-
-
Quelle est la place d'une appliance NetScaler dans le réseau ?
-
Comment un NetScaler communique avec les clients et les serveurs
-
Accélérez le trafic équilibré de charge en utilisant la compression
-
-
-
Configuration de NetScaler pour Citrix Virtual Apps and Desktops
-
Préférence de zone optimisée Global Server Load Balancing (GSLB)
-
Déployez une plateforme de publicité numérique sur AWS avec NetScaler
-
Améliorer l'analyse du flux de clics dans AWS à l'aide de NetScaler
-
NetScaler dans un cloud privé géré par Microsoft Windows Azure Pack et Cisco ACI
-
-
Déployer une instance NetScaler VPX
-
Optimisez les performances de NetScaler VPX sur VMware ESX, Linux KVM et Citrix Hypervisors
-
Améliorez les performances SSL-TPS sur les plateformes de cloud public
-
Installation d'une instance NetScaler VPX sur un serveur bare metal
-
Installation d'une instance NetScaler VPX sur Citrix Hypervisor
-
Installation d'une instance NetScaler VPX sur le cloud VMware sur AWS
-
Installation d'une instance NetScaler VPX sur des serveurs Microsoft Hyper-V
-
Installation d'une instance NetScaler VPX sur la plateforme Linux-KVM
-
Provisioning de l'appliance virtuelle NetScaler à l'aide d'OpenStack
-
Provisioning de l'appliance virtuelle NetScaler à l'aide du Virtual Machine Manager
-
Configuration des appliances virtuelles NetScaler pour utiliser l'interface réseau SR-IOV
-
Configuration des appliances virtuelles NetScaler pour utiliser l'interface réseau PCI Passthrough
-
Provisioning de l'appliance virtuelle NetScaler à l'aide du programme virsh
-
Provisioning de l'appliance virtuelle NetScaler avec SR-IOV sur OpenStack
-
Déployer une instance NetScaler VPX sur AWS
-
Serveurs d'équilibrage de charge dans différentes zones de disponibilité
-
Déployer une paire HA VPX dans la même zone de disponibilité AWS
-
Haute disponibilité dans différentes zones de disponibilité AWS
-
Déployez une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS
-
Protégez AWS API Gateway à l'aide du pare-feu d'applications Web NetScaler
-
Configurer une instance NetScaler VPX pour utiliser l'interface réseau SR-IOV
-
Configurer une instance NetScaler VPX pour utiliser la mise en réseau améliorée avec AWS ENA
-
Déployer une instance NetScaler VPX sur Microsoft Azure
-
Architecture réseau pour les instances NetScaler VPX sur Microsoft Azure
-
Configurer plusieurs adresses IP pour une instance autonome NetScaler VPX
-
Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau
-
Déployez une paire de haute disponibilité NetScaler sur Azure avec ALB en mode IP flottant désactivé
-
Configurer une instance NetScaler VPX pour utiliser le réseau accéléré Azure
-
Configurez les nœuds HA-INC à l'aide du modèle de haute disponibilité NetScaler avec Azure ILB
-
Installation d'une instance NetScaler VPX sur la solution Azure VMware
-
Configurer une instance autonome NetScaler VPX sur la solution Azure VMware
-
Configurer une configuration de haute disponibilité NetScaler VPX sur la solution Azure VMware
-
Configurer le serveur de routage Azure avec la paire NetScaler VPX HA
-
Ajouter des paramètres de mise à l'échelle automatique Azure
-
Configurer GSLB sur une configuration haute disponibilité active en veille
-
Configurer des pools d'adresses (IIP) pour un dispositif NetScaler Gateway
-
Scripts PowerShell supplémentaires pour le déploiement Azure
-
Déployer une instance NetScaler VPX sur Google Cloud Platform
-
Déployer une paire haute disponibilité VPX sur Google Cloud Platform
-
Déployer une paire VPX haute disponibilité avec des adresses IP privées sur Google Cloud Platform
-
Installation d'une instance NetScaler VPX sur Google Cloud VMware Engine
-
Support de dimensionnement VIP pour l'instance NetScaler VPX sur GCP
-
-
Automatisez le déploiement et les configurations de NetScaler
-
Solutions pour les fournisseurs de services de télécommunication
-
Trafic du plan de contrôle de l'équilibrage de charge basé sur les protocoles Diameter, SIP et SMPP
-
Utilisation de la bande passante avec la fonctionnalité de redirection du cache
-
Optimisation du protocole TCP avec NetScaler
-
Authentification, autorisation et audit du trafic des applications
-
Fonctionnement de l'authentification, de l'autorisation et de l'audit
-
Composants de base de la configuration de l'authentification, de l'autorisation et de l'audit
-
-
Autorisation de l'accès des utilisateurs aux ressources de l'application
-
NetScaler en tant que proxy du service de fédération Active Directory
-
NetScaler Gateway sur site en tant que fournisseur d'identité pour Citrix Cloud
-
Prise en charge de la configuration de l'attribut de cookie SameSite
-
Résoudre les problèmes liés à l'authentification et à l'autorisation
-
-
-
-
Configuration de l'expression de stratégie avancée : mise en route
-
Expressions de stratégie avancées : utilisation des dates, des heures et des nombres
-
Expressions de stratégie avancées : analyse des données HTTP, TCP et UDP
-
Expressions de stratégie avancées : analyse des certificats SSL
-
Expressions de stratégie avancées : adresses IP et MAC, débit, ID VLAN
-
Expressions de stratégie avancées : fonctions d'analyse de flux
-
-
Exportation des données de performance des pages Web vers AppFlow Collector
-
Fiabilité des sessions sur la paire NetScaler High Availability
-
Surveillance de NetScaler et des applications à l'aide de Prometheus
-
Exportation des journaux d'audit et des événements directement depuis NetScaler vers Splunk
-
-
-
-
Protection basée sur la grammaire SQL pour les charges utiles HTML et JSON
-
Protection basée sur la grammaire par injection de commandes pour la charge utile HTML
-
Règles de relaxation et de refus pour la gestion des attaques par injection HTML SQL
-
Prise en charge du pare-feu d'application pour Google Web Toolkit
-
Vérifications de protection XML
-
Articles sur les alertes de signatures
-
-
Traduire l'adresse IP de destination d'une requête vers l'adresse IP d'origine
-
-
Prise en charge de la configuration de NetScaler dans un cluster
-
-
-
Groupes de nœuds pour les configurations repérées et partiellement entrelacées
-
Désactivation de la direction sur le fond de panier du cluster
-
Suppression d'un nœud d'un cluster déployé à l'aide de l'agrégation de liens de cluster
-
Surveillance de la configuration du cluster à l'aide de la MIB SNMP avec lien SNMP
-
Surveillance des échecs de propagation des commandes dans un déploiement de cluster
-
Liaison d'interface VRRP dans un cluster actif à nœud unique
-
Scénarios de configuration et d'utilisation du cluster
-
Migration d'une configuration HA vers une configuration de cluster
-
Interfaces communes pour le client et le serveur et interfaces dédiées pour le fond de panier
-
Commutateur commun pour le client, le serveur et le fond de panier
-
Commutateur commun pour client et serveur et commutateur dédié pour fond de panier
-
Services de surveillance dans un cluster à l'aide de la surveillance des chemins
-
Opérations prises en charge sur des nœuds de cluster individuels
-
-
-
Configurer les enregistrements de ressources DNS
-
Créer des enregistrements MX pour un serveur d'échange de messagerie
-
Créer des enregistrements NS pour un serveur faisant autorité
-
Créer des enregistrements NAPTR pour le domaine des télécommunications
-
Créer des enregistrements PTR pour les adresses IPv4 et IPv6
-
Créer des enregistrements SOA pour les informations faisant autorité
-
Créer des enregistrements TXT pour contenir du texte descriptif
-
Configurer NetScaler en tant que résolveur de stubs non validant et sensible à la sécurité
-
Prise en charge des trames Jumbo pour le DNS pour gérer les réponses de grande taille
-
Configurer la mise en cache négative des enregistrements DNS
-
-
Équilibrage de charge de serveur global
-
Configurez les entités GSLB individuellement
-
Synchronisation de la configuration dans une configuration GSLB
-
Cas d'utilisation : déploiement d'un groupe de services Autoscale basé sur l'adresse IP
-
-
Remplacer le comportement de proximité statique en configurant les emplacements préférés
-
Configuration de la sélection des services GSLB à l'aide du changement de contenu
-
Configurer GSLB pour les requêtes DNS avec des enregistrements NAPTR
-
Exemple de configuration parent-enfant complète à l'aide du protocole d'échange de métriques
-
-
Équilibrer la charge du serveur virtuel et des états de service
-
Protection d'une configuration d'équilibrage de charge contre les défaillances
-
-
Configuration des serveurs virtuels d'équilibrage de charge sans session
-
Réécriture des ports et des protocoles pour la redirection HTTP
-
Insérer l'adresse IP et le port d'un serveur virtuel dans l'en-tête de requête
-
Utiliser une adresse IP source spécifiée pour la communication principale
-
Définir une valeur de délai d'expiration pour les connexions client inactives
-
Utiliser un port source d'une plage de ports spécifiée pour les communications en arrière-plan
-
Configurer la persistance de l'adresse IP source pour la communication principale
-
-
Paramètres d'équilibrage de charge avancés
-
Protégez les applications sur les serveurs protégés contre les pics de trafic
-
Activer le nettoyage des connexions de serveur virtuel et de service
-
Activer ou désactiver la session persistante sur les services TROFS
-
Activer la vérification de l'état TCP externe pour les serveurs virtuels UDP
-
Maintenir la connexion client pour plusieurs demandes client
-
Utiliser l'adresse IP source du client lors de la connexion au serveur
-
Définissez une limite sur le nombre de demandes par connexion au serveur
-
Définir une valeur de seuil pour les moniteurs liés à un service
-
Définir une valeur de délai d'attente pour les connexions client inactives
-
Définir une valeur de délai d'attente pour les connexions de serveur inactives
-
Définir une limite sur l'utilisation de la bande passante par les clients
-
Conserver l'identificateur VLAN pour la transparence du VLAN
-
Configurer la transition d'état automatique en fonction du pourcentage d'intégrité des services liés
-
Configurer les moniteurs dans une configuration d'équilibrage de charge
-
Configurer l'équilibrage de charge pour les protocoles couramment utilisés
-
Cas d'utilisation 3 : configurer l'équilibrage de charge en mode de retour direct du serveur
-
Cas d'utilisation 4 : Configuration des serveurs LINUX en mode DSR
-
Cas d'utilisation 5 : configurer le mode DSR lors de l'utilisation de TOS
-
Cas d'utilisation 7 : Configurer l'équilibrage de charge en mode DSR à l'aide d'IP sur IP
-
Cas d'utilisation 8 : Configurer l'équilibrage de charge en mode à un bras
-
Cas d'utilisation 9 : Configurer l'équilibrage de charge en mode en ligne
-
Cas d'utilisation 10 : Équilibrage de charge des serveurs de systèmes de détection d'intrusion
-
Cas d'utilisation 11 : Isolation du trafic réseau à l'aide de stratégies d'écoute
-
Cas d'utilisation 12 : configurer Citrix Virtual Desktops pour l'équilibrage de charge
-
Cas d'utilisation 14 : Assistant ShareFile pour l'équilibrage de charge Citrix ShareFile
-
Cas d'utilisation 15 : configurer l'équilibrage de charge de couche 4 sur l'appliance NetScaler
-
-
-
Configuration pour générer le trafic de données NetScaler FreeBSD à partir d'une adresse SNIP
-
-
Déchargement et accélération SSL
-
Prise en charge du protocole TLSv1.3 tel que défini dans la RFC 8446
-
Matrice de prise en charge des certificats de serveur sur l'appliance ADC
-
Prise en charge du module de sécurité matérielle Thales Luna Network
-
-
-
Authentification et autorisation pour les utilisateurs système
-
Configuration des utilisateurs, des groupes d'utilisateurs et des stratégies de commande
-
Réinitialisation du mot de passe administrateur par défaut (nsroot)
-
Configuration de l'authentification des utilisateurs externes
-
Authentification basée sur une clé SSH pour les administrateurs NetScaler
-
Authentification à deux facteurs pour les utilisateurs système
-
-
-
Points à prendre en compte pour une configuration haute disponibilité
-
Synchronisation des fichiers de configuration dans une configuration haute disponibilité
-
Restriction du trafic de synchronisation haute disponibilité vers un VLAN
-
Configuration de nœuds haute disponibilité dans différents sous-réseaux
-
Limitation des basculements causés par les moniteurs de routage en mode non INC
-
Comprendre le calcul de la vérification de l'état de la haute disponibilité
-
Gestion des messages Heartbeat à haute disponibilité sur une appliance NetScaler
-
Supprimer et remplacer un NetScaler dans une configuration de haute disponibilité
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Notes de publication pour la version 13.1—4.44 de NetScaler
Ce document des notes de mise à jour décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 13.1—4.44 de NetScaler.
Remarques
- Ce document de notes de version n’inclut pas de correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils relatifs à la sécurité, consultez le bulletin de sécurité.
- Les versions 21.9.1.2 et ultérieures du client Citrix Secure Access (anciennement connu sous le nom de plug-in NetScaler Gateway pour Windows) contiennent le correctif pour. https://support.citrix.com/article/CTX341455 Le plug-in NetScaler Gateway pour Windows version 21.9.1.2 est inclus dans la version 13.1—4.44 de NetScaler.
- Les versions 13.1—4.44 et ultérieures corrigent les failles de sécurité décrites dans https://support.citrix.com/article/CTX330728.
- La version 4.44 remplace la version 4.43.
- Cette version inclut également un correctif pour le problème suivant : NSHELP-29519.
Nouveautés
Les améliorations et modifications disponibles dans les versions 13.1—4.44.
Authentification, autorisation et audit
La traversée du domaine racine vers le domaine arborescente pour l’authentification SSO Kerberos est prise en charge
La traversée du domaine racine vers le domaine Tree est désormais prise en charge lors de l’authentification SSO Kerberos pour le serveur principal à partir de l’appliance NetScaler. Pour plus d’informations, veuillez consulter https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/single-sign-on-types/kerberos-single-sign-on/setup-citrix-adc-single-sign-on.html.
[NSAUTH-9836]
Gestion des bots
Journalisation détaillée pour la gestion des robots NetScaler
Si le trafic entrant est identifié comme étant un bot, l’appliance NetScaler vous permet désormais de configurer la fonctionnalité de journalisation détaillée du bot pour enregistrer des détails d’en-tête HTTP supplémentaires, tels que l’adresse du domaine, l’URL, l’en-tête de l’agent utilisateur et l’en-tête du cookie. Les détails du journal sont ensuite envoyés au serveur ADM à des fins de surveillance et de dépannage. Le message de consignation verbeux n’est pas stocké dans le fichier ns.log.
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html
[NSBOT-273]
Appliance NetScaler SDX
Améliorations apportées à la page de formation du cluster sur une appliance NetScaler SDX
Les modifications suivantes sont apportées à l’interface graphique de la Add Node to Cluster page. Le système invite désormais l’utilisateur à ajouter une adresse SNIP tout en ajoutant un nouveau nœud à un cluster. Ces améliorations résolvent les problèmes de sécurité liés à la vérification stricte de l’adresse IP source.
- Un champ facultatif pour SNIP est désormais fourni.
- Un
Addbouton est également fourni pour créer des SNIP dynamiquement tout en ajoutant un nœud à l’adresse IP du cluster (CLIP).
[NSSVM-4170]
Un administrateur NetScaler SDX peut désormais déverrouiller un utilisateur avant l’expiration de l’intervalle de verrouillage. Le verrouillage n’est pas applicable si un utilisateur se connecte au service de gestion via la console. L’intervalle de verrouillage passe également de quelques secondes à quelques minutes. Valeur minimale = 1 minute. Valeur maximale = 30 minutes.
Pour déverrouiller un utilisateur à l’aide de l’interface graphique :
- Accédez à Configuration > Système > Administration des utilisateurs > Utilisateurs.
- Sélectionnez l’utilisateur à déverrouiller.
- Cliquez sur Déverrouiller.Pour déverrouiller un utilisateur à l’aide de l’interface de ligne de commande :
À l’invite de commande, tapez :
set systemuser id=`<ID>` unlock=true
<!--NeedCopy-->
[NSSVM-4144]
NetScaler Gateway
Nouvelles langues prises en charge
Le portail utilisateur de NetScaler Gateway est désormais disponible en russe, en coréen et en chinois (traditionnel).
[CGOP-17095]
Prise en charge de l’authentification OAuth-OpenID Connect pour Gateway Insight
NetScaler Gateway Insight signale désormais les événements liés à l’authentification OAuth-OpenID Connect (connexions utilisateur réussies et échecs).
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-application-delivery-management-software/current-release/analytics/gateway-insight.html
[CGOP-16907]
Web App Firewall NetScaler
Extraction d’adresses IP du client à l’aide d’une expression de stratégie avancée
L’appliance NetScaler utilise une expression de politique avancée pour extraire l’adresse IP du client à partir d’un en-tête de requête HTTP, d’un corps de requête ou d’une URL de requête. La valeur extraite est ensuite envoyée au serveur ADM pour la journalisation d’audit, les informations de sécurité et le calcul de la géolocalisation du client.
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html
[NSWAF-7260]
Option d’activation pour le mécanisme de détection de BOT TPS
L’option Activer est désormais disponible pour chaque règle de détection de bot TPS dans la configuration du profil de bot. Par défaut, la valeur est ON.
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html
[ NSHELP-25777 ]
Équilibrage de charge
Prise en charge de la redirection HTTP vers HTTPS sur les serveurs virtuels de commutation de contenu
Les serveurs virtuels de commutation de contenu du type de service SSL prennent désormais en charge la redirection du trafic HTTP. Deux nouveaux paramètres : HttpsRedirectUrl et RedirectFromPort sont ajoutés à la commande add cs vserver. Tout le trafic HTTP arrivant sur le port spécifié dans le paramètre RedirectFromPort est redirigé vers l’URL spécifiée dans le paramètre HttpsRedirectUrl. S’il n’ HttpsRedirectUrl est pas configuré, le trafic HTTP est redirigé vers la valeur de l’en-tête de l’hôte dans la requête HTTP entrante.
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/ssl/how-to-articles/ssl-config-https-vserver-to-accept-http-traffic.html
[NSLB-8224]
Prise en charge de la synchronisation de la commande save config sur les sites GSLB distants
Vous pouvez maintenant synchroniser la commande save ns config sur des sites GSLB distants. Pour activer cette fonctionnalité, un nouveau paramètre GSLBSyncSaveConfigCommand est ajouté à la commande set gslb parameter. Après avoir activé l’option GSLBSyncSaveConfigCommand, la commande save ns config est traitée comme une autre commande GSLB et est synchronisée avec les sites GSLB distants. Vous devez activer l’option AutomaticConfigSync pour synchroniser la commande save ns config.
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/global-server-load-balancing/synchronizing-configuration-in-gslb-setup/real-time-synchronization.html
[NSLB-7831]
Prise en charge des arguments de script sécurisés pour les moniteurs utilisateur
Un nouveau paramètre, -secureargs, est ajouté à la commande add lb monitor. Ce paramètre stocke les arguments du script dans un format chiffré au lieu d’un format de texte brut. Vous pouvez sécuriser les données sensibles liées aux scripts du moniteur utilisateur à l’aide de ce paramètre, par exemple, le nom d’utilisateur et le mot de passe. Citrix vous recommande d’utiliser un paramètre -secureargs au lieu du paramètre -scriptargs pour toutes les données sensibles liées aux scripts. Si vous choisissez d’utiliser les deux paramètres ensemble, le script spécifié dans -scriptname doit accepter les arguments dans l’ordre : <scriptargs> <secureargs>. En d’autres termes, vous devez spécifier les premiers paramètres dans <scriptargs> et le reste des paramètres dans <secureargs> en conservant l’ordre défini pour les arguments. Les arguments sécurisés ne s’appliquent qu’au répartiteur interne.
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/load-balancing/load-balancing-custom-monitors/configure-user-monitor.html
[NSLB-6314]
Réseau
Prise en charge des jeux de données de type numérique pour les ACL étendues
L’appliance NetScaler prend désormais en charge le jeu de données de type numérique pour les ACL étendues. Vous pouvez utiliser le jeu de données de type de numéro pour spécifier le port source ou le port de destination ou les deux pour une règle ACL étendue.
[NSNET-20235]
Prise en charge de RHI pour une adresse VIP liée à un IPset
Une appliance NetScaler annonce une adresse VIP liée à un IPSet en tant que route du noyau si toutes les conditions suivantes sont remplies :
- L’
host routeoption est activée pour l’adresse VIP. - L’IPSet est lié à une configuration, par exemple, des serveurs virtuels d’équilibrage de charge multi-IP.
[NSNET-20209]
Prise en charge de l’enregistrement de NetScaler CPX auprès d’ADM à l’aide de montages en volume
NetScaler CPX prend désormais en charge l’enregistrement auprès de NetScaler ADM en utilisant des montages de volumes via Kubernetes ConfigMaps et Secret. NetScaler CPX lance l’enregistrement auprès de l’agent ADM avec les détails de configuration dérivés des montages de volumes situés dans le système de fichiers de NetScaler CPX.
[NSNET-19058]
Plateforme
Support de la mise à jour 2a de VMware ESX 7.0 sur une instance NetScaler VPX
L’instance NetScaler VPX prend désormais en charge la mise à jour 2a de VMware ESX version 7.0 (build 17867351).
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/supported-hypervisors-features-limitations.html
[NSPLAT-20104]
Support du processeur AMD pour l’instance NetScaler VPX sur ESXi
L’instance NetScaler VPX de l’hyperviseur VMware ESXi prend désormais en charge les processeurs AMD. Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/install-vpx-on-esx.html
[ NSPLAT-17853 ]
Support pour l’abonnement NetScaler VPX 5000 sur Azure Marketplace
Le plan d’abonnement NetScaler VPX 5000 est désormais pris en charge sur Azure Marketplace. Ce plan basé sur un abonnement offre les licences suivantes :
- Standard
- Advanced
- Premium
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/deploy-vpx-on-azure.html#citrix-adc-vpx-licensing
[ NSPLAT-13663 ]
Stratégies
Prise en charge des champs d’en-tête IP dans l’expression de stratégie avancée
L’expression de stratégie avancée vous permet désormais de récupérer les champs d’en-tête suivants à partir d’un paquet IP.
- DSCP
- ECN
- TTL
- Version
- Identification
- Longueur de la tête
- Checksum d’en-tête
- Options
- Charge utile
[NSPOLICY-2441]
Suppression des fonctionnalités obsolètes à partir de la version 13.1 de NetScaler
De nombreuses fonctionnalités obsolètes sont désormais supprimées et ne sont plus configurables sur une appliance NetScaler.
Ces informations incluent :
- La fonction de filtrage (également connue sous le nom de filtrage de contenu ou CF) : actions, stratégies et liaison.
- Les fonctionnalités SPDY, Sure Connect (SC), Priority Queuing (PQ), HTTP Denial of Service (DoS) et HTML Injection.
- Stratégies classiques pour SSL, la commutation de contenu, la redirection du cache, la compression et le pare-feu d’application.
- Les paramètres
urletdomaindans les stratégies de commutation de contenu. - Expressions classiques dans les règles de persistance de l’équilibrage de charge.
- Le paramètre
patterndans les actions de réécriture. - Le paramètre
bypassSafetyCheckdans les actions de réécriture. -
SYS.EVAL_CLASSIC_EXPRdans les expressions avancées. - L’entité
patclassde configuration. - La valeur
HTTP.REQ.BODYsans argument dans les expressions avancées. - Préfixes Q et S dans les expressions avancées.
- Le paramètre
policyTypedu paramètre cmp. (commande CLIset cmp parameter.)
Comme déjà documenté, vous pouvez utiliser l’ nspepi outil pour la conversion. Vous devez exécuter l’outil sur une appliance NetScaler version 13.0 ou 12.1.
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.html
De plus, pour utiliser la dernière version des outils afin de migrer de la configuration classique vers la configuration avancée, et des domaines de trafic vers les partitions d’administration, consultez https://github.com/citrix/ADC-scripts
[ NSPOLICY-186 ]
Système
Afficher les statistiques du pont QUIC
La commande statde pont QUIC fournit désormais un résumé détaillé des statistiques de pont QUIC.
[NSBASE-13883]
Suppression des fonctionnalités obsolètes dans NetScaler 13.1 et versions ultérieures
Les fonctionnalités obsolètes suivantes et leurs configurations ne sont plus prises en charge et sont supprimées de l’appliance NetScaler :
- SureConnect (SC)
- Queueing prioritaire (PQ)
- Protection DoS HTTP (HDOSP)
HTMLInjection
Comme alternative, Citrix vous recommande d’utiliser AppQoE pour SureConnect, Priority Queueing et HTTP DoS Protection et d’utiliser des mesures côté client pour HTMLInjection.
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.html
[NSBASE 13780]
Interface utilisateur
Prise en charge de l’API par lots pour les appels NITRO
L’appliance NetScaler prend désormais en charge batchapi l’API. L’ batchapi API peut gérer plusieurs appels NITRO en une seule demande et ainsi minimiser le trafic réseau. Vous pouvez effectuer les opérations suivantes à l’aide de la commande batchapi :
- Vous pouvez utiliser l’API par lots pour créer, mettre à jour et supprimer simultanément plusieurs ressources hétérogènes.
- Vous pouvez utiliser l’API par lots pour obtenir plusieurs ressources hétérogènes.
[NSCONFIG-4061]
Problèmes résolus
Les problèmes qui sont résolus dans la version 13.1—4.44.
Authentification, autorisation et audit
Lorsque vous liez un moniteur LDAP à un service, le moniteur tombe en panne car l’appliance NetScaler envoie un mot de passe incorrect à Active Directory.
[ NSHELP-27961 ]
Dans un AD à cascade multiple, le compte d’un utilisateur n’est pas verrouillé si un utilisateur n’est pas trouvé dans la dernière cascade.
[ NSHELP-27948 ]
Lorsqu’une appliance NetScaler est configurée pour l’authentification SAML, elle vide le cœur lors de l’utilisation d’un certificat autre que RSA.
[ NSHELP-27813 ]
Dans certains cas, une appliance NetScaler peut se bloquer lors du traitement de la demande d’authentification de certains utilisateurs lorsque l’accès basé sur les rôles est configuré.
[ NSHELP-27655 ]
Les utilisateurs ne peuvent pas se connecter via l’application Citrix Workspace si Azure AD est configuré en tant qu’IdP OAuth sur le serveur virtuel d’authentification NetScaler.
[ NSHELP-27462 ]
Dans certains cas, l’authentification SAML échoue avec l’application Workspace si l’on accède à l’application via StoreFront.
[ NSHELP-27338 ]
Dans certains cas, une requête HTTP POST envoyée à un serveur virtuel Authentication, Authorization and Auditing-TM n’est pas traitée correctement si la demande ne contient pas de cookie d’authentification. Le corps POST est perdu pendant le traitement.
[ NSHELP-27227 ]
L’appliance NetScaler se bloque fréquemment lors du traitement de l’authentification, de l’autorisation et de l’Auditing-TM et du trafic basé sur 401 LB.
[ NSHELP-27094 ]
Dans certains cas, une appliance NetScaler se bloque lors de l’authentification des utilisateurs pour NetScaler Gateway et du déploiement d’authentification, d’autorisation et d’audit (gestion du trafic).
[ NSHELP-26555 ]
En cas de saisie d’un OTP incorrect, un message d’erreur Email Auth failed. No further action to continue s’affiche.
[ NSHELP-26400 ]
Dans certains scénarios, la commande de groupe d’authentification, d’autorisation et d’audit de liaison peut échouer si le nom de la stratégie est plus long que le nom de l’application intranet.
[ NSHELP-25971 ]
Une appliance NetScaler configurée en tant que fournisseur d’identité SAML (IdP) tronque l’état du relais fourni par le fournisseur de services (SP) s’il contient des guillemets.
[ NSHELP-20131 ]
La vérification du test de connectivité réseau échoue en raison d’un problème de déchiffrement du mot de passe. Toutefois, la fonctionnalité d’authentification fonctionne correctement.
[ NSAUTH-10216 ]
Gestion des bots
Dans le mécanisme de détection de robot Transaction Per Second (TPS), le serveur d’applications principal renvoie une réponse 304 lors de la récupération de réponse après le défi CAPTCHA.
[NSBOT-626]
Mise en cache
Dans une configuration haute disponibilité, la synchronisation HA échoue pour le paramètre de cache memLimit lors d’un basculement HA.
[ NSHELP-28428 ]
Dans une configuration haute disponibilité, le nœud principal se bloque après avoir accédé à un pointeur NULL au lieu d’un objet mis en cache.
[ NSHELP-26967 ]
Appliance NetScaler SDX
Sur une appliance NetScaler SDX, la restauration de l’instance peut échouer si l’instance a été créée avec la version logicielle 13.0-76.x ou antérieure.
[ NSHELP-28429 ]
Dans une appliance NetScaler SDX, le service de gestion signale une utilisation incorrecte des données des instances ADC.
[ NSHELP-28208 ]
Sur une appliance NetScaler SDX, vous ne pouvez pas modifier l’invite CLI dans la console du service de gestion.
[ NSHELP-28030 ]
Sur une appliance NetScaler SDX, le service de gestion peut signaler une utilisation élevée de la mémoire d’environ 80 % en raison de l’augmentation du nombre de tâches et de planificateurs exécutés dans l’inventaire.
[ NSHELP-27805 ]
Sur une appliance NetScaler SDX, la mise à niveau peut échouer si les fichiers système (snmpd.conf et ntp.conf) contiennent des caractères de retour.
[ NSHELP-27713 ]
Sur une appliance NetScaler SDX, le service de gestion peut signaler une utilisation élevée de la mémoire d’environ 80 % en raison de l’augmentation du nombre de tâches et de planificateurs exécutés dans l’inventaire.
[ NSHELP-27396 ]
NetScaler Gateway
Les utilisateurs peuvent observer un échec de lancement de session RDP lors d’une mise à niveau vers la dernière version.
[ NSHELP-29519 ]
Un message d’erreur apparaît lorsque vous tentez de modifier les attributs CSS d’un thème personnalisé.
[ NSHELP-28648 ]
L’ouverture de session à Citrix Workspace échoue si les stratégies de répondeur qui peuvent passer à un état bloqué pendant l’évaluation sont liées au serveur virtuel.
[ NSHELP-27819 ]
Lors de l’accès à l’appliance NetScaler Gateway à l’aide du VPN sans client, un core dump peut être généré.
[ NSHELP-27653 ]
L’appliance NetScaler Gateway peut se bloquer lors du traitement du trafic UDP initié par le serveur.
[ NSHELP-27611 ]
Les utilisateurs peuvent voir les boîtes aux lettres des autres utilisateurs lorsqu’ils se connectent à Microsoft Outlook. Pour contourner ce problème, désactivez le multiplexage.
[ NSHELP-27538 ]
Une appliance NetScaler peut se bloquer si les commandes liées à EDT, telles que clearconfigkill ica connection, ou stop dtls listener sont traitées par l’appliance.
[ NSHELP-27398 ]
L’appliance NetScaler Gateway peut se bloquer lors du traitement du trafic UDP.
[ NSHELP-27317 ]
L’appliance NetScaler Gateway se bloque lorsqu’une politique syslog est liée à un serveur virtuel et que l’action syslog correspondante est modifiée.
[ NSHELP-27171 ]
Les journaux NetScaler peuvent être inondés de messages de journal GwInsight: Func=ns_sslvpn_send_app_launch_fail_record Appflow policy evaluation has failed lorsque Gateway Insight est activé.
[ NSHELP-26750 ]
L’appliance NetScaler Gateway se bloque lorsque vous essayez d’effacer la configuration si les deux conditions suivantes sont remplies :
- Un profil SSL et une paire de clés de certificat sont liés au moniteur TCP par défaut.
- Le même moniteur TCP par défaut est lié à une action Syslog.
[ NSHELP-26685 ]
Lorsque vous entrez le FQDN en tant que proxy sur la page Créer un profil de trafic NetScaler Gateway, le message s’affiche. Invalid Proxy Value
[ NSHELP-26613 ]
Lors de la création d’un profil client RDP à l’aide de l’interface graphique NetScaler, un message d’erreur s’affiche lorsque les conditions suivantes sont remplies :
- Une clé pré-partagée (PSK) par défaut est configurée.
- Vous essayez de modifier le minuteur de validité du cookie RDP dans le champ Validité du cookie RDP (secondes).
[ NSHELP-25694 ]
L’OID SNMP envoie un ensemble incorrect de connexions actuelles au serveur virtuel VPN.
[ NSHELP-25596 ]
L’appliance CITRIX ADC se bloque lorsque plusieurs clients de plug-in VPN utilisent des certificats X.509 d’une taille de 1 800 octets ou plus pour configurer un tunnel.
[ NSHELP-25195 ]
Si vous renommez un serveur virtuel VPN lié à un serveur STA, l’état du serveur STA apparaît en panne lorsque vous exécutez la commande show.
[ NSHELP-24714 ]
Dans de rares cas, l’appliance NetScaler Gateway peut se bloquer si l’adresse IP de l’intranet (IIP) est activée et si des connexions initiées par le serveur vers l’adresse IIP sont établies.
[ NSHELP-23819 ]
La sortie de la commande show tunnel global inclut des noms de stratégie avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.
Exemple :
Nouvelle sortie :
> show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0
Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy
Priority: 1
Global bindpoint: REQ_DEFAULT
Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy
Priority: 100
Global bindpoint: RES_DEFAULT
Done
>
<!--NeedCopy-->
Sortie précédente :
> show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
Advanced Policies:
Global bindpoint: REQ_DEFAULT
Number of bound policies: 1
Done
<!--NeedCopy-->
[ NSHELP-23496 ]
Si vous avez configuré la gestion des comptes RADIUS pour l’événement de démarrage/arrêt ICA, l’ID de session dans la demande de gestion de compte RADIUS pour le démarrage ICA est affiché sous la forme de zéro.
[ NSHELP-22576 ]
Web App Firewall NetScaler
Dans une configuration de cluster NetScaler, l’un des nœuds se bloque si un ou plusieurs nœuds sont mis à niveau à partir de NetScaler version 12.0, 12.1 ou 13.0 build 52.x ou de versions antérieures. Le blocage se produit en raison d’une incompatibilité du format et de la taille des cookie du Web App Firewall.
[NSWAF-7689]
Dans Web App Firewall, le paramètre Cookie-transformation fractionne les valeurs du cookie côté réponse s’il a une virgule comme délimiteur.
[ NSHELP-28411 ]
Une appliance NetScaler peut se bloquer si des violations d’injection de commandes sont observées dans un ordre spécifique et si les conditions suivantes sont remplies :
- Plusieurs cookies sont présents dans la demande
-
URLDecodeRequestCookiesla fonctionnalité est désactivée
[ NSHELP-28365 ]
Une appliance NetScaler peut afficher une utilisation élevée de la mémoire lors de l’analyse des réponses HTTP pour lesquelles l’attribut Samesite et la fonctionnalité Web Application Firewall sont activés.
[ NSHELP-27722 ]
La fonctionnalité de piratage de cookie ne prend pas en charge le navigateur Internet Explorer car les navigateurs Internet Explorer ne réutilisent pas les connexions SSL. En raison de cette limitation, plusieurs redirections sont envoyées pour une demande entraînant éventuellement une MAX REDIRECTS EXCEEDED erreur dans le navigateur Internet Explorer.
[ NSHELP-27193 ]
Après une mise à niveau vers NetScaler version 13.0 build 76.29 et lorsque la fonctionnalité de téléchargement de fichiers est activée sur l’appliance, le problème suivant est observé :
- Les contrôles de protection par script SQL et intersite bloquent le processus de téléchargement de fichiers pour toutes les applications Web.
[ NSHELP-27140 ]
Équilibrage de charge
Dans une configuration GSLB, l’état des services distants n’est pas mis à jour une fois les statistiques effacées sur le site GSLB. Pour contourner le problème, effacez à nouveau les statistiques sur le même site GSLB. L’état des services distants est ensuite mis à jour.
[ NSHELP-28169 ]
Dans une configuration haute disponibilité, le nœud secondaire peut se bloquer si les conditions suivantes sont remplies :
- La quantité de mémoire physique sur les deux nœuds est différente l’une de l’autre.
- Les sessions de données ne sont pas correctement synchronisées.
[ NSHELP-26503 ]
Dans une configuration de cluster, l’adresse IP du service GSLB n’est pas affichée dans l’interface graphique lorsqu’on y accède via des liaisons de serveur virtuel GSLB. Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.
[ NSHELP-20406 ]
Divers
Une appliance NetScaler ajoute des informations L2 supplémentaires lorsqu’un tunnel ou des serveurs virtuels de type de service (TOS) sont créés.
[ NSHELP-27825 ]
Réseau
Après la mise à niveau d’une appliance NetScaler BLX (version 13.0 build 82.x) exécutée sur un hôte Linux basé sur Debian, SSH ne fonctionne pas comme prévu en mode partagé.
[NSNET-23020]
Après la mise à niveau d’une appliance NetScaler BLX vers la version 13.1 build 4.x, le pare-feu de l’application Web peut bloquer de manière incorrecte une demande ne comportant aucun en-tête de type de contenu.
[NSNET-21415]
Dans une appliance NetScaler BLX, le NSVLAN lié à des non-dpdk interfaces balisées peut ne pas fonctionner comme prévu. NSVLAN lié avec des non-dpdk interfaces non balisées fonctionne correctement.
[NSNET-18586]
Dans une appliance NetScaler, la couche de pilote interne peut utiliser une mémoire tampon de données incorrecte, ce qui entraîne une corruption des données, ce qui entraîne à son tour le blocage de l’appliance.
[ NSHELP-27858 ]
Problème résolu :
NetScaler CPX déployé en tant que sidecar et connecté à plusieurs réseaux n’a pas pu choisir l’adresse IP source correcte pour le sous-réseau de destination.
[ NSHELP-27810 ]
Dans une configuration haute disponibilité, la synchronisation HA peut échouer pour les configurations de profil WAF et de fichier d’emplacement.
[ NSHELP-27546 ]
Les boucles de paquets sont observées dans une configuration d’équilibrage de charge si toutes les conditions suivantes sont remplies :
- Le serveur virtuel est configuré pour écouter sur le port 80 et le paramètre de basculement de connexion (
connfailover) est défini sur stateless. -
Le serveur virtuel reçoit deux paquets de demandes qui ont :
- Port source = 80
- Port de destination = numéro autre que 80
- Adresse IP de destination = adresse IP (VIP) du serveur virtuel
[ NSHELP-22431 ]
Plateforme
Failed to create target instance un message d’erreur s’affiche sur la console GCP même si vous ne créez aucune instance cible. Ce problème se produit lorsque vous ne disposez pas de l’autorisation compute.targetInstances.get IAM dans votre compte de service GCP. À partir de cette version, NetScaler VPX crée des instances cibles uniquement pour les machines virtuelles qui utilisent la fonctionnalité VIP Scaling.
[NSPLAT-20952]
L’appliance NetScaler génère des alertes de limite de débit de faux paquets par seconde (PPS) avant même que l’appliance NetScaler n’atteigne sa limite de PPS pour la licence.
[ NSHELP-26935 ]
Stratégies
La variable NS avec une portée globale ne fonctionne pas pour le trafic HTTP/2.
[ NSHELP-27095 ]
SSL
Dans une configuration de cluster, lorsque deux certificats installés sont les émetteurs d’un certificat de serveur doté de l’extension OCSP AIA, l’appliance devient inaccessible si vous supprimez le certificat de serveur.
[ NSHELP-28058 ]
Dans une configuration haute disponibilité, l’actualisation automatique des LCR échoue par intermittence si les deux conditions suivantes sont remplies :
- Les fichiers sont synchronisés entre le nœud principal et le nœud secondaire.
- Le fichier CRL est en cours de téléchargement à partir du serveur CRL en même temps.
[ NSHELP-27435 ]
Sur une appliance NetScaler, une fausse notification d’expiration de certificat est enregistrée le jour suivant lorsqu’une paire de clés de certificat est ajoutée avec -ExpiryMonitor activé.
[ NSHELP-27348 ]
Dans une base de données de cluster, la liaison n’est pas mise à jour correctement si vous liez une stratégie SSL à un serveur virtuel au point de liaison Hello du client plusieurs fois et avec des priorités différentes. Par conséquent, une erreur apparaît lorsque vous supprimez la stratégie, même après la dissolution de la liaison du serveur virtuel.
[ NSHELP-27301 ]
L’appliance NetScaler se bloque lors du redémarrage si vous modifiez le nom du certificat intégré (ns-server-certificate) dans le fichier de configuration.
[ NSHELP-26858 ]
Dans une configuration de cluster, vous pouvez rencontrer les problèmes suivants :
- Commande manquante pour la liaison de la paire de clés de certificat par défaut aux services internes SSL sur le CLIP. Toutefois, si vous effectuez une mise à niveau à partir d’une version antérieure, vous devrez peut-être lier la paire de clés de certificat par défaut aux services internes SSL concernés sur le CLIP.
- Différence de configuration entre le CLIP et les nœuds de la commande set par défaut pour les services internes.
- Commande de liaison de chiffrement par défaut manquante aux entités SSL dans la sortie de la commande show running config exécutée sur un nœud. L’omission n’est qu’un problème d’affichage et n’a aucun impact fonctionnel. La liaison peut être visualisée à l’aide de la commande
show ssl <entity> <name>.
[ NSHELP-25764 ]
Système
Une appliance NetScaler peut se bloquer avec une réponse ICAP OPTIONS. Le problème se produit lorsque la valeur d’en-tête autorisée contient une valeur autre que 204.
[ NSHELP-27879 ]
Dans AppFlow, le nombre d’octets de couche 4 pour les enregistrements de flux ne correspond pas aux transactions du serveur virtuel HTTP. La valeur de comptage est inférieure à la valeur du nombre d’octets du serveur virtuel de couche 7.
[ NSHELP-27495 ]
Le compteur TCPCurClientConn affiche une valeur élevée si l’appliance NetScaler est enregistrée sur NetScaler ADM.
[ NSHELP-27463 ]
Une appliance NetScaler peut se bloquer lorsque la fonctionnalité AppFlow est désactivée puis réactivée.
[ NSHELP-27236 ]
Dans de rares cas, une appliance NetScaler peut envoyer des numéros de séquence TCP SACK incorrects au client lors du transfert depuis le serveur principal. Le problème se produit si l’option TCP Selective ACK (SACK) est activée dans un profil TCP.
[ NSHELP-24875 ]
Une appliance NetScaler peut se bloquer lorsqu’une politique contenant l’ HTTP.REQ.* expression est liée au point de liaison RESPONSE du serveur HTTP_QUIC virtuel. Le problème ne se produit pas si vous liez la même stratégie à un serveur virtuel de type HTTP ou SSL avec un serveur HTTP_QUIC virtuel.
[NSBASE-14612]
Interface utilisateur
Dans l’interface graphique du Gestionnaire de stratégies de compression, impossible de lier une stratégie de compression à un protocole HTTP en spécifiant un point de liaison et un type de connexion appropriés.
[NSUI-17682]
Lorsque vous récupérez le contenu d’un fichier à partir d’une instance ADC à l’aide de la commande show systemfile, un message d’erreur d’échec de téléchargement apparaît sur la console ADC. Le problème se produit si le contenu du fichier commence par des octets NULL.
[ NSHELP-28227 ]
Le flot admautoregd SYSLOG entraîne une mauvaise classification et un mauvais diagnostic de la définition des ressources client
(CRD) en raison d’un problème système interne (fichier binaire Python manquant).
Correction : pour arrêter de surveiller le admautoregd processus après 30 minutes si le binaire python est toujours manquant.
[ NSHELP-28185 ]
Il peut y avoir une perte de configuration si une instance VPX sur AWS, configurée avec KEK est mise à niveau vers NetScaler version 13.0 build 76.x ou ultérieure. Toutes les données sensibles chiffrées à l’aide de KEK échouent si la configuration est chargée après un redémarrage.
[ NSHELP-28010 ]
Une barre oblique inverse supplémentaire est incorrectement introduite si des caractères spéciaux sont utilisés dans les arguments de certaines commandes SSL, telles que create ssl rsakey et create ssl cert.
[NSHELP-27378]
Dans une configuration haute disponibilité, la synchronisation HA ou la propagation HA peut échouer si l’une des conditions suivantes est remplie :
- Le mot de passe du nœud RPC comporte des caractères spéciaux.
- Le mot de passe du nœud RPC comporte 127 caractères (nombre maximal de caractères autorisés).
[ NSHELP-27375 ]
L’outil nsconfigaudit peut se bloquer si la taille du fichier de configuration d’entrée est très importante.
[ NSHELP-27263 ]
Vous ne pouvez pas lier un service ou un groupe de services à un serveur virtuel d’équilibrage de charge prioritaire à l’aide de l’interface graphique NetScaler.
[ NSHELP-27252 ]
La fonctionnalité de création de rapports peut cesser de fonctionner si l’horloge système est mise à jour sur une appliance NetScaler.
[ NSHELP-25435 ]
Dans une appliance NetScaler VPX, une opération de capacité définie peut échouer après l’ajout d’un serveur de licences. Le problème se produit car les composants liés à Flexera prennent plus de temps à initialiser en raison du grand nombre de licences prises en charge de type check-in and check-out (CICO)
[NSHELP-23310]
L’appel GET de l’API botprofile_logexpression_binding NITRO ne renvoie aucune réponse si l’expression de journal est liée à un profil de bot.
[NSCONFIG-5490]
Dans une configuration de cluster, lorsque vous liez un profil Web App Firewall avec des règles affinées, puis avec des non-fine-graned règles à la même URL, les règles affinées sont supprimées de la base de données. Par conséquent, seules les règles non affinées sont affichées sur l’adresse IP du cluster.
[NSCONFIG-5389]
Problèmes connus
Les problèmes qui existent dans les versions 13,1-4.44.
AppFlow
HDX Insight ne signale pas d’échec du lancement d’une application provoqué par un utilisateur qui tente de lancer une application ou un bureau auquel l’utilisateur n’a pas accès.
[NSINSIGHT-943]
Authentification, autorisation et audit
Une URL de déconnexion (/cgi/tmlogout) incorrecte est renvoyée lorsqu’un serveur virtuel VPN est configuré en tant que SP SAML. Le problème se produit car l’URL de déconnexion incorrecte est générée dans les métadonnées SAML.
[ NSHELP-28726 ]
Dans certains cas, une fuite de mémoire est observée dans un dispositif NetScaler si la fonctionnalité SSO est utilisée avec un serveur proxy.
[ NSHELP-27744 ]
Dans de rares cas, le nœud secondaire d’une configuration haute disponibilité peut se bloquer si la condition suivante est remplie.
- Le
aaa groupsaaa usersou les deux sont configurés sur l’appliance NetScaler.
[ NSHELP-26732 ]
Une appliance NetScaler n’authentifie pas les tentatives de connexion par mot de passe dupliqué et empêche le verrouillage des comptes.
[NSHELP-563]
Le LoginSchema DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique NetScaler.
[ NSAUTH-6106 ]
Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
show adfsproxyprofile <profile name>
Solution :
Connectez-vous au principal NetScaler actif du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.
[ NSAUTH-5916 ]
La page Configurer le serveur LDAP d’authentification sur l’interface graphique de NetScaler ne répond plus si vous suivez les étapes suivantes :
- L’option Tester l’accessibilité LDAP est ouverte.
- Les informations d’identification de connexion non valides sont renseignées et envoyées.
- Les identifiants de connexion valides sont renseignés et envoyés.
Solution :
Fermez et ouvrez l’option Tester l’accessibilité LDAP.
[ NSAUTH-2147 ]
Mise en cache
Une appliance NetScaler peut se bloquer si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.
[ NSHELP-22942 ]
Appliance NetScaler SDX
Sur une appliance NetScaler SDX, la création d’une instance ADC à l’aide d’une image XVA de la version logicielle 12.0 échoue. Par conséquent, l’instance est inaccessible.
[ NSHELP-28408 ]
NetScaler Gateway
Parfois, après la déconnexion du VPN, le résolveur DNS ne parvient pas à résoudre les noms d’hôtes, car les suffixes DNS sont supprimés lors de la déconnexion du VPN.
[ NSHELP-28848 ]
Après la mise à niveau de l’appliance NetScaler Gateway vers la version 13.0, la configuration du proxy dans le profil de session ne fonctionne pas comme prévu. La connexion proxy est contournée pour le proxy NS non HTTP configuré.
Exemple : add vpn sessionAction -proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24
Dans cet exemple, -HttpProxy fonctionne comme prévu mais -SSLProxy ne fonctionne pas.
[NSHELP-28640]
L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.
[ NSHELP-28551 ]
Parfois, un utilisateur est déconnecté de NetScaler Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.
[ NSHELP-28404 ]
Le plug-in Windows peut se bloquer pendant l’authentification.
[ NSHELP-28394 ]
L’appliance NetScaler se bloque si l’une des conditions suivantes se produit :
- L’action Syslog est configurée avec le nom de domaine et vous effacez la configuration à l’aide de l’interface graphique ou de l’interface de ligne de commande.
- La synchronisation haute disponibilité se produit sur le nœud secondaire.
Solution :
Créez une action Syslog avec l’adresse IP du serveur Syslog au lieu du nom de domaine du serveur Syslog.
[ NSHELP-25944 ]
Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.
[ NSHELP-23937 ]
Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :
- L’appliance NetScaler Gateway est configurée pour la fonctionnalité Always On
- L’appliance est configurée pour l’authentification par certificat avec une authentification à deux facteurs.
off
[ NSHELP-23584 ]
Parfois, lorsque vous parcourez les schémas, le message d’erreur Cannot read property 'type' of undefined s’affiche.
[ NSHELP-21897 ]
L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.
[ CGOP-13621 ]
Le rapport Gateway Insight affiche incorrectement la valeur Local plutôt que SAML dans le champ Type d’authentification en cas d’échec d’erreur SAML.
[ CGOP-13584 ]
Dans une configuration à haute disponibilité, lors du basculement de NetScaler, le nombre de SR augmente au lieu du nombre de basculements dans NetScaler ADM.
[ CGOP-13511 ]
Lorsque vous acceptez les connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche du contenu en anglais, quelle que soit la langue sélectionnée.
[ CGOP-13050 ]
Le texte de Home Page l’ application Citrix SSO > Page d’accueil est tronqué pour certaines langues.
[ CGOP-13049 ]
Un message d’erreur s’affiche lorsque vous ajoutez ou modifiez une politique de session depuis l’interface graphique de NetScaler.
[ CGOP-11830 ]
Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique . De plus, la page ne répond plus.
[ CGOP-7269 ]
Dans un déploiement de cluster, si vous exécutez la commande force cluster sync sur un nœud non CCO, le fichier ns.log contient des entrées de journal en double.
[ CGOP-6794 ]
Web App Firewall NetScaler
L’ID de signature 1048 du Web App Firewall bloque le chargement de la page NetScaler Gateway.
[NSHELP-29113]
Équilibrage de charge
Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.
[ NSLB-7679 ]
Le groupe de services GSLB ne peut pas gérer les mises à jour du moniteur en raison d’une valeur ENUM manquante dans les commandes ayant échoué.
[ NSHELP-29050 ]
L’appliance NetScaler peut ne pas répondre à une requête de domaine GSLB avec l’adresse IP du service GSLB attendue, si le serveur virtuel GSLB est configuré comme suit : Type de persistance : adresse IP source Algorithme d’équilibrage de charge : proximité statique Méthode d’équilibrage de charge de sauvegarde : temps aller-retour (RTT)
[ NSHELP-28668 ]
Les sites principaux et secondaires VPX se sont plantés après avoir configuré le groupe de services GSLB avec Autoscale activé.
Solution : n’ajoutez pas de serveurs virtuels fictifs, tels que le serveur virtuel de commutation de contenu lorsque vous ajoutez un service GSLB ou liez un port IP à un groupe de services GSLB.
[ NSHELP-28530 ]
Dans une configuration HA, une appliance NetScaler perd sa connectivité car la mémoire du NSB n’est pas libérée après l’envoi de la réponse HTTP lors de la surveillance de la sonde HTTP.
[ NSHELP-28466 ]
Le format ServiceGroupName dans le entityofs piège pour le groupe de services est le suivant :
<service(group)name>?<ip/DBS>?<port>
Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (?) est utilisé comme séparateur. NetScaler envoie le piège avec le point d’interrogation ()?. Le format apparaît de la même manière dans l’interface graphique de NetScaler ADM. C’est le comportement attendu.
[ NSHELP-28080 ]
Divers
Lorsqu’une synchronisation forcée a lieu dans une configuration haute disponibilité, l’appliance exécute la commande set urlfiltering parameter sur le nœud secondaire.
Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre TimeOfDayToUpdateDB.
[ NSSWG-849 ]
La correspondance du modèle de jeu d’URL échoue pour les domaines standard IDNA2008.
[ NSHELP-28902 ]
Lorsque le transfert basé sur Mac (MBF) est activé pour VXLAN, la session TCP avec état n’était pas établie.
[ NSHELP-27125 ]
Une appliance NetScaler peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.
[ NSHELP-22409 ]
Réseau
Une appliance NetScaler BLX en mode DPDK peut se bloquer si un profil de pare-feu d’applications Web est configuré avec des contrôles de protection de sécurité avancés.
Solution :
Supprimez la configuration de protection de sécurité avancée pour WAF.
[NSNET-22654]
Après une mise à niveau de l’appliance NetScaler BLX 13.0 61.x vers la version 13.0 64.x, les paramètres du fichier de configuration BLX sont perdus. Le fichier de configuration BLX est ensuite réinitialisé par défaut.
[ NSNET-17625 ]
Les opérations d’interface suivantes ne sont pas prises en charge pour les X710 10G (i40e) interfaces Intel sur une appliance NetScaler BLX avec DPDK :
- Désactiver
- Activer
- Réinitialiser
[ NSNET-16559 ]
Sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure), une appliance NetScaler BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX ()./etc/blx/blx.conf Ce problème se produit car mawk, qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier blx.conf.
Solution :
Effectuez l’installation gawk avant d’installer une appliance NetScaler BLX. Vous pouvez exécuter la commande suivante dans l’interface de ligne de commande de l’hôte Linux pour effectuer l’installation de gawk :
- apt-get install gawk
[ NSNET-14603 ]
L’installation d’une appliance NetScaler BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :
The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable
Solution :
Exécutez les commandes suivantes dans l’interface de ligne de commande hôte Linux avant d’installer une appliance NetScaler BLX :
- dpkg --add-architecture i386
- apt-get update
- apt-get dist-upgrade
- apt-get install libc6:i386
<!--NeedCopy-->
[NSNET-14602]
Dans certains cas de connexions de données FTP, l’appliance NetScaler effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.
[NSNET-5233]
Dans le cadre d’un déploiement NAT à grande échelle de deux appliances NetScaler dans une configuration haute disponibilité, l’ALG IPsec peut ne pas fonctionner correctement si l’une ou l’autre option de la configuration haute disponibilité est stayprimary définie. staysecondary
[ NSNET-1646 ]
Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance NetScaler, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.
[ NSHELP-21082 ]
Dans une configuration haute disponibilité (HA), si l’ARP gratuit (GARP) est désactivé, le routeur amont risque de ne pas diriger le trafic vers le nouveau serveur principal après un basculement HA.
[ NSHELP-20796 ]
Plateforme
Lorsque vous effectuez une mise à niveau d’une version 13.0/12.1/11.1 vers une version 13.1 ou que vous rétrogradez d’une version 13.1 vers une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances NetScaler. Ce problème est résolu pour les versions suivantes de NetScaler :
- 13.1-4.x
- 13.0—82.31 et versions ultérieures
- 12.1—62.21 et versions ultérieures
Les packages python ne sont pas installés lorsque vous rétrogradez les versions de NetScaler de 13.1-4.x vers l’une des versions suivantes :
- Toute version 11.1
- 12.1-62.21 et versions antérieures
- 13.0-81.x et versions antérieures
[NSPLAT-21691]
Provisioning d’une instance VPX avec la version 12.0 XVA échoue sur une appliance NetScaler SDX exécutant la version 13.1.
Seules les versions 12.1 et ultérieures de VPX sont prises en charge. Mettez à niveau la version VPX avant de mettre à niveau le SBI vers la version 13.1.
[NSPLAT-21442]
Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance NetScaler. Utilisez la commande rm cloudprofile pour supprimer le profil.
[NSPLAT-4520]
Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran du premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche. Solution : ignorez l’écran et connectez-vous au nœud principal pour créer le profil cloud. Le profil cloud doit toujours être configuré sur le nœud principal.
[NSPLAT-4451]
Les instances NetScaler VPX qui utilisent le pilote VMXNET3 peuvent se bloquer de manière aléatoire si l’instance s’exécute sur l’une des versions NetScaler suivantes :
- NetScaler 13.1 version 4.x
- NetScaler 13.1 version 9.x
[ NSHELP-29120 ]
Stratégies
Les connexions peuvent se bloquer si la taille des données de traitement est supérieure à la taille de tampon TCP par défaut configurée.Solution : définissez la taille du tampon TCP sur une taille maximale de données à traiter.
[ NSPOLICY-1267 ]
SSL
Sur un cluster hétérogène d’appliances NetScaler SDX 22000 et NetScaler SDX 26000, il y a une perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.
Solution :
- Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple,
set ssl vserver <name> -SSL3 DISABLED. - Enregistrez la configuration.
[NSSSL-9572]
La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :
- add azure application
- add azure keyvault
- add ssl certkey with hsmkey option
<!--NeedCopy-->
[NSSSL-6484]
Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.
[NSSSL-6478]
Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance NetScaler ne renvoie aucune erreur.
[NSSSL-6213]
Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT de type HSM.
ERREUR : crl refresh disabled
[NSSSL-6106]
L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)
[NSSSL-4427]
Un message d’avertissement incorrect Warning: No usable ciphers configured on the SSL vserver/service, s’affiche si vous essayez de modifier le protocole SSL ou le chiffrement dans le profil SSL.
[NSSSL-4001]
Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.
[NSSSL-3184]
Une appliance NetScaler se bloque lors du traitement d’une requête HTTP si l’action de politique est définie sur Forward pour une politique déjà liée au point de liaison de la demande.
[ NSHELP-29115 ]
Système
Une fuite de fenêtre TCP est observée lorsqu’une appliance NetScaler traite des trames d’en-tête HTTP/2.
[ NSHELP-28475 ]
Lorsqu’un client réinitialise une connexion avec plusieurs flux TCP, l’enregistrement de transaction côté serveur n’est pas envoyé, ce qui entraîne l’absence d’enregistrements L4 pour ces flux de données.
[NSHELP-28281]
Dans une configuration en cluster, la set ratecontrol commande ne fonctionne qu’après le redémarrage de l’appliance NetScaler.
Solution :
Utilisez la commande nsapimgr_wr.sh -ys icmp_rate_threshold=<new value>.
[NSHELP-21811]
La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas le cadre de paramètres max_concurrent_stream du client.
[ NSHELP-21240 ]
Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.
[ NSHELP-10972 ]
L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.
[ NSBASE-8506 ]
Interface utilisateur
Dans l’interface graphique de NetScaler, le Help lien présent sous l’ Dashboard onglet est rompu.
[NSUI-14752]
L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.
Solution :
Configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de la CLI de NetScaler.
[NSUI-13024]
Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.
[NSUI-6838]
Le problème suivant est observé si une opération est effectuée pour lire le fichier ns.conf. Par exemple, show ns saved config.
- Le processus HTTPD peut se figer, ce qui rend l’interface graphique et l’API NITRO inaccessibles.
[ NSHELP-28249 ]
Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :
- Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.
Solution :
Effectuez le basculement HA manuel successif uniquement après la fin de la synchronisation HA (les deux nœuds sont en état de réussite de la synchronisation).
[ NSHELP-25598 ]
Le chargement et l’ajout d’un fichier de liste de révocation de certificats (CRL) échouent dans la configuration d’une partition d’administration.
[ NSHELP-20988 ]
Lorsque vous rétrogradez la version 13.0-71.x d’une appliance NetScaler vers une version antérieure, certaines API NITRO peuvent ne pas fonctionner en raison des modifications des autorisations de fichiers.
Solution :
Modifiez l’autorisation pour /nsconfig/ns.conf à 644.
[NSCONFIG-4628]
Si vous (administrateur système) effectuez toutes les étapes suivantes sur une appliance NetScaler, les utilisateurs du système risquent de ne pas se connecter à l’appliance NetScaler rétrogradée.
-
Mettez à niveau l’appliance NetScaler vers l’une des versions suivantes :
- 13.0 52.24 build
- 12.1 57.18 build
- 11.1 65.10 build
- Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
- Rétrogradez l’appliance NetScaler vers une version antérieure.
Pour afficher la liste de ces utilisateurs système à l’aide de l’interface de ligne de commande : À l’invite de commandes, tapez :
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
Solution :
Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :
- Si l’appliance NetScaler n’est pas encore rétrogradée (étape 3 des étapes mentionnées précédemment), rétrogradez l’appliance NetScaler à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
- Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
- Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.
Pour plus d’informations, consultez Comment réinitialiser le mot de passe de l’administrateur racine.
[NSCONFIG-3188]
L’une des opérations de mise à niveau de NetScaler suivantes peut entraîner un échec de connexion pour les comptes utilisateur du système local :
- de la version NetScaler 13.0-83.x à la version NetScaler 13.1-4.x
- de la version NetScaler 12.1-63.x à la version NetScaler 13.1-4.x
- de la version NetScaler 12.1-63.x à la version NetScaler 13.0-82.x
Ce problème se produit uniquement pour les comptes d’utilisateurs du système local qui répondent à l’une des conditions suivantes :
- le mot de passe utilisateur a été modifié pour le compte système local sur la version NetScaler (13.0-83.x ou 12.1-63.x) avant d’effectuer l’opération de mise à niveau.
- le compte utilisateur du système local a été ajouté sur la version NetScaler (13.0-83.x ou 12.1-63.x) avant d’effectuer l’opération de mise à niveau.
Solution :
Un administrateur système peut réinitialiser le mot de passe des comptes d’utilisateurs du système local confrontés au problème d’échec de connexion.
Pour plus d’informations, consultez Comment réinitialiser le mot de passe de l’administrateur racine.
[NSCONFIG-5650]
Partager
Partager
Dans cet article
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.