ADC

查看 PDF

NetScaler 13.1-42.47 版本的发行说明

May 11, 2023

投稿者:

本发行说明文档介绍了 NetScaler 版本 Build 13.1-42.47 中存在的增强和更改、已修复和已知问题。

备注

本发行说明文档不包括与安全相关的修补程序。有关安全相关修复和建议的列表，请参阅安全公告。

新增功能

版本 13.1-42.47 中提供的增强和更改。

Bot Management

支持在机器人设置中停止 IP 信誉下载

禁用 IP 信誉功能后，在 NetScaler 机器人管理设置中将默认非侵入性配置文件设置为 BOT_BYPASS。此配置停止 IP 信誉下载。

要更改 Bot Management 设置，请导航到“安全”>“NetScaler bot Management”>“更改 NetScaler bot Management 设置”。

[NSBOT-1050、NSHELP-34310、NSHELP-33835、NSHELP-34410]
新的机器人违规行为出现在 NetScaler ADM GUI 中

NetScaler ADM GUI 中新引入了以下机器人违规行为：
- 没有用户代理标头
- 多个用户代理标头
应用程序服务器使用用户代理标头信息来了解有关传入请求的更多信息。某些机器人请求可以有多个用户代理标头或没有用户代理标头。您可以使用 NetScaler 机器人管理配置文件检测此类机器人违规行为。然后，使用 NetScaler ADM GUI 监视机器人违规情况。有关更多信息，请参阅违规类别。

[NSBOT-1023]

NetScaler SDX 设备

管理服务已弃用 SD-WAN 支持

从版本 13.1 build 42.x 及更高版本起，NetScaler SDX 设备不再支持 SD-WAN。

[NSSVM-5465]
在配置或编辑 VPX 时，“网关”和“Nexthop”字段是可选的

在 NetScaler SDX 设备管理服务中，当满足以下条件时， Gateway 和 Nexthop 字段不再是配置、编辑、备份或恢复 VPX 的必填字段：
- 以下任一选项均为真：
  - VPX 启用“通过内部网络管理”。
  - VPX IP 地址与管理服务 IP 地址位于同一个子网中。
- VPX 预置了 13.0-88.9 或 13.1-37.8 版本及其更高版本。
有关更多信息，请参阅配置 NetScaler 实例。

[NSSVM-5307]

NetScaler Gateway

默认情况下，支持启用 EDT 的 DF 位传播

在 NetScaler Gateway 设备上，默认情况下，EDT 路径最大传输单元发现 (PMTUD) 选项的 DF 位强制执行现已启用。此选项可防止可能导致性能下降或无法建立会话的 EDT 分段。以前，默认情况下，此选项处于禁用状态。管理员必须使用 ICA 参数设置启用该选项。

[CGOP-22615]

NetScaler Web App Firewall

使用 CLI 或 API 在 NetScaler Web App Firewall 中启用签名

现在，您可以通过 CLI 命令或 API 调用在 NetScaler Web App Firewall 中启用个人签名。为此，请按其 ID 或类别选择签名，然后设置操作。以前，您只能通过上载签名文件来启用签名。

Example-1:

import appfw signature DEFAULT object_name -sigRuleId 1001 9882 2000 1250 810 -Enabled ON -Action LOG BLOCK

示例 2：
import appfw signature DEFAULT object_name -sigCategory web-misc -Enabled ON -Action LOG BLOCK

请参阅使用 CLI 添加单个签名。

[NSWAF-9333]
NetScaler Web App Firewall 签名的新匹配模式

对于 NetScaler Web App Firewall 签名，您现在可以选择以下新的匹配模式：
- 命令注入
- SQL 注入语法
- 命令注入语法
NetScaler Web App Firewall 会查找所选模式并对攻击进行分类。

注意：您只能修改自定义签名的签名规则模式。

有关更多信息，请参阅添加签名规则模式。

[NSWAF-9280]
配置全局列表以绕过 WAF 或拒绝请求

现在，您可以在 NetScaler Web App Firewall 配置文件中配置全局列表以绕过 Web App Firewall 或拒绝请求。如果传入的请求与全局绕过列表匹配，则它们会跳过 NetScaler 中的 Web App Firewall。如果传入的请求与全局拒绝列表匹配，NetScaler Web App Firewall 会阻止这些请求并应用定义的操作。

绕过和拒绝列表支持 URL、IPv4 和 IPv6 地址。您可以使用文字、PCRE 和表达式来指定它们。有关更多信息，请参阅管理全局列表以绕过 WAF 或拒绝请求。

[NSWAF-8981]
简化了 NetScaler Web App Firewall 配置文件的创建，以保护 CVE 的攻击

通过在 NetScaler Web App Firewall 中应用适当的签名来保护您的 NetScaler 设备。您可能需要在不执行任何其他安全检查的情况下保护设备免受 CVE 的侵害。在这种情况下，您现在可以创建一个配置文件来禁用 NetScaler Web App Firewall 的剩余检查。

在 NetScaler Web App Firewall 配置文件中，选择 CVE 选项作为默认值。使用此选项，您只需添加和绑定签名即可。它会自动禁用剩余的检查。以前，您必须逐一手动禁用配置文件中的安全检查。

有关更多信息，请参阅创建 Web App Firewall 配置文件。

[NSWAF-8970]

平台

支持 VMware vSphere 8.0.0b

NetScaler VPX 实例现在支持 VMware vSphere 8.0.0b（构建 20513097）。

[NSPLAT-25844]
在公有云中支持使用同一 AutoScaling 组的多个服务

对于公有云中的后端自动缩放功能，NetScaler VPX 实例现在支持具有相同自动缩放组的多个服务。Azure、AWS 和 GCP 云支持此功能。在 NetScaler GUI 中，您可以使用云中的相同自动扩展组为不同的服务（使用不同的端口）创建不同的云配置文件。

早些时候，NetScaler VPX 实例支持仅限于每个自动扩展组的单一服务。您必须为不同的服务添加不同的自动缩放组。

[NSPLAT-21596]
在 VMware ESXi 虚拟机管理程序上支持带有 SR-IOV 的 Mellanox ConnectX-4 NIC

NetScaler VPX 实例现在支持 VMware ESXi 虚拟机管理程序上带有 SR-IOV 的 Mellanox ConnectX-4 NIC。

[NSPLAT-20295]

策略

增加可以绑定到模式集的模式的限制

在 NetScaler 设备中，您现在可以将 50000 个模式绑定到模式集。使用模式集文件，只能将 10000 个模式绑定到模式集。此外，如果在流媒体中使用模式集，则只能将 5000 个模式绑定到该模式集。在重写操作搜索参数、HTTP 正文或基于 TCP 负载的表达式中使用了流式传输模式集。以前，只能将 5000 个模式绑定到一个模式集。

[NSPOLICY-2733]
支持与客户端和服务器端的 UDP 标头和有效负载相关的所有表达式

对客户端和服务器端的 UDP 标头和有效负载进行了以下增强：
- 与 UDP 协议相关的表达式分为客户端表达式和服务器端表达式。
- 之前的支持仅适用于客户端表达式，服务器端使用了相同的表达式。
- UDP 协议现在支持服务器端表达式。此表达式可用于提取 UDP 源端口、目标端口、长度、校验和和负载。
- 客户端表达式还得到了增强，可以从给定的 UDP 数据包中提取长度、校验和和负载。
- 为了向后兼容，如果在服务器端使用客户端表达式，则将继续支持该表达式。Citrix 建议您在服务器端使用服务器端表达式。
有关更多信息，请参阅 TCP、UDP 和 VLAN 数据的表达式。

[NSPOLICY-1829]

SSL

支持交叉签名证书验证

NetScaler 设备现在支持交叉签名证书验证。如果证书由多个颁发者签名，则如果根证书的有效路径至少有一个，则验证通过。

以前，如果证书链中的一个证书是交叉签名的，并且有多个指向根证书的路径，则 ADC 设备仅检查一条路径。如果该路径无效，则验证失败。

[NSSSL-11259]

系统

支持从 NetScaler 设备将指标直接导出到 Prometheus

NetScaler 现在支持将指标直接导出到 Prometheus。借助此功能，Prometheus 无需任何外部导出器即可直接从 NetScaler 实例提取指标。以前，需要在设备外部使用导出器资源才能将指标从 NetScaler 导出到 Prometheus 服务器。

有关更多信息，请参阅使用 Prometheus 监视 NetScaler 和应用程序。

[NSBASE-17100]

用户界面

支持 systemfile NITRO API 的 8 MB 上载限制

systemfile NITRO API 的最大上载限制已从 2 MB 提高到 8 MB。

[NSCONFIG-7089]
在 NITRO API 响应中支持 64 位数值

早些时候，NetScaler 设备在 NITRO API 响应中以字符串形式返回无符号整数或长属性类型值，因为这些类型不支持整数响应。此外，设备以整数形式返回了双重数据类型的 stats-counter-rate 值。

NITRO API 现在支持 64 位整数。这种支持使设备能够在 NITRO API 响应中返回以下内容：
- 无符号整数或长整数数据类型的精确整数值而不是字符串。
- 精确的序列化计数器速率值，而不是整数。
引入了一个新的查询参数 largeintsupport ，用于在 NITRO API 中启用 64 位整数支持。

largeintsupport 在 NITRO API 请求 yes 中设置为时，NetScaler 设备会在 NITRO API 响应中返回确切的整数值。largeintsupport 设置为 no 时，将保留之前的功能，这也是默认设置。

[NSCONFIG-5399]

已修复的问题

版本 13.1-42.47 中解决的问题。

身份验证、授权和审核

升级 NetScaler 设备时，用户无法使用 RADIUS 身份验证访问 NetScaler 设备。

[NSHELP-33200]
在 NetScaler GUI 上， 身份验证虚拟服务器 页面上的 响应策略 部分不显示响应程序类型的缓存策略。

[NSHELP-33111]
通过 CWA 客户端或本地 VPN 客户端进行的网关身份验证可能会因为 ns_aaa_relaystate_param_whitelist 补丁集中缺少字符串而失败。

[NSHELP-33054]
当 SSO 凭据中使用了错误的用户主体名称时，使用高级加密类型的 Kerberos SSO 模拟可能会失败。

[NSHELP-32890，NSHELP-34087]

Bot Management

如果签名文件的格式无效，NetScaler 设备在处理机器人签名时崩溃。

[NSHELP-33690]
在 NetScaler GUI 中，用户定义的机器人签名显示的基本版本不正确。

[NSHELP-33546]

NetScaler SDX 设备

升级 NetScaler SDX 设备时，在极少数情况下，管理服务 GUI 中会出现以下错误事件：

“SVM 版本和虚拟机管理程序版本不兼容”

[NSHELP-32949]

NetScaler Gateway

在评估 VPN URL 的经典策略时，NetScaler Gateway 设备崩溃。

[NSHELP-33683、CGOP-20369、NSHELP-34002、NSHELP-34030、NSHELP-34052、NSHELP-34076、NSHELP-34077、NSHELP-34327、NSHELP-34402、NSHELP-34402]
升级 NetScaler 设备后，RDP 代理 URL 不适用于 X1 门户主题，并出现
“未找到 Http/1.1 对象”消息。

[NSHELP-33676、NSHELP-33845、NSHELP-33921、NSHELP-34032]
升级 NetScaler 设备时，设备可能会在处理 UDP 流量时崩溃。

[NSHELP-33417，NSHELP-34031]
升级 NetScaler 设备后，RDP 代理 URL 变得不可访问，并出现错误消息“未找到 Http/1.1 对象”。当 RDP URL 的自定义参数包含空格时，就会出现此问题。

[NSHELP-33333]
在 NetScaler Gateway 高可用性设置中，主设备和辅助设备可能会在故障转移期间崩溃。

[NSHELP-33198，NSHELP-33483]
故障切换后，某些 VPN 会话可能会被清除或从辅助 ADC 设备中删除。

[NSHELP-33125]
如果启用 HDX Insight 并且用户在注销后立即登录 StoreFront，NetScaler Gateway 设备可能会崩溃。

[NSHELP-32907、NSHELP-33079、NSHELP-33289]
在极少数情况下，NetScaler 设备在 VPN 部署中获取 STA 监视器时可能会崩溃。

[NSHELP-32893]
升级 NetScaler Gateway 设备后，NetScaler GUI 中不显示“配置”>“与 NetScaler 产品集成”部分。

[NSHELP-32335]
当 CA 证书来自不同的域时，用于检查客户端设备的 CA 证书的 EPA 扫描在 NetScaler 设备上失败。

[NSHELP-32118]
在 NetScaler 设备上启用 GSLB 时，适用于 macOS 的 Citrix EPA 插件会崩溃。

[CGOP-22722]

NetScaler Web App Firewall

在 NetScaler Web App Firewall 中，当您启用流式传输和字段一致性检查时，它会延迟将负载传输到源服务器。结果，负载的 POST 方法失败。

[NSHELP-33700]
Cookie 劫持重定向会从请求 URL 中删除查询参数。因此，重定向的请求可能会失败。

[NSHELP-33633，NSHELP-33812]

负载平衡

如果您使用相同的 GSLB 虚拟服务器作为多个 GSLB 虚拟服务器的备份，则辅助节点可能会崩溃。

[NSHELP-33400，NSHELP-34247]
如果在 GSLB 虚拟服务器上配置了以下设置，NetScaler 设备将无法使用正确的服务 IP 地址响应 GSLB 域查询：
1. ECS 选项已启用。
2. 静态邻近被配置为负载平衡方法。
[NSHELP-32879]

网络连接

在 INC 模式下的高可用性设置中，当 HA 版本不匹配时，辅助节点可能会从主节点获知无效路由。

[NSHELP-33948]
在配置了 OSPF 路由的 NetScaler 设备中，即使存在 OSPF 默认路由 LSA，也不会安装默认路由。

[NSHELP-33070]
当满足以下所有条件时，SSH 会话的几个传入数据包中可能会错误地显示不同的接收接口号和 VLAN ID： nstrace
- SSH 会话客户端的 ECMP 路由存在于 NetScaler 设备上。
- SSH 会话处于空闲状态几秒钟。
[NSHELP-32734]
将 SNMP MIB 文件加载到网络早间工具可能会失败，因为文件中的 SNMP 陷阱名称 dataStreamRateLimitHit 不是驼峰大小写的。

[NSHELP-32634]
在大规模 NAT 64 设置中，NetScaler 设备可能会因为内部数据包引擎不匹配问题而崩溃。

[NSHELP-31985]
在管理分区中配置了其中一个 GSLB 站点 IP 地址的 GSLB 设置中，来自上游路由器的 ARP 对此 GSLB 站点 IP 地址的请求无法到达管理分区。当满足以下所有条件时，就会出现此问题：
- 共享 VLAN 绑定到管理分区。
- SNIP IP 地址，比如 SNIP-1，与 GSLB 站点 IP 地址位于同一个子网中，共享 VLAN 上存在。
- 添加了与 GSLB 站点 IP 地址位于同一子网中的另一个 SNIP IP 地址，比如 SNIP-2，并移除了 SNIP-1。
[NSHELP-30552]

平台

对于在具有 VMXNET3 接口的 VMware ESX 虚拟机管理程序上的 NetScaler VPX 版本 13.1 版本 37.38，您会在 HA 设置中看到以下行为：

未配置 NetScaler VPX HA 对，因为 HA 节点之间的通信尚未建立。因此，对等节点的状态显示为 UNKNOWN。

[NSPLAT-25677]
当您在 ESX vSphere 客户端的 OVF 模板中提供预启动用户数据时，ESXi 主机不应用预启动配置。

[NSPLAT-24233，NSPLAT-25551]
如果您在 AWS VPC 的 DHCP 选项集中配置了三个以上的 DNS 服务器名称，DNS 解析将失败。此问题出现在版本早于 13.1 build 42.x 的 NetScaler VPX 实例中。

[NSHELP-33171]
在 NetScaler SDX 8015/8400/8600 平台上，您可能会看到 Xen Server 的内存消耗增加。

[NSHELP-32260]
当在具有 10G 接口的 NetScaler SDX 设备上发送大量流量时，您可能会遇到传输停顿的情况。

[NSHELP-31232]

SSL

虚拟服务器由于 TLS1.3 连接失败而崩溃，这是因为 NetScaler 设备耗尽内存，并且在 TLS 1.3 握手开始期间内存分配请求失败。

通过此修复，TLS 1.3 连接将失败，但设备不会崩溃。

[NSSSL-12200]
如果满足以下条件，虚拟服务器可能会错误地终止 TLS 1.3 握手并 decrypt_error 发出警报：
- 客户端正在使用证书进行身份验证。
- 虚拟服务器配置为使用 OCSP 或 CRL 执行证书状态检查。
- 客户端在同一 TLS 记录中发送证书和证书验证消息。
[NSHELP-33355]
解除绑定默认密码后，当您在虚拟服务器上禁用协议版本，然后尝试将密码与描述中列出的该协议绑定时，会出现以下错误消息。

No usable ciphers configured on the SSL vserver/service

此消息不正确，因为虚拟服务器上启用的其他协议支持该密码。例如，

密码名称：TLS1-ECDHE-RSA-AES256-SHA
描述：SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014

从 SSLv3（SSLv3、TLS1、TLS11、TLS12）开始的所有协议都支持此密码。当您在虚拟服务器上禁用 SSLv3 然后尝试将此密码绑定到该虚拟服务器时，即使虚拟服务器上仍启用 TLS1、TLS11、TLS12 协议，也会出现警告。

通过此修复，只有在配置不支持密码时才会出现警告。

[NSHELP-32739]
NetScaler 设备不允许配置 notBefore date 早于 1970 的证书。

[NSHELP-32677]
如果满足以下条件，NetScaler 设备可能会崩溃：
- 客户端将 Client Hello 消息中的 TLS1.3 早期数据发送到 SSL Insight 虚拟服务器。
- ECDHE 密码已在此虚拟服务器上启用。
[NSHELP-31560]

系统

升级到 NetScaler 13.1 后，不兼容 RFC 的客户应用程序（RFC 7230）可能会出现故障。之所以出现此故障，是因为在 NetScaler 设备上强制执行了合规性检查以符合 RFC 7230。

作为修复的一部分，这项特定的合规性检查移至 HTTP 配置文件参数“-markRfc7230NonCompliantInval”下。**客户可以禁用此前强制执行的合规性检查。

[NSHELP-34046]
当满足以下两个条件时，NetScaler 设备可能会崩溃：
- 内容检查设备向 ADC 设备发送重置 (RST) 响应，其中一个入侵防御系统 (IPS) 资源未被正确清除。
- 在进一步的交易中会访问相同的 IPS 资源。
[NSHELP-33691]
在某些情况下，NetScaler 设备在处理处于 TIME_WAIT 状态的服务器连接发送的更正确认时可能会崩溃。

[NSHELP-33469]
NetScaler 设备在尝试访问已释放的 ICAP 上的资源时可能会崩溃。当 ICAP 处于响应修改 (RESPMOD) 模式时，就会发生这种情况。

[NSHELP-33403]
NetScaler 设备无法一致地从分区发送 Logstream 数据。

[NSHELP-33237]
NetScaler 设备无法解析分块值时中止连接。当 Transfer-Encoding 标头有多个值且 Chunked 不是第一个值时，就会出现此问题。

[NSHELP-32420]
如果 NetScaler 设备处理与服务器端 TCP 连接相关的纠正 ACK 数据包，它可能会崩溃。

[NSHELP-32290]
当配置有 SSL 服务的 NetScaler 设备收到 TCP FIN 控制数据包后接收 TCP RESET 控制数据包时，该设备会崩溃。

[NSHELP-31656]

用户界面

当您创建 JSON 类型的 NetScaler Web App Firewall 配置文件并尝试更新 配置文件设置时， JSON 错误对象 会显示一个空列表。

[NSUI-18453]
即使在系统全局设置中启用了“允许默认分区”选项，绑定到一组管理分区的系统用户帐户也可能无法通过 NITRO API 访问默认分区。

[NSHELP-33990]
NetScaler 机器人管理配置文件的链接错误地显示在“流量管理”>“内容切换”页面中。当您单击该链接时，它会呈现一个空白页面。如果您将机器人策略绑定到内容交换虚拟服务器，则会出现此问题。

[NSHELP-33697]
如果您的用户名或域名具有特殊字符，则登录 NetScaler GUI 将失败。

[NSHELP-33684]
清除正在运行的 NetScaler 配置时，即使 RBAconfig 参数设置为“否”，由经典 TACACS 配置创建的 NetScaler 管理会话也会断开连接。

[NSHELP-33655]
当用户查看内容交换策略上的绑定时，内容交换虚拟服务器的详细信息不会显示在“显示绑定”下的同一行中。

[NSHELP-33149]
支持关机 NITRO API 中的关机选项

shutdown NITRO API 现在支持“立即关闭-p”选项，用于关闭 NetScaler 设备并将其电源。

示例：

在以下 curl 请求示例中， shutdown NITRO API 与“-p now”选项一起使用，用于关闭 IP 地址为 192.0.0.33 的 NetScaler 设备并关闭其电源。

`curl -v -X POST -H Content-Type: application/json -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/install?warning=yes -d ‘{“shutdown”: {“args”:”-p now”}}’`

[NSHELP-32915]
创建 NetScaler Web App Firewall 的配置文件并尝试在“系统”>“报告”中生成应用程序防火墙的配置报告后，出现以下错误：

“无法加载 PDF 文档。“

[NSHELP-32469]
在群集设置中，使用 NetScaler GUI 创建虚拟服务器时，TFTP 选项不会显示在协议列表中。

[NSHELP-32036]
在 NetScaler GUI 上，系统日志文件页面（配置 > 系统 > 审计 > 系统日志消息）和日志页面（配置 > 身份验证 > 日志）无法加载日志文件。

[NSHELP-30868]
在 NetScaler GUI 上，“已保存与正在运行”配置屏幕（系统 > 诊断）错误地显示 HTML 标签而不是显示纯文本。

[NSHELP-27169]
在 NetScaler GUI 中查看绑定到内容交换策略标签的策略时，即使有更多策略绑定到该策略标签，也只显示 25 个策略。

[NSHELP-23428]

已知问题

13.1-42.47 版本中存在的问题。

AppFlow

HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

[NSINSIGHT-943]

身份验证、授权和审核

管理员无法对因凭证无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题，是因为 NetScaler 响应程序策略无法检测到登录失败的错误。

[NSAUTH-11151]
可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时，代理配置文件的状态错误地显示为空白。
show adfsproxyprofile <profile name>

解决方法：连接到群集中的主活动 NetScaler 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

[NSAUTH-5916]
如果执行以下步骤，NetScaler GUI 上的配置身份验证 LDAP 服务器页面将无响应：
- 测试 LDAP 可达性选项已打开。
- 填充并提交了无效的登录凭据。
- 将填充并提交有效的登录凭据。
解决方法：关闭并打开“测试 LDAP 可访问性”选项。

[NSAUTH-2147]

NetScaler SDX 设备

如果满足以下条件，则会在 NetScaler SDX 设备上托管的 VPX 实例上看到丢包：
- 吞吐量分配模式为突发。
- 吞吐量和最大突增容量之间存在很大差异。
[NSHELP-21992]

NetScaler Gateway

如果与 Citrix Secure Access 相关的注册表值大于 1500 个字符，日志收集器将无法收集错误日志。

[NSHELP-33457]
使用 Windows 筛选平台 (WFP) 驱动程序时，有时在重新连接 VPN 后无法访问内联网。

[NSHELP-32978]
对于没有管理权限的用户，Citrix Secure Access 客户端（版本 21.7.1.2 及更高版本）无法升级到更高版本。仅当通过 Citrix NetScaler 设备完成 Citrix Secure Access 客户端升级时，此问题才适用。

[NSHELP-32793]
当用户单击适用于 Windows 的 Citrix Secure Access 屏幕上的“主页”选项卡时，该页面会显示连接被拒绝的错误。

[NSHELP-32510]
在使用 Chrome 的 Mac 设备上，VPN 扩展程序在访问两个 FQDN 时崩溃。

[NSHELP-32144]
在某些情况下，NetScaler Gateway 版本 13.0 或 13.1 中的空代理设置会导致 Citrix SSO 创建不正确的代理设置。

[NSHELP-31970]
Citrix Secure Access 客户端的调试日志控制现在独立于 NetScaler Gateway，可以从插件 UI 中为计算机和用户通道启用或禁用它。

[NSHELP-31968]
如果出现严重延迟或拥塞，则与 Citrix Secure Access 建立的通道之外的资源的直接连接可能会失败。

[NSHELP-31598]
自定义 EPA 故障日志消息未显示在 NetScaler Gateway 门户上。而是显示“内部错误”消息。

[NSHELP-31434]
有时，当用户在 Always-On 服务模式下登录 Windows 计算机时，Windows 自动登录不起作用。计算机通道不会过渡到用户通道，并且会出现“正在连接…“显示在 VPN 插件用户界面中。

[NSHELP-31357、CGOP-21192、NSHELP-34211]
如果配置了“始终打开”，则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确，用户通道将失败。

[NSHELP-30662]
将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后，用户无法连接到 NetScaler Gateway 设备。

[NSHELP-30236]
网关插件成功建立 VPN 通道后，不会立即显示网关主页。要修复此问题，引入了以下注册表值。

HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
类型：DWORD

默认情况下，不设置或添加此注册表值。当“SecureChannelResetTimeoutSeconds”的值为 0 或未添加时，处理延迟的修复不起作用，这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复（即在网关插件成功建立 VPN 通道后立即显示主页）。

[NSHELP-30189]
Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报，而是在同一连接上发送转移登录请求。

[NSHELP-29675]
如果 macOS 钥匙串中没有客户端证书，则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

[NSHELP-28551]
有时，设置客户端空闲超时后，用户会在几秒钟内注销 NetScaler Gateway。

[NSHELP-28404]
如果满足以下条件，VPN 插件在 Windows 登录后不会建立通道：
- NetScaler Gateway 设备已配置为“始终开启”功能
- 设备配置为基于证书的身份验证，双重身份验证处于“关闭”状态
[NSHELP-23584]
有时，在浏览架构时，会出现错误消息“无法读取未定义的属性’类型’”。

[NSHELP-21897]
在 NetScaler 群集设置中，不能同时启用 HDX Insight 和 Gateway Insight。

[CGOP-23570]
NetScaler GUI 上的预身份验证策略和身份验证操作的表达式编辑器下拉列表中未列出 Windows 操作系统选项。但是，如果您已经使用 GUI 或 CLI 在之前的 NetScaler 版本上配置了 Windows 操作系统扫描，则升级不会影响该功能。如果需要，您可以使用 CLI 进行更改。

解决方法：

使用 CLI 命令进行配置。
- 要在 nFactor 身份验证中配置高级 EPA 操作，请使用以下命令。
  add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
- 要配置经典的预身份验证操作，请使用以下命令。
  add aaa preauthenticationaction win_scan_action ALLOW
  add aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]') EXISTS" win_scan_action
[CGOP-22966]
如果您想在 Windows 登录功能之前使用始终开启 VPN，建议升级到 NetScaler Gateway 13.0 或更高版本。这使您能够利用 13.0 版本中引入的 12.1 版本中未提供的其他增强功能。

[CGOP-19355]
对于 SAML 错误失败，Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

[CGOP-13584]
在高可用性设置中，在 NetScaler 故障转移期间，SR 计数会增加，而不是 NetScaler ADM 中的故障转移计数。

[CGOP-13511]
从 MAC Receiver版本 19.6.0.32 或 Citrix Virtual Apps and Desktops 7.18 版本启动 ICA 连接时，HDX Insight 功能将被禁用。

[CGOP-13494]
启用 EDT Insight 功能后，有时音频通道可能会在出现网络差异时出现故障。

[CGOP-13493]
接受来自浏览器的本地主机连接时，适用于 macOS 的“接受连接”对话框将以英语显示内容，而不考虑所选的语言。

[CGOP-13050]
Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

[CGOP-13049]
从 NetScaler GUI 添加或编辑会话策略时，将显示错误消息。

[CGOP-11830]
在 Outlook Web App (OWA) 2013 中，单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外，页面变得无响应。

[CGOP-7269]

负载平衡

在高可用性设置中，主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

[NSLB-7679]
服务组 entityofs 陷阱中的 serviceGroupName 格式如下所示：
<service(group)name>?<ip/DBS>?<port>

在陷阱格式中，服务组由 IP 地址或 DBS 名称和端口标识。问号 (“？“) 用作分隔符。NetScaler 发送带有问号的陷阱（“？“）。该格式在 NetScaler ADM GUI 中显示的内容相同。这是预期的行为。

[NSHELP-28080]

其他

在高可用性设置中进行强制同步时，设备将在辅助节点中执行 set urlfiltering parameter 命令。
因此，辅助节点会跳过任何预定更新，直到“TimeOfDayToUpdateDB”参数中提到的下一个计划时间。

[NSSWG-849]
如果注册表值大于 2000 字节，AlwaysOnAllow 列表注册表将无法按预期工作。

[NSHELP-31836]
如果 URL 筛选第三方供应商出现连接问题，NetScaler 设备可能会由于管理 CPU 停滞而重新启动。

[NSHELP-22409]

网络连接

在支持 DPDK 的 NetScaler BLX 设备中，DPDK Intel i350 网卡端口不支持标记的 VLAN。这是因为这是 DPDK 驱动程序中存在的已知问题。

[NSNET-25299]
如果满足以下所有条件，带有 DPDK 的 NetScaler BLX 设备可能无法重新启动：
- NetScaler BLX 设备分配的数量很少。 hugepages 例如，1G。
- NetScaler BLX 设备分配了大量的工作进程。例如，28。
该问题作为错误消息记录在“/var/log/ns.log”中：
- BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x
注意：x是一个小于等于工作进程数的数字。

解决方法：分配大量的 hugepages ，然后重新启动设备。

[NSNET-25173]
由于 DPDK 易用性功能，处于 DPDK 模式下的 NetScaler BLX 设备可能需要更长的时间才能重新启动。

[NSNET-24449]
带有 DPDK 的 NetScaler BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作：
- 禁用
- 启用
- 重置
[NSNET-16559]
在基于 Debian 的 Linux 主机（Ubuntu 版本 18 及更高版本）上安装 NetScaler BLX 设备可能会失败，并出现以下依赖项错误：

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

解决方法：在安装 NetScaler BLX 设备之前，在 Linux 主机 CLI 中运行以下命令：
- dpkg --add-architecture i386
- apt-get update
- apt-get install libc6:i386
[NSNET-14602]
在某些 FTP 数据连接情况下，NetScaler 设备仅对数据包执行 NAT 操作，而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此，没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

[NSNET-5233]
冷重启后，NetScaler 设备可能无法生成“coldStart”SNMP 陷阱消息。

[NSHELP-27917]
在 NetScaler 设备中更改管理分区内存限制时，TCP 缓冲内存限制将自动设置为管理分区新内存限制。

[NSHELP-21082]

平台

当您将 NetScaler 设备从 13.1-4.x 版本及更高版本降级到以下任何版本时，某些 python 软件包未安装：
- 任何 11.1 版本
- 12.1-62.21 及更早版本
- 13.0-81.x 及更早版本
[NSPLAT-21691]
从 Azure 资源组中删除自动缩放设置或 VM 比例集时，请从 NetScaler 实例中删除相应的云配置文件配置。使用命 rm cloudprofile 令删除配置文件。

[NSPLAT-4520]
在 Azure 上的高可用性设置中，通过 GUI 登录到辅助节点时，将显示用于自动缩放云配置文件配置的首次用户 (FTU) 屏幕。
解决方法：跳过屏幕，登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。

[NSPLAT-4451]

策略

如果处理数据的大小超过配置的默认 TCP 缓冲区大小，连接可能会挂起。

解决方法：将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

[NSPOLICY-1267]

SSL

在 NetScaler SDX 22000 和 NetScaler SDX 26000 设备的异构群集上，如果重新启动 SDX 26000 设备，则会丢失 SSL 实体的配置。

解决方法：
1. 在 CLIP 上，在所有现有和新的 SSL 实体（例如虚拟服务器、服务、服务组和内部服务）上禁用 SSLv3。例如，set ssl vserver <name> -SSL3 DISABLED。
2. 保存配置。
[NSSSL-9572]
如果已添加身份验证 Azure 密钥保管库对象，则无法添加 Azure 密钥保管库对象。

[NSSSL-6478]
您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。NetScaler 设备不会返回错误。

[NSSSL-6213]
如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型，则会出现以下错误错误消息。
ERROR: crl refresh disabled

[NSSSL-6106]
会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。（无法禁用此选项。）

[NSSSL-4427]
如果您尝试更改 SSL 配置文件中的 SSL 协议或密码，则会显示一条错误的警告消息，即“警告：在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

[NSSSL-4001]
在 HA 故障切换后，非 CCO 节点和 HA 节点上将支持过期的会话票证。

[NSSSL-3184、NSSSL-1379、NSSSL-1394]

系统

如果满足以下条件，则 TCP 连接的 RTT 为高：
- 设置了较高的最大拥塞窗口 (>4 MB)
- TCP NILE 算法已启用
要使 NetScaler 设备使用 NILE 算法进行拥塞控制，条件必须超过慢速启动阈值，再加上最大拥塞窗口

因此，在达到配置的最大拥塞窗口之前，NetScaler 会继续接受数据并最终获得高 RTT。

[NSHELP-31548]
如果设备没有从客户端接收 max_concurrent_stream 设置帧，则默认情况下， MAX_CONCURRENT_ STREAM 值设置为 100。

[NSHELP-21240]
mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

[NSHELP-10972]
在极少数情况下，在 HTTP/2 WebSocket 流创建之前创建的流可能会在 WebSocket 的服务器端连接关闭时终止。

之所以出现此问题，是因为 NetScaler 设备不支持 HTTP/2 WebSocket 的连接多路传输。

解决方法：使用以下命令禁用相关 HTTP2 配置文件的连接多路传输：

set httpProfile <name> [-conMultiplex ( ENABLED | DISABLED )]

[NSBASE-17449]
在群集部署中，如果您在非 CCO 节点上运行“force cluster sync”命令，则 ns.log 文件包含重复的日志条目。

[NSBASE-16304，NSGI-1293]
在 Kubernetes 群集上安装 NetScaler ADM 时，它无法按预期工作，因为所需的进程可能无法启动。

解决办法：重新启动“管理”窗格。

[NSBASE-15556]
为 Insight 配置了 LogStream 传输类型后，HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 会反转。

[NSBASE-8506]

用户界面

在 NetScaler GUI 中，“仪表板”选项卡下的“帮助”链接已损坏。

[NSUI-14752]
创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

解决方法：使用 NetScaler GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则，从而配置 CloudBridge Connector。

[NSUI-13024]
如果使用 GUI 创建 ECDSA 关键帧，则不会显示曲线的类型。

[NSUI-6838]
在高可用性设置中，如果满足以下条件，VPN 用户会话将断开连接：
- 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。
解决方法：仅在 HA 同步完成后才执行连续的手动高可用性故障转移（两个节点均处于同步成功状态）。

[NSHELP-25598]
如果您（系统管理员）在 NetScaler 设备上执行以下所有步骤，则系统用户可能无法登录降级的 NetScaler 设备。
1. 将 NetScaler 设备升级到其中一个版本
  - 13.0 52.24 Build
  - 12.1 57.18 Build
  - 11.1 65.10 Build
2. 添加系统用户或更改现有系统用户的密码，然后保存配置，
3. 将 NetScaler 设备降级为任何较旧的版本。
要使用 CLI 显示这些系统用户的列表：
在命令提示符处，键入：

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

解决方法：要修复此问题，请使用以下独立选项之一：
- 如果 NetScaler 设备尚未降级（上述步骤中的步骤 3），请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 NetScaler 设备。
- 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本，并为其他系统用户更新密码。
- 如果上述选项都不起作用，系统管理员可以重置系统用户密码。
有关更多信息，请参阅 /en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html。

[NSCONFIG-3188]

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

NetScaler 13.1-42.47 版本的发行说明

May 11, 2023

投稿者:

May 11, 2023

投稿者:

这是否有帮助？