Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Versionshinweise für NetScaler 14.1—4.42

March 17, 2024
Beitrag von: 
C

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die NetScaler-Version Build 14.1—4.42 bestehen.

Hinweise

  • Dieses Dokument mit den Versionshinweisen enthält keine sicherheitsrelevanten Fixes. Eine Liste mit sicherheitsrelevanten Fixes und Hinweisen finden Sie im Citrix Security Bulletin.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 14.1—4.42 verfügbar sind.

Analytics-Infrastruktur

  • Unterstützung für den direkten Export von NetScaler-Ereignissen nach Splunk

    Sie können die auf NetScaler generierten Ereignisse jetzt direkt nach Splunk exportieren. Mithilfe von Splunk-Dashboards können Sie die exportierten Daten visualisieren und aussagekräftige Einblicke erhalten.

    Weitere Informationen finden Sie unter Exportieren von Audit-Logs und Ereignissen direkt von NetScaler nach Splunk.

    [NSANINFRA-3892]

Authentifizierung, Autorisierung und Prüfung

  • Referenzwerte für Authentifizierungskontextklassen speichern

    NetScaler, der als on-premises IdP konfiguriert ist, kann ACR-Werte (Authentication Context Class Reference) speichern, die von Citrix Workspace zur Unterstützung der Multidomänen-Anmeldefunktion der Citrix Workspace-Plattform bereitgestellt werden. Wenn Citrix Workspace die ACR-Werte an den OAuth-Autorisierungsendpunkt des NetScaler-IdP sendet, speichert NetScaler die ACR-Werte.

    Die Richtlinienausdrücke aaa.user.wsp.eq("URL") und aaa.user.acr_values.value("wsp").eq("URL") werden im Rahmen dieser Unterstützung eingeführt. Sie können die ACR-Werte verwenden, um den nächsten Faktor im nFactor-Flow zu bestimmen. Weitere Informationen finden Sie unter Referenzwerte der Store Authentication Context Class.

    [ NSAUTH-12981 ]

NetScaler Anwendungsbereitstellung und Sicherheitsanalyse

  • Unterstützung für einen erweiterten StoreFront-Monitor

    NetScaler führt einen erweiterten StoreFront-Monitor ein, der die Authentifizierung und App-Enumeration im Citrix StoreFront-Store im Namen eines Testbenutzerkontos simulieren kann. Sie müssen dieses Konto in StoreFront für die Überwachung vorkonfigurieren und aktivieren. Geben Sie die Anmeldeinformationen des Testbenutzers, den Speichernamen und das nssf_extend.pl Skript an, um die Funktionen dieses Monitors nutzen zu können. Weitere Informationen finden Sie unter Erweiterte StoreFront-Überwachung.

    [NSADSA-805]

NetScaler Gateway

  • Verbesserungen am Gateway Insights-Dashboard
    Die Seite Gateway > Gateway Insight Overview der NetScaler ADM GUI wurde unter EPA (End Point Analysis) um die folgenden Funktionen erweitert:
    • EPA-Fehler werden auch für fortgeschrittenes EPA angezeigt. Die Fehler können gemeldet werden, wenn EPA als Faktor in einem nFactor-Authentifizierungsablauf konfiguriert ist.
    • Fehlerbeschreibung: Im Feld Fehlerbeschreibung wird die Meldung “Fehler bei der EPA-Pre-Auth-Prüfung” angezeigt, wenn eine EPA-Prüfung fehlschlägt.
    • Fall-ID: Im Feld Benutzername wird die Fall-ID bei Einträgen angezeigt, denen kein Benutzername zugewiesen wurde, wenn EPA als Faktor in einem nFactor-Flow verwendet wird.

    Weitere Informationen finden Sie unter Gateway Insight.

    [ CGOP-17730 ]

NetScaler SDX-Appliance

  • Informationen zum Ablauf der Abonnementlizenz anzeigen

    Sie können jetzt Informationen zum Ablauf der NetScaler SDX-Abonnementlizenz im Management Service anzeigen, indem Sie zu System > Lizenzen navigieren.

    [NSSVM-5629]

  • Höhere Lizenzlimits für NetScaler SDX 9100 Appliance

    Das Lizenzlimit für die NetScaler SDX 9100 Appliance wurde von 30 G auf 95 G erhöht.

    [NSSVM-5609]

  • Aktivieren, Deaktivieren und Bearbeiten von BMC-Einstellungen (LOM) mithilfe der Management Service-Benutzeroberfläche

    Sie können jetzt BMC-Einstellungen (LOM) mithilfe der Management Service-Benutzeroberfläche aktivieren, deaktivieren und bearbeiten. Navigieren Sie zu Konfiguration > System > Systemeinstellungen > BMC-Einstellungen konfigurieren. Die folgenden Einstellungen werden für alle Plattformen angezeigt.

    • IP-Adresse
    • Subnetzmaske
    • Standard-Gateway

    Auf den Plattformen SDX 9100 und SDX 16000 wird auch die LOM Access-Einstellung angezeigt. Der LOM-Zugriff muss entsperrt sein, um die anderen Einstellungen bearbeiten zu können.

    [NSSVM-5558]

  • Wechseln Sie zur Häufigkeit der XenServer-Statusüberwachung und zu Ping-Fehlerwarnungen

    Die Häufigkeit der Überwachung der Integritätseigenschaften für einen XenServer wurde von 14 Sekunden auf 1 Minute geändert. Wenn ein Ping an den XenServer fehlschlägt, wird außerdem erst nach 10 ununterbrochenen Ausfällen eine Warnung ausgelöst. Zuvor wurde für jeden Fehler eine Warnung ausgelöst.

    [NSSVM-5510]

  • Sichern Sie VPX-Partitionen während der Backup einer SDX-Appliance

    Eine NetScaler SDX-Appliance sichert und stellt jetzt die folgenden Eigenschaften von VPX-Partitionen während der Backup und Wiederherstellung der SDX-Appliance wieder her.

    • Responder-Datei
    • MACs partitionieren

    [NSSVM-5230]

NetScaler Secure Web Gateway

  • Veraltete URL-Kategorisierung in der URL-Filterfunktion

    Die URL-Kategorisierung in der URL-Filterfunktion ist in dieser Version veraltet.

    Hinweis: Veraltete Funktionen werden nicht sofort entfernt. NetScaler behält die veraltete Funktion weiterhin bei, bis sie in einer zukünftigen Version entfernt wird.

    [NSSWG-1370]

Netzwerke

  • Komprimierte Core-Dumps für die NetScaler BLX-Appliance Jetzt generiert die NetScaler BLX-Appliance komprimierte Core-Dumps, wenn der Parameter core-dumps in der NetScaler BLX-Konfigurationsdatei (blx.conf) aktiviert ist. Weitere Informationen finden Sie unter Konfigurieren komprimierter Core-Dumps für NetScalerBLX.

    [NSNET-28478]

  • Konfigurierbarer interner HTTPS-Dienst

    Sie können den internen HTTPS-Dienst jetzt mithilfe von GUI-, CLI- NITRO-APIs konfigurieren. Sie können beispielsweise die NetScaler CLI verwenden, um die maximale Anzahl von Clients zu ändern, die gleichzeitig eine Verbindung zum internen HTTPS-Dienst herstellen können.

    Der interne HTTPS-Dienst hat das folgende Namensformat: nshttps-<loop back IP address>-443

    Verwenden Sie die NetScaler-Dienstbefehlsoperationen, um den internen HTTPS-Dienst zu konfigurieren.

    [NSNET-15878, NSHELP-22575]

  • Die Befehlsweiterleitung ist während der HA-Synchronisierung deaktiviert Bei Hochverfügbarkeits-Setups ist die Befehlsweiterleitung während der HA-Synchronisierung deaktiviert, um Fehler bei der Befehlsverbreitung während der HA-Synchronisierung zu verhindern. Weitere Informationen finden Sie unter Konfiguration der Befehlsweiterleitung.

    [NSHELP-34253]

  • Large Scale NAT-Funktion ist veraltet

    Die Large Scale NAT (LSN) -Funktion, die LSN44, Dual-Stack Lite und LSN64 umfasst, ist in dieser Version veraltet. Weitere Informationen finden Sie unter Large Scale NAT.

    Hinweis: Veraltete Funktionen werden nicht sofort entfernt. Die NetScaler Appliance unterstützt die veraltete Funktion weiterhin, bis sie in einer zukünftigen Version entfernt wird.

    [NSNET-27990]

Plattform

  • Entfernung der Unterstützung für NetScaler MPX 5500, MPX 7500 und MPX 17500

    NetScaler MPX 5500, MPX 7500/9500 und MPX 17500/19500/21500 werden mit NetScaler Firmware 14.1 nicht unterstützt.

    [NSPLAT-25839]

SSL

  • Ratenbegrenzende SSL-Neuverhandlungen

    Wenn die SSL-Neuverhandlung aktiviert ist, gibt es keine Begrenzung für die Anzahl der Neuverhandlungsanfragen an einen NetScaler. Infolgedessen stoppt NetScaler möglicherweise die Verarbeitung von SSL-Verkehr, wenn es eine große Anzahl von Neuverhandlungsanfragen erhält. Diese Funktion begrenzt die Anzahl der Neuverhandlungsanfragen, die innerhalb einer Sekunde auf einer SSL-Entität eingehen.

    In den folgenden Befehlen ist „MaxRenegrate“ beispielsweise auf 100 gesetzt. Infolgedessen sind maximal 100 Anfragen pro Sekunde an alle Entitäten zulässig, an die das Profil gebunden ist. Sie können diesen Parameter festlegen, indem Sie den add ssl profile Befehl verwenden, wenn Sie ein SSL-Profil hinzufügen. Verwenden Sie den set ssl profile Befehl, um diesen Parameter festzulegen, nachdem Sie ein SSL-Profil hinzugefügt haben.

    set ssl profile pf1 -denySSLReneg (NO | FRONTEND_CLIENT | FRONTEND_CLIENTSERVER | NONSECURE) -maxRenegRate 100

    add ssl profile pf1 -denySSLReneg (NO | FRONTEND_CLIENT | FRONTEND_CLIENTSERVER | NONSECURE) -maxRenegRate 100

    Weitere Informationen finden Sie unter SSL-Neuverhandlungen mit Ratenbegrenzung.

    [NSSSL-12186]

  • Unterstützung für das TLS 1.3-Protokoll auf Backend-Diensten, Servicegruppen und Monitoren

    Back-End-Dienste, Dienstgruppen und Monitore unterstützen jetzt das TLS 1.3-Protokoll bei der Verbindung mit Backend-Servern. Weitere Informationen finden Sie unter Unterstützung für das TLS 1.3-Protokoll.

    [NSSSL-5970]

System

  • Verbesserter Schutz vor TCP-Spoofing-Angriffen

    Ab der NetScaler ADC 14.1-4.x-Version ist NetScaler mit RFC5961 kompatibel, was einen verbesserten Schutz vor TCP-Spoofing-Angriffen bietet. Mit der RFC 5961-Konformität bietet NetScaler zusätzlich zur RST-Fensterdämpfung und dem SYN-Spoof-Schutz die folgenden Funktionen:

    • Reduziert die Wahrscheinlichkeit einer ungültigen Dateneinspeisung.
    • Ermöglicht die Begrenzung der Anzahl der vom NetScaler gesendeten Challenge-ACK-Antworten pro Sekunde.

    Wenn Sie die RFC 5961-Konformität aktivieren, antwortet NetScaler mit einer Challenge-Bestätigung (ACK), wenn inakzeptable RST, SYN oder ACK gemäß RFC 5961-Konformität empfangen werden. Sie können die RFC 5961-Konformität sowohl mit der CLI als auch mit der GUI aktivieren. Weitere Informationen finden Sie unter TCP-Konfigurationen.

    [NSBASE - 17086]

Benutzeroberfläche

  • Beschränken Sie gleichzeitige Sitzungen für Benutzer auf Systemebene

    Sie können jetzt die Anzahl der gleichzeitigen Sitzungen begrenzen, die für alle Benutzer auf Systemebene zulässig sind. Mit dem Parameter maxsessionperuser im Befehl set system parameter können Sie dieses Limit festlegen.

    set system parameter maxsessionperuser <positive integer>

    Wenn der Systembenutzer auf dem NetScaler erstellt wurde und das maxsession Limit für den Systembenutzer festgelegt ist, maxsession hat es Vorrang vor diesem Limit auf Systemebene ().maxsessionperuser

    [NSCONFIG -6546]

Behobene Probleme

Die Probleme, die nach der Feature-Version 13.1-48.x behoben wurden.

Analytics-Infrastruktur

  • Wenn ein Netzprofil in einer nicht standardmäßigen Verkehrsdomäne konfiguriert und in der AppFlow-Konfiguration verwendet wird, sind die Systemports erschöpft und der Datenverkehr ist beeinträchtigt.

    [ NSHELP-34544 ]

  • Die Datei ns.log generiert die Debug-Protokolle auch dann, wenn die Audit-Protokollebene auf “Keine” gesetzt ist und daher die konfigurierte Dateigrößenbeschränkung überschreitet. Das Problem tritt auf, weil die erweiterte Richtlinie an die lokale Protokollierung gebunden ist, obwohl sie nicht erforderlich ist.

    [NSHELP-32404]

Authentifizierung, Autorisierung und Prüfung

  • Ein mit einer OAuth-Authentifizierungsrichtlinie konfigurierter NetScaler stürzt möglicherweise ab, wenn ein Zertifikat mit elliptischer Kurve global an das VPN gebunden ist.

    [NSHELP-34795]

  • Ein HTTP 404-Fehler wird angezeigt, wenn ein Benutzer versucht, sich nach Ablauf der Sitzung mit einem GSLB-konfigurierten NetScaler zu authentifizieren.

    [NSHELP-34336]

  • Die NetScaler Appliance stürzt möglicherweise ab, wenn der virtuelle Authentifizierungsserver in einer nicht standardmäßigen Partition verwendet wird.

    [NSHELP-32054, NSCXLCM-640]

  • Nach einem Upgrade von Citrix SSO für iOS werden die Push-Benachrichtigungen, die Sie zur Authentifizierung erhalten, möglicherweise nicht mit einem Ton ausgegeben.

    [NSHELP-27525]

Bot-Verwaltung

  • Die NetScaler Appliance stürzt möglicherweise ab, wenn die BOT-Richtlinie eine Protokollaktion mit komplexen Richtlinienregeln verwendet.

    [NSHELP-34999]

  • Angriffe zur Wiederholung von Bot-Gerätefingerabdrucksitzungen werden verworfen, wenn die Gerätefingerabdruckaktion auf LOG, RESET oder REDIRECT gesetzt ist.

    [ NSBOT-1117 ]

CallHome

  • Call Home sendet Telemetriedaten an den NetScaler-Server des technischen Supports, obwohl die Funktion deaktiviert ist.

    [ NSHELP-33240 ]

Lastausgleich

  • In seltenen Fällen kann es vorkommen, dass eine NetScaler-Appliance abstürzt und einen Core-Dump generiert, wenn die folgenden Bedingungen erfüllt sind:

    • Die TCP-basierte DNS-Monitorprobe wird zur Überwachung eines Back-End-Dienstes verwendet.
    • Der Appliance geht der Arbeitsspeicher aus.

    [NSHELP-35289]

  • In einer Clusterkonfiguration mit acht oder mehr Knoten funktioniert das Feature für die Ratenlimit-ID möglicherweise nicht wie vorgesehen.

    [NSHELP-34555]

  • Der sekundäre NetScaler stürzt möglicherweise ab, wenn die folgenden Bedingungen erfüllt sind:

    • In einem Hochverfügbarkeitssetup wird eine große Anzahl von Lastausgleichsservern mit Lastausgleichsgruppen konfiguriert.
    • Während der Synchronisation wird der Setvorgang auf einem der Lastenausgleichsserver in der Lastausgleichsgruppe ausgeführt.

    [NSHELP-34225]

  • Der NetScaler kann aufgrund eines Zeitproblems zwischen dem Abrufen von Datensätzen, die die Rate einschränken, und dem Prozess der Datensatzalterung abstürzen.

    [NSHELP-33349]

  • In einigen Fällen wird ein Speicherverlust in einer NetScaler-Appliance beobachtet, wenn die DNS-Rewrite-Richtlinie mit der DROP-Aktion konfiguriert ist.

    [NSHELP-33077]

Sonstiges

  • Wenn sich ein Cluster-Setup im Leerlauf befindet, kann Node-to-Node-Messaging (NNM) eine Verzögerung von 20 Millisekunden für Ping-Pakete mit einer bestimmten sndbuf-Größe hinzufügen (Ping-Befehl mit Option -S).

    [NSHELP-34774]

NetScaler Gateway

  • Manchmal stürzt ein NetScaler mit konfiguriertem VPN und AppFlow ab, was zu einem HA-Failover führt.

    [NSHELP-35734, NSCXLCM-1247]

  • Die NetScaler Gateway-Startseite kann die Apps möglicherweise nicht auflisten, wenn Sie versuchen, mit einem mobilen Browser im clientlosen VPN-Modus darauf zuzugreifen.

    [NSHELP-35541, NSCXLCM-1132, NSCXLCM-1212, NSCXLCM-1248]

  • Wenn der erweiterte clientlose VPN-Zugriff auf NetScaler Gateway konfiguriert ist, können die Seiten möglicherweise nicht von den mit einem Lesezeichen versehenen URLs geladen werden.

    [NSHELP-33771]

  • Wenn Sie eine VPN-Verbindung über NetScaler Gateway herstellen, werden Sie manchmal mit falschem Text in der URL zur Startseite weitergeleitet. Dieses Problem tritt auf, wenn NetScaler mit dem RfWebUI Portaldesign konfiguriert ist.

    [NSHELP-30097, NSCXLCM-481]

  • Wenn Sie eine EULA-Entität erstellen, wird der Text als einzelne Zeile im RfWebUI Portaldesign von NetScaler Gateway angezeigt. Dieses Problem tritt aufgrund des HTML-Zeilenumbruchtags <br> auf. Alle HTML-Tags zusammen mit <br> sind im EULA-Text vorübergehend deaktiviert. Sie können versuchen, Zeilenumbrüche hinzuzufügen, indem Sie verwenden \n.

    [CGOP-24534]

NetScaler SDX-Appliance

  • Auf NetScaler SDX FIPS wird der folgende Fehler angezeigt, wenn Sie einen Vorgang zum Hinzufügen oder Bearbeiten auf VPX ausführen:

    „is_fips_enabled ist nicht definiert“

    [NSSVM-5786]

NetScaler Web App Firewall

  • Der NetScaler stürzt möglicherweise ab, wenn VerboseLogLevel im Web App Firewall-Profil auf patternPayloadHeader gesetzt ist.

    [NSHELP-35915]

  • Die IP-Reputationsdatenbank wird möglicherweise nicht von Webroot aktualisiert, wenn Sie die unbefristete Lizenz auf dem NetScaler verwenden.

    [NSHELP-33965]

Netzwerke

  • NetScaler BLX-NIC-Einstellungen sind möglicherweise noch auf dem Linux-Host vorhanden, wenn Sie die NetScaler BLX-Appliance deinstallieren, während sie läuft.

    Workaround. Stoppen Sie die NetScaler BLX-Appliance, bevor Sie die Appliance deinstallieren.

    [NSNET-29109]

  • Die NetScaler-Appliance reagiert möglicherweise nicht auf “SNMP GETBULK”-Anfragen.

    [NSHELP-35902]

  • In einem Hochverfügbarkeitssetup stürzt der sekundäre Knoten ab, wenn eine Route im Rahmen der HA-Synchronisierung vom Knoten entfernt wird, während Sie sie ändern.

    [ NSHELP-34927 ]

  • In einem Hochverfügbarkeits-Setup zeigt der Knoten show ha möglicherweise eine falsche Ausgabe an, wenn die beiden folgenden Bedingungen erfüllt sind:

    • HA-Heartbeats werden nur über eine einzige Schnittstelle oder einen einzigen Kanal ausgetauscht.

    • Die Schnittstelle oder der Kanal ist deaktiviert.

    [NSHELP-34193]

  • Die NetScaler Appliance protokolliert die SNMPv3-Authentifizierungsfehler-Trap-Meldungen nicht in der NetScaler-Protokolldatei (“ /var/log/ns.log „).

    [NSHELP-33909]

  • In einem Hochverfügbarkeits-Setup dauert es mindestens 60 Sekunden, bis der Status eines Knotens aktiv wird, wenn alle folgenden Bedingungen erfüllt sind:

    • Fail-safe ist für das HA-Setup aktiviert
    • Die HA-Überwachung ist auf mehr als einer Schnittstelle aktiviert
    • Eine der für die HA-Überwachung aktivierten Schnittstellen wird nicht mehr erreichbar
    • Mindestens eine der HA-Überwachungsschnittstellen ist erreichbar

    Mit diesem Fix wird der Status des Knotens sofort auf UP gesetzt, wenn alle diese Bedingungen erfüllt sind.

    [ NSHELP-32157 ]

Plattform

  • In einer HA-Paarkonfiguration auf der AWS-Plattform wurden NetScaler VPX-Schnittstellen während eines Failovers für die folgende Konfiguration nicht ordnungsgemäß migriert:

    • Die HA-Bereitstellung erfolgt in derselben Zone.
    • Mehrere Schnittstellen verwenden dasselbe Subnetz.

    [NSHELP-35369]

  • Sie können nicht mehr auf einen Citrix Hypervisor zugreifen, der auf NetScaler SDX gehostet wird, indem Sie ältere SSL-Protokolle wie SSLv3, TLS 1.0 und TLS 1.1 verwenden.

    [NSHELP-33196]

  • Nach einem Firmware-Upgrade fällt die Verwaltungsschnittstelle auf einer NetScaler MPX 5900/8900-Appliance möglicherweise aus. Infolgedessen ist der Zugriff auf das Gerät nicht möglich.

    [NSHELP-31587]

SSL

  • Auf einem NetScaler MPX/SDX 14000 FIPS, der im Hybridmodus betrieben wird, wird der Schlüsselspeicher möglicherweise zurückgesetzt, nachdem beschädigte Daten im Rahmen eines Schlüsselaustauschs empfangen wurden.

    [ NSHELP-35020 ]

  • Bei hohem Datenverkehr kann es zu vorübergehenden Leistungseinbußen kommen, wenn die Gesamtgröße der in einem SSL-Handshake ausgetauschten Client-, Server- und CA-Zertifikate das 16K-Limit überschreitet.

    [ NSHELP-33905 ]

System

  • Wenn der Backend-Server einen 464-Fehler für eine HTTP-Anfrage sendet, leitet der NetScaler diesen Fehler nicht an den Client weiter und daher ist die Verbindung auf der Clientseite blockiert.

    [NSHELP-33571, NSCXLCM-1098]

Benutzeroberfläche

  • Wenn Sie eine Responder-Richtlinie oder eine Rewrite-Richtlinie auf der NetScaler-GUI konfigurieren, ohne Werte in den Feldern Log Action und AppFlow Action hinzuzufügen, die nicht obligatorisch sind, wird der folgende Fehler angezeigt:

    „Ungültiger Name; Namen müssen mit einem alphanumerischen Zeichen oder Unterstrich beginnen und dürfen nur alphanumerische Zeichen enthalten, ‘_’, ‘%23’, ‘.’, ‘ ‘, ‘:’, ‘@’, ‘=’ oder ‘-‘ [logAction, ]“

    [NSHELP-35726]

  • Benutzersitzungen werden falsch berechnet, wenn derselbe Benutzer an zwei verschiedene Partitionen gebunden ist. Bei den beiden Partitionen kann es sich um Standardpartitionen, Nicht-Standardpartitionen oder beide Partitionen handeln.

    [ NSHELP-34971 ]

  • Wenn Sie einen Autorisierungsrichtlinienausdruck auf der NetScaler Gateway-Benutzeroberfläche ändern, wird die AAA-Option nicht in der Dropdownliste “Ausdruckseditor” angezeigt.

    [NSHELP-33509]

  • Einige integrierte Konfigurationen sind nicht verfügbar, wenn eine NetScaler ADC-Instanz erstellt wird.

    [NSHELP-33451, NSCXLCM-502]

  • In der NetScaler-GUI schlägt die nFactor-Authentifizierung fehl und der Fehler „Keine aktive Richtlinie während der Authentifizierung“ wird angezeigt. Dieses Problem tritt auf, wenn eine Zuweisungsaktion konfiguriert, aber nicht an eine Authentifizierungsrichtlinie gebunden ist.

    [NSHELP-33339]

  • Wenn ein Benutzer die Bindung in einer Content Switching-Richtlinie betrachtet, werden die Details des virtuellen Content Switching-Servers nicht in derselben Zeile unter Bindungen anzeigen angezeigt.

    [NSHELP-33149]

  • Die NetScaler GUI zeigt im Vergleich zur Befehlsschnittstelle weniger zwischengespeicherte Objekte an.

    [NSHELP-24337]

Bekannte Probleme

Die Probleme, die in Version 14.1—4.42 bestehen.

Analytics-Infrastruktur

  • Wenn Sie in einer Clusterbereitstellung den Befehl „Force Cluster Sync“ auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

    [NSANINFRA-2850, NSGI-1293]

  • Wenn Sie NetScaler ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

    Workaround : Starten Sie den Management-Pod neu.

    [NSANINFRA-1504]

Authentifizierung, Autorisierung und Prüfung

  • Ein NetScaler stürzt ab, wenn die folgenden Bedingungen erfüllt sind:

    • Die 401-basierte Zertifikatsauthentifizierung erfolgt über einen virtuellen Lastausgleichsserver.
    • Es gibt keine Authentifizierungsrichtlinie, die an einen virtuellen Authentifizierungsserver gebunden ist.
    • Die Debug-Protokollierung ist aktiviert.

    [ NSAUTH-13259 ]

  • Administratoren können keine benutzerdefinierte Protokollierung für Authentifizierungsfehler durchführen, die auf ungültige Anmeldeinformationen zurückzuführen sind. Dieses Problem tritt auf, weil die NetScaler-Responder-Richtlinien Fehler bei Anmeldefehlern nicht erkennen.

    [ NSAUTH-11151 ]

  • Das ADFS-Proxyprofil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxyprofil wird fälschlicherweise leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven NetScaler im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Es würde den Status des Proxyprofils anzeigen.

    [ NSAUTH-5916 ]

  • Die Seite „Authentifizierungs-LDAP-Server konfigurieren“ auf der NetScaler-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

    • Die Option LDAP-Erreichbarkeit testen ist geöffnet.
    • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
    • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

    Problemumgehung: Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

    [ NSAUTH-2147 ]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Abonnentensitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Das ist ein seltener Fall.

    [ NSLB-7679 ]

Sonstiges

  • Wenn die EDT Insight-Funktion aktiviert ist, können Audiokanäle manchmal aufgrund von Netzwerkdiskrepanzen ausfallen.

    [GOPHDX-1055]

  • In einem Hochverfügbarkeitssetup wird während eines NetScaler-Failovers die SR-Anzahl anstelle der Failover-Anzahl in NetScaler ADM erhöht.

    [GOPHDX-1050]

NetScaler Gateway

  • Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung „Eigenschaft ‘Typ’ von undefined kann nicht gelesen werden“ angezeigt.

    [NSHELP-21897]

  • Die Windows-Betriebssystemoption ist nicht in der Dropdownliste des Ausdruckseditors für Vorauthentifizierungsrichtlinien und Authentifizierungsaktionen auf der NetScaler-GUI aufgeführt. Wenn Sie den Windows-Betriebssystem-Scan jedoch bereits auf einem früheren NetScaler-Build mithilfe der GUI oder der CLI konfiguriert haben, hat das Upgrade keine Auswirkungen auf die Funktionalität. Sie können die CLI verwenden, um bei Bedarf Änderungen vorzunehmen.

    Workaround:

    Verwenden Sie die CLI-Befehle für die Konfiguration.

    • Verwenden Sie den folgenden Befehl, um die erweiterte EPA-Aktion in der nFactor-Authentifizierung zu konfigurieren.
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • Verwenden Sie die folgenden Befehle, um eine klassische Vorauthentifizierungsaktion zu konfigurieren.
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [CGOP-22966]

  • Um die Funktion Always On VPN vor der Windows-Anmeldung zu verwenden, wird empfohlen, Ihr NetScaler Gateway auf 13.0 oder höher zu aktualisieren. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und in Version 12.1 nicht verfügbar sind.

    [CGOP-19355]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die NetScaler-GUI hinzufügen oder bearbeiten.

    [CGOP-11830]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem schwerwiegenden Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [CGOP-7269]

NetScaler SDX-Appliance

  • Auf NetScaler SDX FIPS ist beim Bereitstellen oder Ändern einer NetScaler-Instanz die Option „FIPS aktivieren“ nicht verfügbar.

    [NSSVM-5848]

NetScaler Secure Web Gateway

  • Wenn eine erzwungene Synchronisation in einem Hochverfügbarkeits-Setup stattfindet, führt die Appliance den Befehl „set urlfiltering parameter“ auf dem sekundären Knoten aus. Infolgedessen überspringt der sekundäre Knoten jedes geplante Update bis zur nächsten geplanten Uhrzeit, die im Parameter „TimeOfDayToUpdateDB“ angegeben ist.

    [NSSWG-849]

  • Eine NetScaler-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter für URL-Filterung auftritt.

    [NSHELP-22409]

Netzwerke

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer NetScaler BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Aktivieren
    • Zurücksetzen

    [NSNET-16559]

  • Die Installation einer NetScaler BLX-Appliance kann auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehlschlagen:

    „Die folgenden Pakete haben unerfüllte Abhängigkeiten: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19), aber es ist nicht installierbar“

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine NetScaler BLX-Appliance installieren:

    • dpkg –add-architecture i386
    • apt-get aktualisieren
    • apt-get installiert libc6:i386

    [NSNET-14602]

  • In einigen Fällen von FTP-Datenverbindungen führt die NetScaler Appliance nur den NAT-Vorgang und keine TCP-Verarbeitung der Pakete für die TCP-MSS-Aushandlung durch. Infolgedessen ist die optimale Schnittstellen-MTU für die Verbindung nicht eingestellt. Diese falsche MTU-Einstellung führt zur Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

    [NSNET-5233]

  • Wenn ein Speicherlimit für die Admin-Partition in der NetScaler Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

    [NSHELP-21082]

Plattform

  • Einige Python-Pakete werden nicht installiert, wenn Sie die NetScaler Appliance von Version 13.1-4.x und höheren Versionen auf eine der folgenden Versionen herunterstufen:

    • Beliebiger 11.1-Build
    • 12.1-62,21 und früher
    • 13.0-81.x und früher

    [NSPLAT-21691]

  • Wenn Sie eine Autoscale-Einstellung oder eine VM-Skalierungsgruppe aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der NetScaler-Instanz. Verwenden Sie den Befehl „rm cloudprofile“, um das Profil zu löschen.

    [ NSPLAT-4520 ]

  • In einem Hochverfügbarkeits-Setup in Azure wird bei der Anmeldung am sekundären Knoten über die GUI der FTU-Bildschirm (First Time User) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt.
    Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich am primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil sollte immer auf dem primären Knoten konfiguriert werden.

    [ NSPLAT-4451 ]

Richtlinien

  • Verbindungen können hängen bleiben, wenn die Größe der verarbeiteten Daten die konfigurierte Standard-TCP-Puffergröße überschreitet.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

SSL

  • Auf einem heterogenen Cluster von NetScaler SDX 22000- und NetScaler SDX 26000-Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten, z. B. für virtuelle Server, Dienste, Dienstgruppen und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application-Entitäten mit derselben Client-ID und demselben Client-Schlüssel erstellen. Die NetScaler Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL-Aktualisierung deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird auf einer Cluster-IP-Adresse fälschlicherweise als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird die falsche Warnmeldung „Warnung: Keine verwendbaren Chiffren konfiguriert auf dem SSL vserver/service“ angezeigt.

    [NSSSL-4001]

  • Ein abgelaufenes Sitzungsticket wird auf einem Nicht-CCO-Knoten und auf einem HA-Knoten nach einem HA-Failover berücksichtigt.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

  • Webseiten, die HTTP/2 verwenden, werden möglicherweise nicht vollständig geladen, wenn ein HTTP/2-Stream, der die CONNECT-HTTP-Anforderungsmethode verwendet, beendet wird.

    [NSHELP-36407, NSBASE-17449]

  • Die mit einem SSL-Dienst konfigurierte NetScaler-Appliance stürzt ab, wenn die Appliance ein TCP-FIN-Steuerpaket gefolgt von einem TCP-RESET-Steuerpaket empfängt.

    [ NSHELP-31656 ]

  • Ein hoher RTT-Wert wird für eine TCP-Verbindung beobachtet, wenn die folgende Bedingung erfüllt ist:

    • ein hohes maximales Überlastungsfenster (>4 MB) ist eingestellt
    • Der TCP-NILE-Algorithmus ist aktiviert

    Damit eine NetScaler-Appliance den NILE-Algorithmus zur Überlastungskontrolle verwenden kann, müssen die Bedingungen den Schwellenwert für langsamen Start überschreiten, der mit dem maximalen Überlastungsfenster verknüpft ist.

    Bis das maximal konfigurierte Überlastungsfenster erreicht ist, akzeptiert NetScaler also weiterhin Daten und hat am Ende eine hohe RTT.

    [NSHELP-31548]

  • Die mptcp_cur_session_without_subflow-Zähler dekrementieren fälschlicherweise auf einen negativen Wert statt auf Null.

    [NSBASE - 18295]

  • Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

    [NSBASE-8506]

Benutzeroberfläche

  • In der NetScaler-GUI ist der Link „Hilfe“ auf der Registerkarte „Dashboard“ defekt.

    [NSUI-14752]

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht mehr oder kann keinen CloudBridge-Connector konfigurieren.

    Problemumgehung: Konfigurieren Sie Cloudbridge Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der NetScaler-GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Wenn Sie einen ECDSA-Schlüssel mit der GUI erstellen, wird der Kurventyp nicht angezeigt.

    [NSUI-6838]

Versionshinweise für NetScaler 14.1—4.42
March 17, 2024
Beitrag von: 
C
March 17, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.