Documentación de productos
ADC
14.1 - Current Release 13.1 13.0 12.1
Ver PDF

Notas de la versión de NetScaler 14.1-12.35 build

March 16, 2024
Contribución de: 
C

Este documento de notas de la versión describe las mejoras y los cambios, así como los problemas resueltos y conocidos que existen en la versión 14.1-12.35 de NetScaler.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • Las compilaciones 14.1-12.35 y posteriores abordan las vulnerabilidades de seguridad descritas en. https://support.citrix.com/article/CTX584986
  • La compilación 14.1-12.35 reemplaza a la compilación 14.1-12.30.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 14.1-12.35.

Infraestructura analítica

  • Actualizaciones de los parámetros del archivo YAML de configuración de scrape de Prometheus

    Se realizan los siguientes cambios en los parámetros del archivo de configuración de scrape YAML de Prometheus:

    • El metrics_pathparámetro ahora es opcional y /metricses la ruta predeterminada. Si no hay ningún valor definido en metrics_pathel archivo YAML, Prometheus lo agrega /metricscomo ruta. Anteriormente, el metrics_pathparámetro era obligatorio y la ruta predeterminada lo era /nitro/v1/config/systemfile.

    • El profilenameparámetro ahora es opcional y acepta un nombre de perfil de serie temporal definido por el usuario. Si el parámetro de nombre de perfil está ausente, se ns_analytics_time_series_profileconsidera como el nombre del perfil. Anteriormente, el profilenameparámetro era obligatorio.

    Para obtener más información, consulte Supervisar NetScaler, las aplicaciones y la seguridad de las aplicaciones mediante Prometheus.

    [ NSANINFRA-599 ]

  • Exporte los registros de administración directamente a Splunk

    NetScaler ahora admite la exportación de registros de administración y de host (registros que no son de motores de paquetes) a Splunk o a un servidor syslog externo. Puede visualizar los datos exportados mediante las herramientas de visualización de Splunk para obtener información significativa. Para obtener más información, consulte Exportar registros de administración directamente de NetScalera Splunk.

    [ NSANINFRA-516 ]

Equilibrio de carga

  • Cambiar el nombre de un sitio GSLB existente

    Ahora puede cambiar el nombre de un sitio GSLB existente en lugar de eliminarlo y crear un sitio. Al cambiar el nombre del sitio de GSLB, puede conservar todas las entidades de configuración de GSLB relacionadas con los sitios.

    Para obtener más información, consulte Configurar un sitio GSLB básico.

    [ NSLB-10477 ]

  • Soporte para servicios DNS y ADNS a través de TLS

    NetScaler ahora admite DNS sobre TLS (DOT) para cifrar las solicitudes y respuestas de DNS. Esta compatibilidad se agrega para los modos proxy ADNS y DNS mediante un tipo de servicio DOT. Cuando se configura este servicio, NetScaler valida el formato de paquete de cada solicitud de DNS, lo cifra y responde al cliente.

    Para obtener más información, consulte Configurar el equilibrio de carga básico.

    [ NSLB-9825 ]

  • Función de administración automática de claves de DNSSEC

    Ahora puede automatizar el proceso de transferencia de claves de DNSSEC en función del período de frecuencia configurado.

    Para obtener más información, consulte Configurar DNSSEC.

    [ NSLB-9380 ]

  • Distribución automatizada de claves DNSSEC a sitios GSLB

    Ahora puede sincronizar las claves DNSSEC entre sitios GSLB mediante el parámetro de transferencia de zona.

    Para obtener más información, consulte Mantenimiento de zonas.

    [ NSLB-9379 ]

Otros

  • Expresión de directiva avanzada mediante especificación de API

    Ahora puede crear una expresión de directiva avanzada mediante la especificación de API importada en NetScaler. Puede configurar las acciones apropiadas para el tráfico de la API entrante en función de las expresiones. El tráfico de la API entrante puede ser de tipo gRPC o REST.

    Para obtener más información, consulte Expresiones de directivas avanzadas mediante la especificación de API.

    [ NSAPISEC-2558 ]

  • Validación de especificaciones de API

    Ahora puede validar el tráfico entrante con la especificación de API importada. Con esta función, puede asegurarse de que las solicitudes de API garanticen la calidad y la coherencia de sus datos. Además de validar el tráfico, también puede establecer reglas de relajación para eludir las comprobaciones de validación del esquema de cierto tráfico.

    Para obtener más información, consulte Validación de especificaciones de API.

    [ NSAPISEC-2555 ]

  • Especificación de la API de importación

    Ahora puede importar los archivos de especificación de API a NetScaler mediante la opción de importación de la página Web App Firewall. El Web App Firewall valida la solicitud del usuario comparándola con el esquema especificado en el archivo de especificación de la API.

    Para obtener más información, consulte Importaciones.

    [ NSAPISEC-2351 ]

Dispositivo NetScaler SDX

  • Eliminación de la restricción al pago de licencias de instancias en NetScaler SDX

    En NetScaler SDX con una licencia agrupada, se elimina la restricción de retirar un número mínimo de licencias de instancias. Es decir, puede obtener como mínimo una licencia de instancia. Anteriormente, la cantidad mínima de licencias de instancia que podía consultar variaba según las plataformas.

    Para obtener más información, consulte la Tabla 1 de la capacidad agrupada de NetScaler .

    [ NSSVM-5881 ]

  • Límites de licencia aumentados para NetScaler SDX 16000

    El límite de licencia de NetScaler SDX 16000 se incrementa de 240 G a 250 G.

    [ NSSVM-5807 ]

Redes

  • Soporte para el tráfico interno de NetScaler en un túnel GRE basado en PBR

    De forma predeterminada, el dispositivo NetScaler no envía ningún tipo de tráfico interno de NetScaler en un túnel GRE basado en PBR.

    Se ha introducido un parámetro global de capa 3 (L3), PBR implícito()ImplicitPBR para permitir el siguiente tráfico interno de NetScaler en un túnel GRE basado en PBR cuando el tráfico coincide con la regla de PBR. De forma predeterminada, este parámetro L3 global está inhabilitado.

    • Tráfico BGP: puerto 179
    • tráfico de sincronización de zebos - puerto 4001
    • Tráfico RIP e IPv6 RIP: puerto 520
    • Tráfico RPC: puertos 3008, 3009, 3010 y 3011
    • Tráfico UDP: puerto 520
    • Tráfico UDP de alta disponibilidad: puerto 3003
    • Tráfico TCP de alta disponibilidad: puerto 22
    • Puerto de tráfico UDP de clúster 7000
    • tráfico global ssh

    Cuando el parámetro PBR implícito()ImplicitPBR está habilitado, solo se permite el tráfico relacionado con las nuevas sesiones en un túnel basado en PBR. Por ejemplo, solo se permite el tráfico BGP de una nueva sesión en un túnel GRE basado en PBR cuando el tráfico coincide con la regla PBR. Las sesiones de BGP existentes siguen utilizando el enrutamiento normal basado en el destino en lugar del PBR.

    [ NSNET-28989 ]

  • Compatibilidad con mensajes de latidos seguros en un clúster de NetScaler

    NetScaler ahora admite mensajes de latidos seguros en una configuración de clúster. Al habilitar los mensajes de latido seguros, NetScaler autentica los paquetes de latidos y comprueba la integridad de los paquetes para protegerlos de los ataques a la red, como los ataques de manipulación y reproducción.

    Para obtener más información, consulte Configurar latidos cardíacos seguros.

    [ NSNET-28009 ]

  • Soporte de host Ubuntu Linux para NetScaler BLX

    NetScaler BLX ahora es compatible con la versión 22.04 de Ubuntu.

    [ NSNET-27434 ]

Plataforma

  • Creación optimizada de perfiles de nube en NetScaler VPX

    NetScaler VPX ahora reduce el tiempo necesario para crear un perfil de nube al utilizar el escalado automático del back-end. Esto se debe a que no necesita especificar una directiva de escalado descendente ahora al crear el grupo de escalado automático de back-end. La optimización se aplica tanto a las nubes de Azure como a las de AWS. Sin embargo, en AWS, debe especificar al menos una directiva de reducción de tamaño si utiliza la función Graceful Timeout.

    Para obtener más información, consulte Agregar el servicio de escalado automático de AWS de back-end.

    [ NSPLAT-26628 ]

  • Compatibilidad con la identidad administrada en la nube de Azure

    NetScaler VPX ahora admite la identidad administrada en la nube de Azure. Las identidades administradas se utilizan para vincular un servicio principal a un recurso de Azure, como una máquina virtual. Con la identidad gestionada, no es necesario gestionar las credenciales de la nube, evitando así los riesgos de seguridad.

    Anteriormente, solo tenía la opción de configurar manualmente las credenciales de nube en NetScaler VPX. Las credenciales de la nube constan del ID de la aplicación, el secreto de la aplicación y el ID del arrendatario.

    Al configurar la identidad administrada y las credenciales de nube en NetScaler VPX, la identidad administrada tiene prioridad sobre las credenciales de nube. Actualmente, NetScaler VPX solo admite la identidad administrada asignada por el sistema y la asignada por un solo usuario. No se admite la identidad administrada asignada por varios usuarios.

    Para obtener más información, consulte Agregar el servicio de escalado automático de Azure de back-end.

    [ NSPLAT-23111 ]

Directivas

  • Soporte para convertir configuraciones de directivas SSL clásicas mediante la herramienta NSPEPI

    La herramienta NSPEPI ahora convierte las configuraciones de directivas SSL clásicas en configuraciones avanzadas.

    [ NSPOLICY-5422 ]

  • Opción de ejecutar la herramienta NSPEPI durante la actualización de NetScaler

    Ahora puede ejecutar la herramienta NSPEPI como parte de la actualización de NetScaler.

    Para convertir las directivas clásicas en directivas avanzadas durante la actualización, seleccione la opción -M en el comando ./installns. La opción -M activa la herramienta NSPEPI y actualiza el archivo ns.conf existente con la configuración modificada. La configuración anterior está presente en /nsconfig/ns.conf_old para consultarla en el futuro.

    Nota:

    Se recomienda convertir las directivas clásicas en directivas avanzadas antes de la actualización. Con esta mejora, aunque no haya convertido las directivas clásicas antes de la actualización, puede optar por convertirlas en directivas avanzadas durante la actualización.

    Para obtener más información, consulte Convertir expresiones de directivas con la herramienta NSPEPI.

    [ NSPOLICY-5339 ]

  • Derive el nombre del conjunto de patentes o del conjunto de datos mediante expresiones ;rn Ahora puede utilizar una expresión para derivar el nombre del conjunto de patentes o del conjunto de datos en métodos relacionados con el conjunto de patentes o conjuntos de datos, como CONTAINS_ANY(), EQUALS_ANY().; Para utilizar el conjunto de patentes o el conjunto de datos de forma dinámica, debe configurar el conjunto de patentes o conjunto de datos con el parámetro dynamic. Anteriormente, solo se podía dar el nombre o la cadena estático. rn

    Para obtener más información, consulte Configuración de un conjunto de patrones y Configuración de un conjunto de datos.

    [ NSHELP-22114 ]

SSL

  • Soporta operaciones de actualización en paquetes de certificados

    Las operaciones de actualización ahora se admiten en los paquetes de certificados. Ahora puede actualizar directamente un paquete de certificados. Anteriormente, primero tenía que desvincular y eliminar un paquete y, a continuación, agregar y vincular un paquete de certificados.

    [ NSSSL-12613 ]

  • Compatibilidad con la curva EC 25519 en servidores y perfiles virtuales SSL

    Los servidores y perfiles virtuales SSL ahora admiten el intercambio de claves X25519 en los protocolos de enlace TLS 1.3. Utilice los comandos de enlace de perfil SSL o servidor virtual SSL para vincular esta curva de forma explícita. Esta curva también se incluye en el nombre de curva EC “ALL”, con el que puede vincular todas las curvas EC a servidores virtuales SSL o perfiles SSL.

    [ NSSSL-1371 ]

Sistema

  • Limite la cantidad de marcos RESET de HTTP/2 recibidos en una conexión en un minuto

    Ahora puede limitar la cantidad de marcos RESET de HTTP/2 recibidos en una conexión HTTP/2 en un minuto. Si el número de tramas RESET supera el límite configurado, NetScaler descarta de forma silenciosa los paquetes de esa conexión.

    Con esta mejora, puede mitigar el ataque DoS de HTTP/2 cuando un atacante abre varias transmisiones de HTTP/2 y las cancela inmediatamente enviando tramas RESET STREAM.

    Para obtener más información, consulte Mitigación de DoS en HTTP/2.

    [ NSBASE-18564 ]

  • Registro deshabilitado para las URL de la interfaz de usuario de administrador

    Esta mejora reduce los mensajes de registro detallados que se generan cuando se impide el acceso a algunas de las URL de la interfaz de usuario de administrador que están específicamente prohibidas. Si bien los mensajes de registro ayudan a identificar las URL a las que se ha denegado el acceso, tienden a aumentar el tamaño del registro. Con esta mejora, de forma predeterminada, NetScaler no genera los registros. Sin embargo, puede habilitar los registros mediante un nsapimgrmando.

    [ NSBASE-18455 ]

  • NetScaler admite el reenvío de TLV del Proxy Protocol V2

    NetScaler admite el reenvío de la información de TLV (valor de longitud de tipo) enviada en el Proxy Protocol V2 a los servidores back-end si la función Proxy Protocol está habilitada en el servidor virtual y el servicio.

    Antes de la versión 14.1-12.30 de NetScaler, NetScaler no podía analizar los TLV y, por lo tanto, los eliminaba.

    Para obtener más información, consulte Protocolo proxy.

    [ NSBASE-18418 ]

Interfaz de usuario

  • API de próxima generación de NetScaler (versión preliminar técnica)

    La API de NetScaler Next-Gen es una API de RESTful avanzada y sólida que permite configurar mediante programación el dispositivo NetScaler de forma sencilla y fácil de usar. La API se basa en una interfaz declarativa, centrada en la aplicación y en el estado deseado.

    El objetivo de la API es abstraer y simplificar muchas de las complejidades de bajo nivel de las configuraciones tradicionales de NetScaler. Estas funciones de la API la hacen más adecuada para los desarrolladores de aplicaciones que no son expertos en redes o en NetScaler.

    El concepto central de la API de próxima generación es la aplicación. Todos los elementos de configuración relacionados con la misma aplicación están agrupados, lo que facilita y asegura la aplicación atómica de los cambios.

    Actualmente, la API de próxima generación admite el siguiente conjunto de funciones:

    1. Conmutación de contenido (protocolos HTTP, HTTPs)
    2. Equilibrio de carga (protocolos HTTP, HTTPs)
    3. Descarga de SSL
    4. Redireccionamiento HTTP, respondedor HTTP
    5. Comprobaciones de estado del servidor

    [ NSCONFIG-8040 ]

  • Actualizaciones de la documentación de la API NITRO para la función de enrutamiento

    La documentación de los siguientes recursos relacionados con el enrutamiento dinámico ahora está disponible como parte de la guía de referencia de la API:

    • Lista de acceso
    • Interfaz BFD
    • Prefijo BGP
    • Enrutador BGP
    • Ruta IP
    • Base de datos OSPF 6
    • Interfaz OSPF6
    • Vecino OSPF 6
    • Enrutador OSPF 6
    • Base de datos OSPF
    • Interfaz OSPF
    • Vecino de OSPF
    • Enrutador OSP
    • Mapa de ruta

    La documentación de la API NITRO está disponible en la ficha Descargas de la GUI de NetScaler.

    [ NSCONFIG-7765 ]

  • Las solicitudes GET de la API NITRO para los archivos del sistema no leen el contenido del archivo cuando se cumplen las siguientes condiciones:

    • Los archivos tienen un nivel de permiso establecido en 640.

    • Los directorios asociados no tienen permisos de ejecución.

    [ NSCONFIG-7732 ]

Problemas resueltos

Los problemas que se abordan en la compilación 14.1-12.35.

Infraestructura analítica

  • Al ejecutar el comando /netscaler/nsconmsg, NetScaler muestra información de depuración incompleta de los servidores virtuales en las particiones de administración.

    [ NSHELP-36185 ]

  • Cuando hay varias directivas de AppFlow enlazadas globalmente a un NetScaler, la desvinculación de una directiva hace que las demás también sean ineficaces.

    [ NSHELP-35960 ]

  • En una implementación de clúster, un nodo que no sea de CCO no envía los mensajes de syslog TCP a un servidor syslog externo cuando se realiza la operación de “forzar la sincronización del clúster” o “reiniciar” en el nodo.

    [ NSHELP-32925 ]

Autenticación, autorización y auditoría

  • En algunos casos, NetScaler configurado como SP de OAuth podría bloquearse si el IdP de OAuth almacena en caché copias antiguas de los certificados del SP.

    [ NSHELP-36150 ]

  • NetScaler configurado como IdP de OAuth puede enviar un encabezado de tipo de contenido incorrecto al responder a las partes que confían.

    [ NSHELP-35918 ]

  • NetScaler configurado como proveedor de servicios SAML podría bloquearse cuando espera una respuesta a una solicitud enviada al servidor de IdP de SAML.

    [ NSHELP-35771 ]

  • Tras una actualización, el mensaje “AAA DHT: error en la notificación de reanudación de la entrada de VPN debido a un subtipo 1” no válido aparece repetidamente en el archivo de registro de NetScaler.

    [ NSHELP-35649 ]

  • Es posible que se produzca un retraso en la ejecución de los comandos mediante la CLI de NetScaler si la autenticación TACACS está configurada con una dirección IP NAT.

    [ NSHELP-32960 ]

Administración de bots

  • En raras ocasiones, es posible que la página web no se cargue cuando se utilice la técnica de detección de huellas dactilares del dispositivo.

    [ NSHELP-34742 ]

Equilibrio de carga

  • En una configuración de alta disponibilidad, el servidor DNS puede enviar una respuesta vacía para una consulta de dominio GSLB de forma intermitente cuando se cumplen las siguientes condiciones:

    • La persistencia se configura en el servidor virtual GSLB.
    • Se ha configurado una gran cantidad de despliegues de equilibrio de carga.
    • Se produce una conmutación por error de HA.

    [ NSHELP-35981 ]

  • En una implementación de ADNS, un servidor DNS puede responder con la dirección IP de una vista de DNS a un usuario no deseado. Este problema puede producirse si ha configurado la directiva de respuesta de DNS con la acción de borrar.

    [ NSHELP-35928 ]

  • Cuando NetScaler recibe una solicitud, en lugar de responder con los detalles, devuelve la consulta. Este problema puede producirse cuando se cumplen las siguientes condiciones:

    • El servicio ADNS y el servidor virtual de equilibrio de carga DNS están configurados en el mismo NetScaler.
    • Se envía una consulta de DNS al servidor virtual, que recibe una respuesta negativa. Sin embargo, durante el período de almacenamiento en caché, se envía la misma consulta al servicio ADNS.

    [ NSHELP-35878 ]

  • NetScaler puede fallar cuando la respuesta de GLSB tiene más de 300 direcciones IP.

    [ NSHELP-35792 ]

  • Tras una conmutación por error de alta disponibilidad, las entradas de la sesión de persistencia no se eliminan del nodo principal incluso después de que caduque el período de espera de persistencia. Las entradas de sesión se conservan hasta que el nodo secundario esté en funcionamiento.

    [ NSHELP-34378 ]

Otros

  • Al configurar NetScaler BLX con soporte para DPDK, es posible que NetScaler BLX no detecte los puertos NIC compatibles con DPDK en algunas versiones de firmware de la NIC. Como resultado, los puertos NIC se agregan como puertos que no son DPDK al NetScaler BLX.

    [ NSHELP-36290 ]

  • NetScaler puede bloquearse cuando se cambia el nombre de un servidor virtual VPN con conexiones ICA activas.

    [ NSHELP-35804 ]

NetScaler Gateway

  • La opción Administración del tráfico > SSL > Archivos SSL falta en la GUI si se cumplen las siguientes condiciones:

    • Se utiliza una licencia de NetScaler Gateway.
    • El software se ha actualizado a la versión 13.0, compilación 91.x de NetScaler.

    [ NSHELP-36186 ]

  • Es posible que no pueda acceder a algunas aplicaciones (internas y externas) porque el servidor back-end rechaza las solicitudes de proxy en el modo HTTP/1.0.

    [ NSHELP-35919 ]

  • Al configurar un servidor virtual DTLS mediante la GUI de NetScaler Gateway, la configuración SSL se elimina si el perfil SSL predeterminado está habilitado en el servidor virtual DTLS.

    [ NSHELP-34723 ]

  • El análisis EPA falla de forma intermitente en NetScaler debido a una condición de desbordamiento del búfer.

    [ NSHELP-34039 ]

Dispositivo NetScaler SDX

  • Al modificar una instancia VPX en la interfaz de usuario del servicio de administración, la dirección IPv6 de la puerta de enlace no aparece en la interfaz de usuario del servicio de administración y, por lo tanto, el servicio de administración elimina el valor del inventario.

    [ NSSVM-5865 ]

  • Cuando inicie sesión en la interfaz de usuario de Management Service como administrador raíz con las credenciales predeterminadas por primera vez, tendrá que cambiar la contraseña predeterminada.

    [ NSSVM-5767 ]

  • En NetScaler SDX Dashboard, los gráficos y datos de rendimiento no están disponibles.

    [ NSHELP-36586 ]

  • Es posible que no se pueda actualizar la versión 13.1 de NetScaler SDX de la compilación 42.47 a la 49.13 debido a los tiempos de espera en las conexiones SCP/SSH del Servicio de administración a XenServer. Aparece el siguiente mensaje de error en la interfaz de usuario del servicio de administración:

    Attempted to upgrade on Platform but it did not come up with new version.

    [ NSHELP-36311, NSCXLCM-2086 ]

  • Al descargar el archivo SDX-MIB-SMV2.mib de la página Descargas de la interfaz de usuario de Management Service, el campo ÚLTIMA ACTUALIZACIÓN no se actualiza.

    [ NSHELP-36174 ]

Web App Firewall NetScaler

  • Los registros de depuración de solicitudes de archivos de transformación se generan cuando se aplica el perfil de transformación de URL a la solicitud.

    [ NSWAF-10356 ]

  • En una implementación de clúster, NetScaler podría bloquearse cuando se habilita la función Web App Firewall.

    [ NSHELP-36362 ]

  • El uso de determinadas palabras clave predefinidas puede generar falsos positivos si la función de protección basada en gramática de SQL está habilitada.

    [ NSHELP-36138 ]

  • La comprobación de protección gramatical de inyección de comandos JSON bloquea una solicitud si contiene formatos de fecha. Sin embargo, los datos no se actualizan en los archivos de registro y los contadores no se incrementan.

    [ NSHELP-35577 ]

  • La función de protección contra el secuestro de cookies no funciona según lo previsto cuando las cookies de una sesión válida se reutilizan en otra sesión. NetScaler permite la solicitud en lugar de bloquearla.

    [ NSHELP-33723 ]

Redes

  • Al habilitar el host administrado de NetScaler BLX, todas las direcciones IP configuradas en el host no se agregan a NetScaler BLX.

    [ NSNET-30389 ]

  • Al actualizar NetScaler BLX, es posible que el paquete nitro-python no se actualice. Como resultado, puede aparecer el siguiente error durante la actualización:

    tar: /var/netscaler/nitro/ns_nitro-python_artesa_xx_xx.tar: Not found in archive

    [ NSNET-27927 ]

  • En una configuración de NAT (LSN) a gran escala, el dispositivo NetScaler podría bloquearse si hay una discrepancia interna en el recuento de las conexiones de front-end y backend de LSN.

    [ NSHELP-36391 ]

  • Cuando se identifica un error de autenticación en un nombre de usuario o comunidad, los mensajes de registro de capturas de autenticación de SNMPv2 muestran valores no válidos para el nombre de usuario o comunidad.

    [ NSHELP-36213, NSCXLCM-1848 ]

  • En una configuración de NAT (LSN) a gran escala, el dispositivo NetScaler podría bloquearse debido a una operación de codificación de bits incorrecta.

    [ NSHELP-36124 ]

  • En una configuración de alta disponibilidad con una configuración de IP sobre IP, el nodo secundario podría bloquearse durante una conmutación por error de alta disponibilidad.

    [ NSHELP-36060 ]

  • Tras una actualización, NetScaler configurado con VPN SSL se bloquea debido a un error en la gestión de los datos de HDX.

    [ NSHELP-35895, NSCXLCM-1519, NSCXLCM-2321 ]

  • El dispositivo NetScaler podría bloquearse al configurar una ACL basada en conjuntos de datos.

    [ NSHELP-35744, NSCXLCM-2170, NSCXLCM-2195, NSCXLCM-2203, NSCXLCM-2376, NSCXLCM-2748 ]

  • Es posible que la supervisión de capturas SNMP no pueda leer las trampas si hay una discrepancia entre el archivo MIB y los enlaces varbinados reales.

    [ NSHELP-35629 ]

  • En una configuración de NAT (LSN) a gran escala, el dispositivo NetScaler podría bloquearse si hay una discrepancia interna en el recuento de las conexiones de front-end y backend de LSN.

    [ NSHELP-35318 ]

  • En el caso de los servicios SSL internos en un puerto HTTPS no predeterminado, incluso si cambia el enlace predeterminado del certificado SSL y reinicia el dispositivo, el certificado predeterminado sigue enlazado a los servicios internos.

    [ NSHELP-24034 ]

SSL

  • NetScaler podría bloquearse debido a archivos de registro inusualmente grandes. Por ejemplo, si el nivel de registro se establece en DEBUG para supervisar los registros de protocolo de enlace SSL, el tamaño del archivo de registro aumenta drásticamente, ya que el archivo también incluye registros de depuración detallados de los demás módulos. Puede obtener registros de depuración SSL configurando el nivel de registro en INFO con el mando “nsapimgr”. Como resultado, también se reduce el tamaño del archivo de registro.

    [ NSSSL-13206 ]

  • En algunos casos, cuando un cliente de TLS 1.3 se niega a enviar un certificado, el servidor virtual de autenticación no aplica la siguiente directiva de autenticación (alternativa).

    [ NSHELP-36479 ]

  • NetScaler podría bloquearse si utiliza marcos gigantes con una configuración de TLS 1.3.

    [ NSHELP-36153 ]

  • NetScaler devuelve un mensaje de error cuando los clientes retransmiten mensajes de apretón de manos anteriores.

    [ NSHELP-34608, NSCXLCM-348 ]

Sistema

  • En una conexión TLS HTTP/2, NetScaler no envía el mensaje HTTP/2 GoAway cuando recibe un mensaje de notificación de cierre de TLS sin un indicador TCP FIN previo.

    [ NSHELP-36248 ]

  • El comando start and stop se trata como un comando de configuración y, por lo tanto, solicita guardar la configuración aunque no haya cambios en la configuración.

    [ NSHELP-28413 ]

  • Las sesiones ICA pueden fallar a los pocos minutos de su inicio si utiliza el explorador HTML5 y el protocolo de transporte QUIC.

    [ NSBASE-18402 ]

Interfaz de usuario

  • Es posible que el usuario reciba el error No se puede completar la solicitud de actualización del archivo del sistema al editar o agregar un objeto de firma. Este problema se produce cuando se cumple una de las siguientes condiciones:

    • El objeto de firma es de gran tamaño.
    • Se ha agotado el tiempo de espera de la llamada.

    [NSHELP-36751]

  • No puede agregar directivas de interceptación SSL desde Seguridad > Proxy de reenvío SSL > Directivas de intercepción SSL en la GUI de NetScaler.

    [ NSHELP-36166 ]

  • Un usuario con privilegios limitados puede eliminar los informes creados por un usuario con privilegios más altos.

    [ NSHELP-36042 ]

  • Es posible que la sincronización de archivos de clúster no funcione correctamente cuando se recibe una gran cantidad de solicitudes de cuentas para usuarios de autenticación externos. Es posible que se consuma más espacio en disco durante este tiempo.

    [ NSHELP-35985 ]

  • En una configuración de alta disponibilidad, aunque tenga certificados SSL únicos para la dirección NSIP del nodo principal y secundario, el certificado del nodo secundario se sobrescribe con el certificado del nodo principal.

    [ NSHELP-35938 ]

  • Al crear o eliminar varias particiones, es posible que se generen identificadores de partición duplicados. Como resultado, puede aparecer el siguiente error al crear una partición.

    “El ID de partición ya está siendo utilizado por otra partición”

    [ NSHELP-35042 ]

  • En una configuración de clúster de NetScaler, la salida de CLI del comando show nstrace no aparece correctamente en la dirección NSIP de los nodos del clúster.

    [ NSHELP-33712 ]

Problemas conocidos

Los problemas que existen en la versión 14.1-12.35.

Infraestructura analítica

  • Cuando instala NetScaler ADM en un clúster de Kubernetes, no funciona según lo esperado porque es posible que los procesos necesarios no aparezcan.

    Solución alternativa: Reinicie el pod de administración.

    [ NSANINFRA-1504 ]

Autenticación, autorización y auditoría

  • Los administradores no pueden realizar un registro personalizado de los errores de autenticación que se producen debido a credenciales no válidas. Este problema se produce porque las directivas de respuesta de NetScaler no detectan los errores de inicio de sesión.

    [ NSAUTH-11151 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando. show adfsproxyprofile <profile name>

    Solución alternativa: conéctese al NetScaler principal activo del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

  • La página Configurar servidor LDAP de autenticación de la GUI de NetScaler deja de responder si sigue los pasos siguientes:

    • Se abre la opción Probar accesibilidad LDAP.
    • Las credenciales de inicio de sesión no válidas se rellenan y envían.
    • Las credenciales de inicio de sesión válidas se rellenan y envían.

    Solución alternativa: cierre y abra la opción Probar la accesibilidad de LDAP.

    [ NSAUTH-2147 ]

Equilibrio de carga

  • Cuando se cambia el nombre de un sitio GSLB, se produce una sincronización completa de la configuración en lugar de una sincronización incremental, incluso si la opción de sincronización incremental está habilitada en NetScaler.

    [NSLB-10884]

  • En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

    [ NSLB-7679 ]

Otros

  • Al habilitar el host administrado de NetScaler BLX en Oracle Cloud, la configuración de gateway del host Linux no se agrega a NetScaler BLX.

    [ NSLINUX-155 ]

  • Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo NetScaler BLX con DPDK:

    • Disable
    • Enable
    • Restablecer

    [ NSLINUX-64 ]

  • La instalación de un dispositivo NetScaler BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

    The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

    Soluciónalternativa : ejecute los siguientes comandos en la CLI del host Linux antes de instalar un dispositivo NetScaler BLX:

    • dpkg — agregar arquitectura i386
    • actualización apt-get
    • apt-get install libc6:i386

    [EN LINUX-5]

NetScaler Gateway

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • La opción del sistema operativo Windows no aparece en la lista desplegable del Editor de expresiones para las directivas de autenticación previa y las acciones de autenticación en la GUI de NetScaler. Sin embargo, si ya configuró el escaneo del sistema operativo Widows en una compilación anterior de NetScaler mediante la GUI o la CLI, la actualización no afectará a la funcionalidad. Puede utilizar la CLI para realizar cambios, si es necesario.

    Solución alternativa:

    Utilice los comandos de la CLI para la configuración.

    • Para configurar la acción EPA avanzada en la autenticación nFactor, utilice el siguiente comando. agregar autenticación EPAAction adv_win_scan -csecexpr “sys.client_expr (“SYS_0_win-OS_name_anyof_win-10 [COMENTARIO: sistema operativo Windows]”)”
    • Para configurar una acción de autenticación previa clásica, utilice los siguientes comandos. add aaa preauthenticationaction win_scan_action PERMITIR agregar aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM (‘win-OS_name_anyof_win-10 [COMENTARIO: sistema operativo Windows] ‘) EXISTE” win_scan_action

    [ CGOP-22966 ]

  • Para usar Always On VPN antes de la funcionalidad de inicio de sesión de Windows, se recomienda actualizar su NetScaler Gateway a la versión 13.0 o posterior. Esto le permite aprovechar las mejoras adicionales introducidas en la versión 13.0 que no están disponibles en la versión 12.1.

    [ CGOP-19355 ]

  • Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de NetScaler.

    [ CGOP-11830 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, aparece un cuadro de diálogo de error crítico. Además, la página deja de responder.

    [ CGOP-7269 ]

NetScaler Secure Web Gateway

  • Un dispositivo NetScaler puede reiniciarse debido al estancamiento de la CPU de administración si se produce un problema de conectividad con el proveedor externo de filtrado de URL.

    [ NSHELP-22409 ]

Redes

  • En algunos casos de conexiones de datos FTP, el dispositivo NetScaler solo realiza operaciones NAT y no procesamiento TCP en los paquetes para la negociación TCP MSS. Como resultado, la MTU de interfaz óptima no está configurada para la conexión. Esta configuración de MTU incorrecta provoca la fragmentación de los paquetes y afecta al rendimiento de la CPU.

    [ NSNET-5233 ]

  • Cuando se cambia un límite de memoria de la partición de administración en el dispositivo NetScaler, el límite de memoria intermedia TCP se establece automáticamente en el nuevo límite de memoria de la partición de administración.

    [ NSHELP-21082 ]

Plataforma

  • Al actualizar el software a 14.1-8.x y versiones posteriores o a 13.1-50.x y versiones posteriores, las interfaces de 25 G que tienen un transceptor SFP de 1 G de cobre no se conectan al conmutador remoto o al dispositivo de red.

    Este problema se presenta en las siguientes plataformas que tienen NIC de 25 G:

    • SDX 9100
    • SDX 15000
    • SDX 16000
    • SDX 26000
    • SDX 26000-50S

    [ NSPLAT-27864 ]

  • Al eliminar una configuración de escalabilidad automática o un conjunto de escalas de VM de un grupo de recursos de Azure, elimine la configuración del perfil de nube correspondiente de la instancia de NetScaler. Utilice el comando “rm cloudprofile” para eliminar el perfil.

    [ NSPLAT-4520 ]

  • En una configuración de alta disponibilidad en Azure, al iniciar sesión en el nodo secundario a través de la GUI, aparece la pantalla de usuario por primera vez (FTU) para la configuración del perfil de nube de escalabilidad automática.

    Solución alternativa: omita la pantalla e inicie sesión en el nodo principal para crear el perfil de nube. El perfil de la nube siempre debe configurarse en el nodo principal.

    [ NSPLAT-4451 ]

Directivas

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución alternativa: establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

SSL

  • En un clúster heterogéneo de dispositivos NetScaler SDX 22000 y NetScaler SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

    Solución alternativa:

    1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
    2. Guarde la configuración.

    [ NSSSL-9572 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo NetScaler no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM. ERROR: Actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

  • Un tíquet de sesión caducado se respeta en un nodo que no es de CCO y en un nodo de alta disponibilidad después de una conmutación por error de alta disponibilidad.

    [ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

Sistema

  • Es posible que las páginas web que utilizan HTTP/2 no se carguen por completo cuando finaliza una transmisión HTTP/2 que utiliza el método de solicitud HTTP CONNECT.

    [NSHELP-36407, NSBASE-17449]

  • Se observa un RTT alto en una conexión TCP si se cumple la siguiente condición:

    • se establece una ventana de congestión máxima alta (>4 MB)
    • El algoritmo TCP NILE está activado

    Para que un dispositivo NetScaler utilice el algoritmo NILE para el control de la congestión, las condiciones deben superar el umbral de inicio lento, que se combina con la ventana de congestión máxima

    Por lo tanto, hasta que se alcance la ventana de congestión máxima configurada, el NetScaler sigue aceptando datos y termina con un RTT alto.

    [ NSHELP-31548, NSCXLCM-159 ]

  • NetScaler puede volcar el núcleo cuando usa el comando unset nstcpprofile para anular los parámetros del perfil TCP.

    Solución alternativa: En su lugar, utilice el comando set nstcpprofile con el valor de parámetro deseado.

    [ NSBASE-18724 ]

  • Las sesiones ICA pueden fallar a los pocos minutos de su inicio si utiliza el explorador HTML5 y el protocolo de transporte QUIC.

    Solución alternativa: Establezca el valor máximo de tiempo de espera de inactividad en 3600 segundos al configurar el perfil QUIC.

    [ NSBASE-18402 ]

  • Los contadores mptcp_cur_session_without_subflow disminuyen incorrectamente a un valor negativo en lugar de cero.

    [ NSBASE-18295 ]

  • La IP del cliente y la IP del servidor se invierten en el registro SkipFlow de HDX Insight cuando el tipo de transporte LogStream se configura para Insight.

    [ NSBASE-8506 ]

Interfaz de usuario

  • No puede cargar el paquete de soporte técnico en el servidor de soporte técnico de Citrix mediante la GUI.

    Soluciónalternativa : utilice la CLI para cargar el paquete de soporte técnico.

    [ NSUI-19315 ]

  • En la GUI de NetScaler, el enlace “Ayuda” que aparece en la ficha “Panel de control” está roto.

    [ NSUI-14752 ]

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución alternativa: configure los conectores de Cloudbridge añadiendo perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o la CLI de NetScaler.

    [ NSUI-13024 ]

  • Si crea una clave ECDSA mediante la interfaz gráfica de usuario, no se muestra el tipo de curva.

    [ NSUI-6838 ]

  • Es posible que los usuarios no puedan iniciar sesión en el dispositivo NetScaler degradado si se cumple la siguiente secuencia de condiciones:

    1. Realice uno de los siguientes pasos:
      • Tras actualizar a la versión actual, añada un usuario del sistema o cambie la contraseña de un usuario del sistema existente y guarde la configuración.
      • Aprovisione una nueva instancia de NetScaler VPX, BLX o CPX con la compilación actual.
    2. Reduzca el dispositivo a una de las siguientes versiones:
      • 13.1-4.x
      • 13.0-82.x o anterior
      • 12.1-62.x o anterior

    Para ver la lista de usuarios afectados tras la degradación, en la línea de comandos, escriba: query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solución alternativa: restablezca la contraseña de los usuarios afectados. Para obtener más información, consulte Cómo restablecer la contraseña del administrador raíz (nsroot).

    Nota:

    Si va a degradar una versión actualizada anteriormente, utilice el archivo de configuración de copia de seguridad (ns.conf) de la compilación anterior para evitar este problema.

    [ NSCONFIG-8068 ]

  • Es posible que los usuarios no puedan iniciar sesión en el dispositivo NetScaler degradado si se cumple la siguiente secuencia de condiciones:

    1. Realice uno de los siguientes pasos:
      • Tras actualizar a la versión actual, añada un usuario del sistema o cambie la contraseña de un usuario del sistema existente y guarde la configuración.
      • Aprovisione una nueva instancia VPX, BLX o CPX con la compilación actual.
    2. Reduzca el dispositivo a una de las siguientes versiones:
      • 13.0-47.x o anterior
      • 12.1-56.x o anterior
      • 11.1-64.x o anterior

    Para ver la lista de usuarios afectados tras la degradación, en la línea de comandos, escriba:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solución alternativa: restablezca la contraseña de los usuarios afectados. Para obtener más información, consulte Cómo restablecer la contraseña del administrador raíz (nsroot).

    Nota:

    Si va a degradar una versión actualizada anteriormente, utilice el archivo de configuración de copia de seguridad (ns.conf) de la compilación anterior para evitar este problema.

    [ NSCONFIG-3188 ]

Notas de la versión de NetScaler 14.1-12.35 build
March 16, 2024
Contribución de: 
C
March 16, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.