This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 14.1-17.38 版本的发行说明
本发行说明文档介绍了 NetScaler 版本 Build 14.1-17.38 的增强和更改、已修复和已知问题。
备注
- 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
新增功能
版本 14.1-17.38 中提供的增强和更改。
分析基础结构
-
支持直接将交易日志导出到 Splunk
现在,您可以直接以 JSON 格式将交易日志从 NetScaler 导出到 Splunk。您可以使用 Splunk 控制板可视化导出的数据,以获得有意义的见解。
有关更多信息,请参阅将事务日志直接从 NetScaler 导出到 Splunk。
[NSANINFRA-3955]
其他
-
支持 API 安全
API 安全功能现已在本地 NetScaler 控制台上可用,并提供以下功能:
- API 分析(安全 > API 安全 > API 分析):允许管理员查看和监视 API 流量。
- API 发现(安全 > API 安全 > API 发现):使管理员能够查看发现的 API 端点并管理已发现的端点中的 API 定义。
有关更多信息,请参阅发现 API 终端节点和查看 API 分析。
[NSAPISEC-3038]
NetScaler Gateway
-
用于 UDP 启动的 DTLS VPN 虚拟服务器配置中的网络配置文件源 IP 地址
配置了 DTLS 监听器的 NetScaler Gateway 现在从网络配置文件中选择源 IP 地址,以建立与 Virtual Delivery Agent (VDA) 的 UDP 连接。但是,管理员必须确保在 SSL VPN 虚拟服务器中配置网络配置文件。有关详细信息,请参阅 SSL VPN 虚拟服务器网络配置文件。
[GOPHDX-45]
-
在 EULA 文本中重新启用 HTML 标签
在 EULA 文本中重新启用了以下 HTML 标记。这些标签必须在没有 HTML 属性的情况下使用。
- <html></html> - <b></b> - <p></p> - <i></i> - <ol></ol> - <ul></ul> - <li></li> - <br></br><br/> <!--NeedCopy-->有关详细信息,请参阅创建 EULA。
[CGOP-24748]
NetScaler SDX 设备
-
取消对第三方虚拟机的支持
NetScaler SDX 不再支持第三方虚拟机。
[NSSVM-5805]
-
处理 NetScaler VPX 编辑和还原操作中的可选网关字段
只有在以下条件之一下,“网关”字段才是可选的:
- 管理服务和 VPX 实例 IP 地址都在同一个子网上。
- “通过内部网络管理”选项已启用。
即使未指定网关字段,您仍然可以在以下情况下编辑和恢复 VPX:
编辑 NetScaler VPX: 在编辑操作期间,必须可以从管理服务访问该实例。
有关更多信息,请参阅编辑 NetScaler 实例。
恢复 NetScaler VPX: 恢复实例时,管理服务强制启用通过内部网络进行管理,并在操作完成后将其禁用,以确保可以访问该实例以成功恢复。
有关更多信息,请参阅还原 NetScaler 实例。
[NSSVM-5677]
-
增加管理服务内存
现在,您可以在管理服务用户界面中将管理服务内存从 2 GB(默认)增加到 3 GB 或 4 GB,以便在高端 NetScaler SDX 上预置大量 VPX 实例。
导航到 配置 > 系统 > 系统设置 > 配置管理服务内存。
从“内存”列表中选择一个值。
有关更多信息,请参阅 配置管理服务内存。
[NSSVM-5501]
-
池化许可证到期的新的 SNMP 警报
当配置为许可服务器的 NetScaler ADM 在 NetScaler SDX 上向管理服务发送共享许可到期通知时,该服务会尝试签出许可。
- If the check out is a success, it does nothing.
- If the check out fails:
- It now sends an SNMP trap informing the user that the pooled license has expired and SDX will be unlicensed after a reboot.
- It tries to check out a license every 10 minutes until the check-out is a success.
Earlier, the Management Service did not send out any alert for pooled license expiry.
[ NSSVM-5434 ]
-
配置清单的清单刷新间隔和心跳间隔,以获取池化许可证服务器的详细信息。
现在,您可以为客户机清单配置清单刷新间隔(以分钟为单位)和心跳间隔(以秒为单位)。最小心跳间隔为 30 秒,最大心跳间隔为 280 秒,默认值为 280 秒。最小库存刷新间隔为 45 分钟,最大刷新间隔为 1440 分钟,默认值为 360 分钟。
要设置这些间隔,请在 NetScaler 命令行中键入:
set systemsettings heartbeatinterval=30 inventoryrefreshinterval=45[NSSVM-5398]
NetScaler Web App Firewall
-
在 Web App Firewall 验证中配置负载和字段值限制
现在,您可以使用以下参数配置 Web App Firewall 验证中每个字段值和负载的限制:
- HTML 请求的 fieldScan、fieldScanLimit、messageScan 和 messageScanLimit
- JSON 请求的 JSONFieldScan、JSONFieldScanLimit、JSONMessageScan 和 JSONMessageScanLimit
Web App Firewall 仅检查配置的字段值和有效负载限制。超出配置限制的数据将在不运行检查的情况下被绕过。
有关更多信息,请参阅 Web Application Firewall 配置文件设置。
[NSWAF-8983]
网络连接
-
默认启用 IPv6 许可
现在,NetScaler 设备上默认启用 IPv6 许可。此增强功能有助于实现 IPv6 网络的无缝自动化。
[NSNET-30868]
-
VIP 地址的精细广告
NetScaler 现已增强,即使满足以下条件,也不会公布禁用的 VIP 地址:
- 在与 VIP 地址关联的虚拟服务器上启用了路由健康注入 (RHI)。
- 备份虚拟服务器已配置完毕并处于 UP 状态。
[NSNET-27445]
平台
-
支持新的 AWS 区域
NetScaler 现在支持海得拉巴和雅加达的 AWS 区域。有关更多信息,请参阅 AWS-VPX 支持列表。
[NSPLAT-28073]
-
支持 ESXi 主机上的 VMware 工具 12.3.0
作为 NetScaler 虚拟机包一部分的 VMware 工具现已升级到 ESXi 虚拟机管理程序的 12.3.0 版本,以包含安全补丁。
[NSPLAT-27901]
-
NetScaler VPX 支持 VMware ESX 8.0 更新 2
NetScaler VPX 现在支持 VMware ESX 8.0 更新 2(内部版本 22380479)。有关更多信息,请参阅支持列表和使用指南。
[NSPLAT-27755]
-
支持 AWS R7iz 实例类型
AWS 云上的 NetScaler VPX 现在支持 R7iz 实例类型。有关更多信息,请参阅 AWS-VPX 支持列表。
[NSPLAT-26632]
-
支持在 NetScaler VPX 上进行实时迁移(前身为 XenMotion)
Citrix Hypervisor 上的 NetScaler VPX 现在支持实时迁移,当虚拟机磁盘位于两台主机共享的存储空间上时,将正在运行的虚拟机从一台主机移动到另一台主机。此功能可实现工作负载平衡、基础架构弹性和服务器软件升级,无需虚拟机停机。有关更多信息,请参阅有关迁移 VM 的 Citrix Hypervisor 文档。
[NSPLAT-25843]
-
NetScaler BLX 的 SELinux 策略
现在,无需在基于 RPM 的 Linux 主机上禁用 SELinux 即可运行 NetScaler BLX。BLX SELinux 策略在安装 NetScaler BLX 时应用于 Linux 主机。此策略允许 NetScaler BLX 在 Linux 主机上运行。
[NSLINUX-204]
SSL
-
用于 SSL 对称和非对称加密利用的 SNMP OID 和陷阱
当超过配置的阈值时,Netscaler 现在可以发送陷阱以实现基于软件的对称和非对称加密利用。它还提供了一个 SNMP OID 来读取这些加密利用率的绝对值。
早些时候,该设备只有 CLI 来读取这些加密利用率值。
[NSSSL-12607]
系统
-
用于跟踪不允许的管理员 UI URL 请求的新计数器
添加了计数器 (http_err_admin_ui_requests_dropped) 来跟踪被屏蔽的不允许的管理界面 URL 请求的数量。
[NSBASE-18523]
用户界面
-
使用 GUI 运行预配置检查工具的选项
现在,您可以使用 GUI 运行预配置检查工具。以前,您只能使用 CLI 来运行该工具。
有关更多信息,请参阅 预配置检查工具。
[NSUI-19179]
-
NetScaler CPX Express 许可的增强功能
对 NetScaler CPX Express 许可进行了以下增强:
- 带宽限制从 20 Mbps 增加到 100 Mbps。
- 所有 NetScaler CPX 功能均可通过 NetScaler CPX Express 许可获得。
有关更多信息,请参阅 NetScaler CPX 许可。
[NSCONFIG-8059]
-
对 installns 脚本的增强
如果要降级到的版本的配置文件不存在,则降级失败。您必须使用 `./installns-a’ 命令选择配置文件,然后手动降级系统软件。
[NSCONFIG-7676]
-
通知用户更改 nsroot 密码
您可以在 NetScaler root 管理员 (nsroot) 密码到期之前通知用户对其进行更改。
您现在可以配置以下内容:
- 密码到期前发出警告的天数
- 密码到期的剩余天数
[NSCONFIG-6840]
已修复的问题
版本 14.1-17.38 中解决的问题。
分析基础结构
-
如果您在配置了管理分区的 NetScaler 上启用分析,则可能会在 NetScaler 上观察到内存泄漏。
[NSHELP-36584]
-
当满足以下所有条件时,NetScaler 可能会崩溃:
- NetScaler 的一项内部服务正在处理来自 SNMP 的计数器更新请求,清除配置过程正在同时进行中。
- CPU 利用率增加。
- SNMP 发起的与分区相关的查询已删除。
[NSHELP-36400]
-
将 NetScaler 升级到 13.1 49.x 版本后,会发现 CPU 使用率很高。
[NSHELP-36389]
-
当您尝试使用默认绑定类型 SYSTEM_GLOBAL 将 SYSLOG 策略绑定到基于域的服务(用于 Syslog 操作)中的 SYSLOG 全局实体时,会出现以下错误消息:
NO-SUCH RESOURCE”
如果您之前使用全局绑定类型 APPFW_GLOBAL 从 SYSLOG 全局实体解除了 SYSLOG 策略的绑定,则会出现此问题,这会导致服务器实体在内部删除。
[NSHELP-35668]
身份验证、授权和审核
-
在 GUI 中,如果您在 nFactor 流中添加登录架构,并且在 NetScaler 上配置了群集 IP 地址,则会出现“资源已经存在”错误。
[NSHELP-36180]
-
如果 LDAP 服务器的响应延迟,配置了自助服务密码重置的 NetScaler 可能会崩溃。
[NSHELP-35586]
-
在 HA 设置中,由于内存泄漏,用户经常重启二级 NetScaler 实例。
[NSHELP-28659]
负载平衡
-
在高可用性设置中,如果自动同步过程进入无限循环,则可能会在辅助节点上观察到高 CPU 使用率。
[NSHELP-37013]
-
启用自动同步选项后,不会在辅助 GSLB 站点中更新 GSLB 服务的公共端口参数。当自动同步过程在不支持该命令的辅助站点中运行 set gslb service -publicPort’ 命令时,会出现此问题。
[NSHELP-36823]
-
当您在尝试将不存在的网络配置文件绑定到该监视器后,
将网络配置文件绑定到配置了评估规则的负载平衡监视器时,NetScaler 可能会崩溃。[NSHELP-36626]
-
如果将具有四个或更多 IPv6 服务器的服务组绑定到配置为 ANY 的负载平衡虚拟服务器,则该服务器可能无法响应请求。
[NSHELP-36498]
-
如果将 DNS SOA 记录配置为与 GSLB 域同名,并且 NetScaler 也配置为 DNS 域名服务器解析器,则使用 NXDOMAIN 对 A (IPv4) 以外类型的 GSLB 域查询的响应可能会不正确。
[NSHELP-36451]
-
在极少数情况下,NetScaler 可能会使用错误的 IP 地址响应 GSLB 域查询。当基于 DNS 的自动扩展 GSLB 服务组绑定到 GSLB 虚拟服务器时,会出现此问题。
[NSHELP-36393]
-
当自我修复守护程序由于缺少 IAM 权限而崩溃并且每隔 10 分钟在后端重新启动时,您可能会观察到 CPU 使用率很高。
[NSHELP-36220]
-
在高可用性设置中,当基于 DNS 的 GSLB 服务组绑定到 GSLB 虚拟服务器时,NetScaler 可能会使用错误的 IP 地址响应 GSLB 域查询。此问题发生在故障转移之后。
[NSHELP-35633]
-
当 IP 地址绑定到域时被删除时,NetScaler 可能会崩溃。出现此问题的原因是 TTL 过低,这会在绑定 IP 地址和删除 IP 地址之间造成争用条件。
[NSHELP-34546]
-
由于超时计算不正确,对 StoreFront 用户监视器的探测可能会失败。在配置 StoreFront 用户监视器时,如果将超时值设置为 1 或 2 秒,则会出现此问题。
[NSHELP-34418]
-
当用户将基于域的服务器绑定和解除绑定到服务组时,监视器探测失败
[NSHELP-29330]
其他
-
升级后,启用 AppFlow 时,处于 HA 模式的 NetScaler 会崩溃。
[NSHELP-37142,NSCXLCM-3613]
-
在 NetScaler Gateway 上配置了基于策略的路由时,用户无法通过 UDP 启动 ICA 会话。
[NSHELP-36448]
-
升级后,用户无法从 StoreFront 下载 NetScaler Gateway 配置文件。
[NSHELP-36322]
-
由于 UDP 音频出现问题,NetScaler 可能会崩溃。
[NSHELP-36188,NSCXLCM-2303]
-
升级后,NetScaler 在无法清理 ICA 会话数据时崩溃。
[NSHELP-36169]
-
使用协议扩展时,在 NetScaler 上观察到内存泄漏。
[NSEXT-472]
NetScaler Gateway
-
从 NetScaler Gateway 门户网站访问的网页在 URL 中包含 HTTP。此修复后,从 NetScaler Gateway 访问的网页的 URL 中的 HTTP 被替换为 HTTPS。
[NSHELP-36832]
-
在 NetScaler GUI(配置 > 系统 > 身份验证)中,拥有 NetScaler Gateway 许可的用户缺少“高级策略”部分。
[NSHELP-36762]
-
在 NetScaler 用户界面(配置 > 系统)中,升级后,添加 NetScaler Gateway 许可后,配置文件部分将消失。
[NSHELP-36496]
-
在 NetScaler Gateway GUI 中,绑定到 VPN 虚拟服务器的 ICA 策略无法显示在 NetScaler Gateway > 策略 > NetScaler Gateway ICA 策略和配置文件 > ICA 策略部分中。
[NSHELP-36324]
-
如果 VPN 虚拟服务器使用默认 TCP 配置文件,则在完整 VPN 模式下将 TCP 配置文件绑定到服务将无法生效。
[NSHELP-36132]
-
升级后,NetScaler Gateway 代理设置无法在完整 VPN 模式下运行。
[NSHELP-35853]
-
升级后,当连接到 VPN 时,您将无法通过 SNIP 地址使用 HTTPS 访问 NetScaler 用户界面。
[NSHELP-35747]
-
当内容交换操作包含身份验证虚拟服务器或 VPN 虚拟服务器作为目标虚拟服务器之一时,某些内联网应用程序无法访问。
[NSHELP-35582]
NetScaler SDX 设备
-
首次使用默认凭据以 root 管理员身份登录管理服务用户界面时,需要更改默认密码。
[NSSVM-5767]
-
升级管理服务后,对外部 LDAP 服务器的身份验证可能会失败。
[NSHELP-36455、NSHELP-36842]
-
执行以下步骤时,管理服务用户界面中不会显示预期的错误消息:
- 配置为管理通道启用“允许 L2 模式”选项的 VPX 实例,并为 VLAN 标记参数输入一个值。
- 为同一个管理通道启用“允许 L2 模式”选项配置更多 VPX 实例,并为 VLAN 标记输入与先前配置的 VPX 实例相同的值。
[NSHELP-36321]
NetScaler Web App Firewall
-
向 Web App Firewall 配置文件添加绕过和拒绝列表后运行 show 命令时,显示的配置详细信息不正确。
[NSHELP-37079]
-
当 Web Application Firewall 会话 cookie 进入循环状态且未在适当的时间退出时,NetScaler 可能会崩溃。当会话在匹配配置值后跳到 cookie 的最后几个字节但未更改剩余数据的长度时,可能会出现此问题。
[NSHELP-36515]
-
当 Web App Firewall 执行命令注入保护检查所需的时间长于预期时间时,NetScaler 可能会崩溃。
[NSHELP-36343,NSCXLCM-2189]
网络连接
-
由于大量端口泄漏,流向 NSIP (NSIP6) IPv6 地址的非 TCP 流量可能会失败。
[NSHELP-36764]
-
当您在 RNAT 配置中启用
tcpproxy参数时,NetScaler 可能会使用 IP 集和网络配置文件中未指定的 SNIP 作为后端通信的源 IP 地址。[NSHELP-36562,NSCXLCM-2223]
-
由于处理会话引用计数不一致,NetScaler 可能会崩溃。
[NSHELP-36379]
-
如果满足以下条件,NetScaler 在路由 TCP 响应时可能会崩溃:
- 流量域和管理分区均已配置。
- TCP 数据包同时从流量域和管理分区发送到相同的端口和 IP 地址。
[NSHELP-36202]
-
由于网络 NIC 接口事件延迟,BGP 在重新启动 NetScaler 后未能安装默认路由。
[NSHELP-30262]
-
冷重启后,NetScaler 设备可能无法生成“coldStart”SNMP 陷阱消息。
[NSHELP-27917]
-
GUI 或 CLI 可能无法显示在 NetScaler 上配置的具有并发会话的所有 SNMP 管理器
[NSHELP-25952]
平台
-
装有 VirtIO NIC 的 KVM 平台上的 NetScaler VPX 在单个 PE 模式下运行时,可能会报告 Tx 失速。
[NSHELP-37106]
-
在 AWS Xen 实例类型中,未检测到连接到 AWS 上部署的 NetScaler VPX 实例的辅助磁盘。
[NSHELP-36504]
-
在装有 Intel Fortville NIC 的 NetScaler SDX 上,当物理 NIC 速度在链路状态更改为 UP 后的几秒钟内发生变化时,VPX 实例中的接口速度不会更新。
[NSHELP-36361]
-
在极少数情况下,使用 10G NIC 并运行版本 13.1 的 NetScaler 可能会在流量微不足道时崩溃。
[NSHELP-36274]
-
在配备 Intel Fortville NIC 的 NetScaler SDX 上,每向 VPX 实例添加一个 Fortville 接口,VPX 实例的管理 CPU 使用率就会增加 1%。
[NSHELP-35445,NSCXLCM-768]
策略
-
如果 ns.conf 文件中存在默认的内置经典 CMP 绑定,则在 NetScaler 升级期间可能会出现错误。
[NSPOLICY-5562]
-
使用 NITRO API 将运行软件版本 13.0 或更低版本的 NetScaler 升级到 13.1 或更高版本可能会失败。
[NSHELP-36685]
-
在群集设置中,当您尝试删除类型为 NOOP 的响应程序操作时,可能会出现以下错误:
“无法删除默认操作”
[NSHELP-36194]
SSL
-
配置 DTLS 超时以重新传输来自 NetScaler 的最后一个数据包
在 DTLS 部署中,您现在可以配置初始超时值以重新传输来自 NetScaler 的最后一个数据包。您可以在 1 秒到 3 秒之间进行选择,默认值设置为 3 秒。早些时候,硬编码为 3 秒,而 RFC 建议使用 1 秒。
[ NSSSL-8868 ]
-
使用 SNIP 地址配置 HSM 时,您可能会在 HA 故障转移后观察到 SSL 握手失败。
[NSHELP-37121]
-
在包含 Intel SSL 芯片的 NetScaler MPX 和 NetScaler SDX 平台上,卡在首次重启或热重启后可能无法启动。
[NSHELP-36506、NSCXLCM-2699、NSCXLCM-2796]
-
如果 SDX FIPS 14000 上的 VPX 实例配置的 SSL 上下文(会话)大于 250 K,则该实例可能会由于内存损坏而崩溃。
[NSHELP-36503、NSSVM-6019、NSCXLCM-1759]
系统
-
与虚拟服务器上的实际响应大小相比,服务的 si_tot_ResponseBytes 计数器值要高得多。这种情况是由于 NetScaler 和服务器之间的网络中数据包重新排序或数据包丢失所致。
[NSHELP-36743]
-
NetScaler 在尝试释放已释放的内存段时可能会崩溃。在绑定到响应者策略且其操作设置为 RESET 的 TCP 负载平衡虚拟服务器上处理代理协议数据时,会出现此问题。
[NSHELP-36729、NSCXLCM-2733、NSHELP-37102]
-
当使用 CONNECT HTTP 请求方法的 HTTP/2 流终止时,使用 HTTP/2 的网页可能无法完全加载。
[NSHELP-36407,NSBASE-17449]
-
如果 HTTP/2 的窗口大小于 NetScaler 的 gRPC 响应消息,则发送到客户端 (VIP) 的 gRPC 请求会失败。
[NSHELP-36335]
-
在客户端,在 NetScaler 控制台上启用分析(AppFlow 中的客户端测量)时,有时可能无法加载 HTML 页面。
[NSHELP-36318]
-
连接到窗口比例值高于 12 的 TCP 配置文件的负载平衡服务在绑定到 HTTP 类型的监视器时可能会出现故障。
[NSHELP-35947]
-
当您使用
unset nstcpprofile命令取消设置 TCP 配置文件参数时,NetScaler 可能会转储内核。[NSBASE-18724]
-
在 AWS 云上的 NetScaler BLX 中,存储在 /var/tmp 目录中的 nstrace 套接字 (nstrace.sock) 文件有时会被 systemd 清理过程删除。
[NSBASE-18548]
用户界面
-
尝试将 EC CURVE 绑定到 SSL 虚拟服务器或配置文件时,EC_CURVES 列表中不可用 X_25519。
[NSUI-18895]
-
您无法使用 NetScaler GUI 创建 IPv4 CIDR 格式的数据集。
[NSHELP-36659]
-
使用 GUI 修改基于数据集的扩展 ACL 可能会失败并出现错误消息。
[NSHELP-36655]
-
在 GUI 中,由于分页问题,身份验证策略页面(身份验证虚拟服务器 > 身份验证策略 > 策略绑定)仅显示 25 个策略。
[NSHELP-36577]
-
如果用户帐户密码在 TACACS 服务器上过期,则使用相同的用户帐户登录可能不起作用。
确保在到期时或之前更新所有用户帐户的密码。
[NSHELP-36453,NSCXLCM-2312]
-
在配置数据通过 GUI 导出到 Splunk 的过程中,NetScaler GUI 无法正常响应。
[NSHELP-36334]
-
NetScaler GUI 显示 DNS 记录所需的时间比平时长,还可能观察到 CPU 使用率很高。当 DNS 代理缓存的记录数量很高时,就会出现此问题。
[NSHELP-34788]
-
在配置了大量(数千个)SSL 证书的高可用性设置中,配置同步可能需要比平时更长的时间。因此,您可能会看到同步状态长时间处于进行状态。
[ NSHELP-32959、NSCXLCM-1752、NSCXLCM-1989、NSHELP-35003 ]
-
命令行界面(问题 ID 0379234)
show ns runningConfig命令显示当前时间,而不是上次修改配置的时间。[NSHELP-9654]
-
在高内存消耗的情况下,NetScaler 可能会崩溃。
[NSCONFIG-7972、NSCONFIG-7716、NSCXLCM-3380]
已知问题
版本 14.1-17.38 中存在的问题。
分析基础结构
-
当您在 Kubernetes 群集上安装 NetScaler 控制台时,它无法按预期运行,因为所需的进程可能无法启动。
解决方法 :重新启动“管理”窗格。
[NSANINFRA-1504]
身份验证、授权和审核
-
管理员无法对因凭据无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题,是因为 NetScaler 响应程序策略无法检测到登录失败的错误。
[NSAUTH-11151]
-
可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
show adfsproxyprofile <profile name>解决办法:连接到群集中的主要活动 NetScaler 并运行
show adfsproxyprofile <profile name>命令。它将显示代理配置文件状态。[NSAUTH-5916]
-
如果执行以下步骤,NetScaler GUI 上的配置身份验证 LDAP 服务器页面将无响应:
- 测试 LDAP 可达性选项已打开。
- 填充并提交了无效的登录凭据。
- 将填充并提交有效的登录凭据。
解决办法:关闭并打开“测试 LDAP 可访问性”选项。
[NSAUTH-2147]
负载平衡
-
重命名 GSLB 站点时,即使在 NetScaler 中启用了增量同步选项,也会进行完全配置同步而不是增量同步。
[NSLB-10884]
-
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。
[NSLB-7679]
-
当满足以下条件时,NetScaler 可能会崩溃:
- 负载平衡或 GSLB 虚拟服务器绑定到超过 64 个活动服务或服务组成员。
- 配置了静态邻近负载平衡方法。
[NSHELP-37111]
其他
-
在 NetScaler SDX 群集设置中,当您向群集添加 VPX 实例时,如果满足以下所有条件,则该实例可能会崩溃:
- SDX VLAN 已配置。
- SNIP 地址连接到 SDX VLAN。
- 强制执行群集同步。
[NSHELP-33874]
NetScaler Gateway
-
有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。
[NSHELP-21897]
-
NetScaler GUI 上的预身份验证策略和身份验证操作的表达式编辑器下拉列表中未列出 Windows 操作系统选项。但是,如果您已经使用 GUI 或 CLI 在之前的 NetScaler 版本上配置了 Windows 操作系统扫描,则升级不会影响该功能。如果需要,您可以使用 CLI 进行更改。
解决方法:
使用 CLI 命令进行配置。
- 要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。
add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)” - 要配置经典的预身份验证操作,请使用以下命令。
add aaa preauthenticationaction win_scan_action ALLOW
add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[CGOP-22966]
- 要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。
-
要在 Windows 登录之前使用始终可用的 VPN 功能,建议您将 NetScaler Gateway 升级到 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。
[CGOP-19355]
-
从 NetScaler GUI 添加或编辑会话策略时,将显示错误消息。
[CGOP-11830]
-
在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示一个严重错误对话框。此外,页面变得无响应。
[CGOP-7269]
NetScaler Secure Web Gateway
-
如果 URL 筛选第三方供应商出现连接问题,NetScaler 设备可能会由于管理 CPU 停滞而重新启动。
[NSHELP-22409]
网络连接
-
在某些 FTP 数据连接情况下,NetScaler 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。
[NSNET-5233]
-
在 NetScaler 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。
[NSHELP-21082]
平台
-
从 Azure 资源组中删除 AutoScale 设置或 VM 比例集时,请从 NetScaler 实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。
[NSPLAT-4520]
-
当您在甲骨文云上启用 NetScaler BLX 托管主机时,Linux 主机的网关配置不会添加到 NetScaler BLX 中。
[NSLINUX-155]
-
带有 DPDK 的 NetScaler BLX 设备上的 Intel
X710 10G (i40e)接口不支持以下接口操作:- 禁用
- 启用
- 重置
[NSLINUX-64]
-
在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 NetScaler BLX 设备可能会失败,并出现以下依赖项错误:
“以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”
解决办法:在安装 NetScaler BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:
- dpkg — 添加架构 i386
- apt-get 更新
- apt-get 安装 libc6: i386
[NSLINUX-5]
策略
-
如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。
解决办法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。
[NSPOLICY-1267]
SSL
-
在 NetScaler SDX 22000 和 NetScaler SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。
解决方法:
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
set ssl vserver <name> -SSL3 DISABLED。 - 保存配置。
[NSSSL-9572]
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
-
如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。
[NSSSL-6478]
-
您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。NetScaler 设备不会返回错误。
[NSSSL-6213]
-
如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
ERROR: crl refresh disabled[NSSSL-6106]
-
会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)
[NSSSL-4427]
-
如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。
[NSSSL-4001]
-
在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。
[NSSSL-3184、NSSSL-1379、NSSSL-1394]
系统
-
如果满足以下条件,则 TCP 连接的 RTT 为高:
- 设置了较高的最大拥塞窗口 (>4 MB)
- TCP NILE 算法已启用
要使 NetScaler 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口
因此,在达到配置的最大拥塞窗口之前,NetScaler 会继续接受数据并最终获得高 RTT。
[NSHELP-31548,NSCXLCM-159]
-
如果您使用 HTML5 浏览器和 QUIC 传输协议,ICA 会话可能会在启动后的几分钟内失败。
解决办法:配置 QUIC 配置文件时,将最大空闲超时值设置为 3600 秒。[NSBASE-18402]
-
当为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 将反转。
[NSBASE-8506]
用户界面
-
在 NetScaler GUI 中,“控制板”选项卡下的“帮助”链接已损坏。
[NSUI-14752]
-
创建/监视 CloudBridge 连接器向导可能会变得无响应或无法配置 CloudBridge 连接器。
解决方法:使用 NetScaler GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge 连接器。
[NSUI-13024]
-
如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。
[NSUI-6838]
-
如果满足以下条件顺序,用户可能无法登录降级的 NetScaler 设备:
- 您可以执行以下步骤之一:
- 升级到当前版本后,您可以添加系统用户或更改现有系统用户的密码,然后保存配置。
- 使用当前版本配置新的 NetScaler VPX、BLX 或 CPX 实例。
- 将设备降级为以下版本之一:
- 13.1-4.x
- 13.0-82.x 或更早版本
- 12.1-62.x 或更早版本
要查看降级后受影响的用户列表,请在命令提示符下键入:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
解决方法:重置受影响用户的密码。有关更多信息,请参阅 [如何重置根管理员 (nsroot) 密码](https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html)。
注意:如果您要降级之前升级的版本,则在降级时使用先前版本的备份配置文件 (ns.conf) 来避免此问题。[NSCONFIG-8068]
- 您可以执行以下步骤之一:
-
如果满足以下条件顺序,用户可能无法登录降级的 NetScaler 设备:
- 您可以执行以下步骤之一:
- 升级到当前版本后,您可以添加系统用户或更改现有系统用户的密码,然后保存配置。
- 使用当前版本配置新的 VPX、BLX 或 CPX 实例。
- 将设备降级为以下版本之一:
- 13.0-47.x 或更早版本
- 12.1-56.x 或更早版本
- 11.1-64.x 或更早版本
要查看降级后受影响的用户列表,请在命令提示符下键入:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]解决办法:重置受影响用户的密码。有关更多信息,请参阅 [如何重置根管理员 (nsroot) 密码](https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html)。
注意:如果您要降级之前升级的版本,则在降级时使用先前版本的备份配置文件 (ns.conf) 来避免此问题。
[NSCONFIG-3188]
- 您可以执行以下步骤之一:
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.