Instanz. Verwenden Sie den Befehl rm cloudprofile, um das Profil zu löschen.

    [NSPLAT-4520]

  • In einem Hochverfügbarkeitssetup auf Azure wird bei der Anmeldung am sekundären Knoten über die GUI der Bildschirm für den Erstbenutzer (FTU) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt.
    Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich am primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil sollte immer auf dem primären Knoten konfiguriert werden.

    [NSPLAT-4451]

Richtlinien

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [NSPOLICY-1267]

SSL

  • Auf einem heterogenen Cluster von NetScaler SDX 22000 und NetScaler SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Zum Beispiel set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die NetScaler-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

  • Ein abgelaufenes Sitzungsticket wird nach einem HA-Failover auf einem Nicht-CCO-Knoten und auf einem HA-Knoten berücksichtigt.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

  • Ein hoher RTT wird für eine TCP-Verbindung beobachtet, wenn die folgende Bedingung erfüllt ist:

    • ein hohes maximales Überlastungsfenster (>4 MB) ist eingestellt
    • Der TCP-NILE-Algorithmus ist aktiviert

    Damit eine NetScaler-Appliance den NILE-Algorithmus zur Überlastungskontrolle verwenden kann, müssen die Bedingungen den Schwellenwert für den langsamen Start überschreiten, der mit dem Fenster für maximale Überlastung gekoppelt ist.

    Bis das maximal konfigurierte Überlastungsfenster erreicht ist, akzeptiert der NetScaler weiterhin Daten und endet mit einem hohen RTT.

    [NSHELP-31548]

  • Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 gesetzt, wenn die Appliance den max_concurrent_stream-Einstellungsframe nicht vom Client empfängt.

    [NSHELP-21240]

  • Die mptcp_cur_session_without_subflow-Zähler verringern fälschlicherweise auf einen negativen Wert statt auf Null.

    [NSHELP-10972]

  • In seltenen Fällen können Streams, die vor der Erstellung des HTTP/2-WebSocket-Streams erstellt wurden, beendet werden, wenn die serverseitige Verbindung von WebSocket geschlossen wird.

    Dieses Problem tritt auf, weil die NetScaler-Appliance kein Verbindungsmultiplexing für HTTP/2-WebSocket unterstützt.

    Problemumgehung: Deaktivieren Sie das Verbindungsmultiplexing für das zugehörige HTTP2-Profil, indem Sie den folgenden Befehl verwenden:

    set httpProfile <name> [-conMultiplex ( ENABLED | DISABLED )]

    [NSBASE-17449]

  • Wenn Sie in einer Cluster-Bereitstellung den Befehl “Force Cluster Sync” auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

    [NSBASE-16304, NSGI-1293]

  • Wenn Sie NetScaler ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

    Problemumgehung: Starten Sie den Management-Pod neu.

    [NSBASE-15556]

  • Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

    [NSBASE-8506]

Benutzeroberfläche

  • In der NetScaler-GUI ist der Link “Hilfe” auf der Registerkarte “Dashboard” defekt.

    [NSUI-14752]

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie Cloudbridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der NetScaler GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Wenn Sie über die GUI einen ECDSA-Schlüssel erstellen, wird der Kurventyp nicht angezeigt.

    [NSUI-6838]

  • In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

    • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

    Problemumgehung: Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Status “Synchronisierung erfolgreich”).

    [NSHELP-25598]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer NetScaler-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften NetScaler-Appliance anmelden.

    1. Aktualisieren Sie die NetScaler-Appliance auf einen der Builds
      • Build 13.0 52.24
      • Build 12.1 57.18
      • Build 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
    3. Downgrade der NetScaler-Appliance auf einen älteren Build.

    Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie
    in der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Problemumgehung: Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die NetScaler-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die NetScaler-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
    • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter /en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [NSCONFIG-3188]

Versionshinweise für NetScaler 13.1-42.47 Release
May 11, 2023
Beitrag von: 
C
May 11, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.