Hinweise

麻省理工学院在diesem Dokument窝Versionshinweisen艺术品n die Erweiterungen und Änderungen sowie behobene und bekannte Probleme beschrieben, die für die Citrix ADC-Version Build 13.1—21.50 bestehen.

Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.

Build 13.1-21.50 und höhere Builds beheben die unter beschriebenen Sicherheitslückenhttps://support.citrix.com/article/CTX457048.

Neuigkeiten

Die Verbesserungen und Änderungen, die in Build 13.1—21.50 verfügbar sind.

Bot-Verwaltung

Technik zur Bot-Ratenbegrenzung basierend auf dem geografischen Standort des Benutzers

Mit der Erkennungstechnik für Bot-Ratengrenzen können Sie jetzt den Traffic-Bot basierend auf dem geografischen Standort des Benutzers einschränken. In dieser Konfiguration können Sie einen Ländernamen als Wert festlegen, der der URL oder dem Cookie-Namen ähnelt. Auf diese Weise können Sie für verschiedene Länder unterschiedliche Tarifbegrenzungen anwenden. Bisher konnte die Erkennungstechnik den Datenverkehr nur basierend auf der IP-Adresse, Sitzung oder URL des Clients begrenzen.

[NSBOT-753]

Verbesserte Device Fingerprint (DFP) -Technik zur Erkennung von Headless-Browsern

Ein Hacker kann über einen Headless-Browser auf Serverressourcen zugreifen, indem er Prozesse wie das Erstellen mehrerer Benutzerkonten, das Buchen von Tickets, das Abwracken von Preisen, Ausfüllen von Anmeldeinformationen, Ticket-Spinning-Angriffe usw. automatisiert.

Die Device Fingerprint (DFP) -Erkennungstechnik in einem Bot-Profil wurde jetzt um Intelligenz zur Erkennung von Headless- und Web-Treiber-Bots erweitert. Um den Bot-Verkehr mit kopflosen Browsern zu verringern, müssen Sie die Option Erkennung von Headless-Browsern zusammen mit der Funktion zur Erkennung von Fingerabdrücken des Geräts aktivieren.

[NSBOT-747]

Citrix Web App Firewall

Feinkörnige Entspannung für JSON-Command Injection-Angriffe

Mit der Citrix ADC-Appliance können Sie jetzt eine feinkörnige Entspannung für JSON Command Injection-Angriffe konfigurieren.

[NSWAF-8511]

Feinkörnige Entspannung für JSON-Cross-Site Scripting-Angriffe

Mit der Citrix ADC-Appliance können Sie jetzt eine feinkörnige Entspannung für JSON-Cross-Site Scripting-Angriffe konfigurieren.

[NSWAF-8510]

Feinkörnige Entspannung für JSON-SQL-Einschleusung-Angriffe

Mit der Citrix ADC-Appliance können Sie jetzt eine feinkörnige Entspannung für JSON-SQL-Einschleusung-Angriffe konfigurieren.

[NSWAF-8509]

Lastausgleich

Verbesserte API-Fehlermeldungen für den gewünschten Status

Die angezeigte Fehlermeldung, wenn die IP-Adresse eines Dienstgruppenmitglieds bereits anderen Citrix ADC-Entitäten wie dem virtuellen CS-Server zugeordnet ist, wird erweitert. Der Grund für das Scheitern wird nun in der Fehlermeldung deutlich gemacht. Zuvor war der Grund für das Scheitern der Fehlermeldung unklar.

[NSLB-9005]

Desired State API unterstützt die Wiederverwendung vorhandener Server-IP-Adressen und -Namen

Die API für den gewünschten Status unterstützt jetzt das Binden von Dienstgruppenmitgliedern an eine Dienstgruppe, auch wenn die IP-Adresse eines Dienstgruppenmitglieds mit einem vorhandenen Server übereinstimmt. Die IP-Adresse und der Name des vorhandenen Servers werden wiederverwendet, während das Mitglied der Dienstgruppe gebunden wird.

Früher, als die IP-Adresse übereinstimmte, war es nicht erfolgreich, die Mitglieder der Dienstgruppe an eine Dienstgruppe zu binden.

[NSLB-9004]

Netzwerke

Unterstützung für CIDR-basierte Bindungen in IPv4-Datensätzen für erweiterte ACLs

Die erweiterte ACLS unterstützt jetzt IPv4-Datensätze mit IPv4-Adressbereichen, die in der CIDR-Notation angegeben sind.

[NSNET-24452]

Unterstützung für Software-Receive Side Scaling für Citrix ADC BLX Appliance im DPDK-Modus

Eine Citrix ADC BLX-Appliance im DPDK-Modus, die mit einer höheren Anzahl von Paket-Engines konfiguriert ist, unterstützt keinen NIC-Port mit einer geringeren Anzahl von Sende- (Tx) - und Empfangswarteschlangen (Rx).

Eine Citrix ADC BLX-Appliance im DPDK-Modus verwendet keinen NIC-Port, wenn beide der folgenden Bedingungen erfüllt sind:

• Die Appliance verfügt über einen NIC-Port, der eine begrenzte Anzahl von Sende- (Tx) und Empfangswarteschlangen (Rx) unterstützt. Zum Beispiel 7.
• Die Appliance ist mit einer höheren Anzahl von Paket-Engines konfiguriert. Zum Beispiel 28.

Um dieses Problem zu beheben, verwendet die Citrix ADC BLX-Appliance ab Build 13.1 21.x Software Receive Side Scaling (RSS), um empfangene Pakete an den NIC-Ports effizient über mehrere Paket-Engines zu verteilen.

Das Software-RSS-Modul weist jedem NIC-Port ein logisches Rx- und Tx-Warteschlangenpaar zu. Das Warteschlangenpaar wird dann der Paket-Engine PE-0 zugeordnet.

Für jedes Paket in der Rx-Warteschlange eines NIC-Ports wählt PE-0 mithilfe eines RSS-Hash-Algorithmus eine Paket-Engine aus. PE-0 sendet das Paket dann zur Verarbeitung an die ausgewählte Paket-Engine. Nachdem die Verarbeitung des Pakets abgeschlossen ist, sendet PE-0 das Paket an die Tx-Warteschlange des NIC-Ports.

[NSNET-23133]

Konfigurieren Sie den internen HTTP-GUI-Dienst über die Citrix ADC GUI oder Citrix ADC CLI oder Citrix ADC NITRO APIs

Auf einer Citrix ADC-Appliance ist/etc/httpd.confdie Konfigurationsdatei für den internen HTTP-GUI-Dienst, der Verbindungen zur Citrix ADC GUI verwaltet.

Anstatt die Dateihttpd.confzum Konfigurieren des internen HTTP-GUI-Dienstes zu verwenden, können Sie jetzt die Citrix ADC GUI oder Citrix ADC CLI oder Citrix ADC NITRO APIs verwenden. Sie können beispielsweise die Citrix ADC CLI verwenden, um die maximale Anzahl von Clients zu ändern, die sich gleichzeitig mit dem internen HTTP-Dienst verbinden können.

Der interne HTTP-GUI-Dienst hat das folgende Namensformat:nshttpd-gui--80

Verwenden Sie die Befehlsoperationen des Citrix ADC-Dienstes, um den internen HTTP-GUI-Dienst zu konfigurieren.

[NSNET-20350]

Plattform

Unterstützung für Citrix ADC MPX 9100 Plattform

Dieses Release unterstützt die Citrix ADC MPX 9100-Plattform. Es umfasst die Modelle MPX 9110, MPX 9120 und MPX9130. Weitere Informationen finden Sie unterCitrix ADC MPX 9100.

[NSPLAT-23308]

Unterstützung für Citrix ADC SDX 9100 Plattform

Dieses Release unterstützt die Citrix ADC SDX 9100-Plattform. Es umfasst die Modelle SDX 9120 und SDX 9130. Weitere Informationen finden Sie unterCitrix ADC SDX 9100.

[NSPLAT-23299]

Verbessern Sie die SSL-TPS-Leistung in AWS- und GCP-Clouds

Sie können eine bessere SSL-TPS-Leistung in AWS- und GCP-Clouds erzielen, indem Sie die Gewichte der Paket-Engine (PE) gleichmäßig verteilen. Führen Sie dazu den folgenden Befehl in der Citrix ADC CLI aus, um den PE-Modus festzulegen:

set cpuparam pemode [CPUBOUND | Default]

In einer Azure-Cloud werden die PE-Gewichte standardmäßig gleichmäßig verteilt. Diese Funktion verbessert nicht die Leistung der Azure-Instanzen.

[ NSPLAT-22570 ]

VMware ESXi 7.0 Update 3c-Unterstützung auf Citrix ADC VPX-Instanz

死Citrix广告C VPX-Instanz unterstützt jetzt das VMware ESXi Version 7.0 Update 3c (Build 19193900).

[ NSPLAT-22468 ]

SSL

Details zur SSL-Chip-Nutzung auf Citrix ADC-Plattformen anzeigen

Ab Version 13.1 Build 21.x werden Zähler hinzugefügt, um weitere Details zur SSL-Chip-Nutzung auf MPX- und SDX-Plattformen anzuzeigen, die mit Intel Coleto-Chips und der MPX 9100 (Lewisburg) -Plattform geliefert werden. Auf nicht unterstützten Plattformen zeigen diese Zähler einen Wert von 0,0 an.

Weitere Informationen finden Sie unterUnterstützung für Intel Coleto- und Lewisberg SSL-Chip-basierte Plattformen.

[NSSSL-10996]

Unterstützung für ECDSA-Zertifikate und -Verschlüsselungen mit DTLS

ECDSA-Zertifikate und -Verschlüsselungen können jetzt für DTLS-Entitäten wie virtuelle Server und Dienste verwendet werden.

[NSSSL-9535]

System

Erweiterungen im Zusammenhang mit dem Senden von Clientdetails im TCP-Optionsheader

• 死Citrix广告C-Appliance fügt jetzt die Client-IP-Adresse zusätzlich zum ersten Datenpaket in das endgültige ACK-Paket des Dreiwege-Handshakes ein. Bisher sendet die Appliance die Client-IP-Adresse nur im ersten Datenpaket.
• 死Citrix广告C-Appliance unterstützt jetzt das Senden des Clientports in der TCP-Option für die Konfiguration des Einfügemodus. Im TCP-Profil wurde ein ParameterSend Client Port in Tcp Option (sendClientPortInTcpOption)zum Aktivieren oder Deaktivieren dieser Funktion eingeführt.

[NSBASE - 15635]

Behobene Probleme

Die Probleme, die in Build 13.1—21.50 behoben wurden.

Authentifizierung, Autorisierung und Auditing

死Citrix广告C-Appliance stürzt möglicherweise ab, wenn beim Aktualisieren des in der SAML-Konfiguration verwendeten SSL-Zertifikatschlüsselpaars ein Fehler auftritt. Um dieses Problem zu beheben, können Sie das Zertifikat aufheben, das Zertifikat aktualisieren und dann erneut binden.

[ NSHELP-30270 ]

Benutzer können sich nicht bei der Citrix ADC-Appliance anmelden, wenn die Anmeldeanforderung mit SAML andere Leerzeichen als ‘’ (einfache Anführungszeichen) enthält. Mit diesem Fix sind alle Leerraumzeichen zulässig.

[ NSHELP-29773 ]

Beim Senden einer AS_REQ-Anfrage für einen delegierten Benutzer, der Teil von KCD SSO ist, wählt die Citrix ADC-Appliance einen Verschlüsselungstyp mit der folgenden Priorität aus, wenn der Domänencontroller (DC) alle Verschlüsselungstypen veröffentlicht.

1. ETYPE_ARCFOUR_HMAC_MD5
2. ETYPE_AES128_CTS_HMAC_SHA1_96
3. ETYPE_AES256_CTS_HMAC_SHA1_96 statt
4. ETYPE_AES256_CTS_HMAC_SHA1_96
5. ETYPE_AES128_CTS_HMAC_SHA1_96
6. ETYPE_ARCFOUR_HMAC_MD5

[ NSHELP-28681 ]

Manchmal schlägt die Authentifizierung möglicherweise fehl, wenn Authentifizierung, Autorisierung und auditing.LOGIN.PASSWORD verwendet werden.

[ NSHELP-28101 ]

死Citrix广告C-Appliance gerät möglicherweise in eine SSO-Schleife mit dem Backend-Server und führt zu einem Speicheraufbau, wenn die beiden folgenden Bedingungen erfüllt sind.

• Die ADC-Appliance führt Verhandlungs- und NTLM-SSO-Authentifizierungen mit dem Backend-Server durch.
• Der Backend-Server führt nicht beide Authentifizierungen durch.

[ NSHELP-27757 ]

死Citrix广告C-Appliance stürzt möglicherweise ab, wenn die Synchronisierung der Sitzung und der Schlüsselkonfiguration zwischen der primären und der sekundären Controllerkarte erfolgt.

[ NSHELP-26891 ]

Citrix ADC SDX-Appliance

Eine falsche Meldung wird angezeigt, wenn die Neuinstallation fehlschlägt, weil die Werkspartition nicht über genügend Speicherplatz verfügt.

[ NSHELP-30136 ]

Das Backplane-Feld auf der Seite “Cluster-Knoten hinzufügen” ist nicht mehr obligatorisch, sofern eine der folgenden Bedingungen nicht erfüllt ist:

• Die Knotengruppe ist bereits für Layer-3-Cluster vorhanden.
• Es ist ein Layer-2-Cluster.

[ NSHELP-29701 ]

Citrix Gateway

VPN-Clientbenutzer können sich nicht erfolgreich abmelden, wenn SAML und EPA als aufeinanderfolgende Faktoren in einer nFactor-Authentifizierung konfiguriert sind. Mit diesem Fix können sich Benutzer problemlos abmelden.

[ NSHELP-30193 ]

In einem Citrix ADC GSLB- und SSL-VPN-Setup wird bei der Verarbeitung einer DTLS-ICA-Verbindung ein Speicherleck beobachtet. Dadurch wird die Verbindung unterbrochen und Speicher baut sich auf.

[ NSHELP-30182 ]

Der Start von PCoIP Apps and Desktops schlägt fehl, wenn er von einem Browser aus gestartet wird und die FehlermeldungVMware client missing一个ngezeigt wird. Dieses Problem tritt auf, weil das Protokollvmware-viewnicht zur Liste der zugelassenen Protokolle hinzugefügt wurde.

[NSHELP-30062]

Der EPA-Scan zur Überprüfung des letzten vollständigen Systemscans des Virenschutzes schlägt unter macOS fehl.

[ NSHELP-29571 ]

Der vollständige Citrix Gateway VPN-Tunnel funktioniert nicht wie erwartet, wenn die binäre Antwort aktiviert ist. Infolgedessen ist das NSAAC-Cookie beschädigt. Mit diesem Fix funktioniert die binäre Antwort in den früheren VPN-Plug-Ins. Citrix empfiehlt jedoch, das neueste VPN-Plug-in zu verwenden, das mit der JSON-Antwort kompatibel ist.

[ NSHELP-28729 ]

Lastausgleich

Eine partitionierte Citrix ADC-Appliance kann den Kern ausgeben, während ein DNS-Anforderungspaket mit einem zusätzlichen Header (EDNS) verarbeitet wird.

[ NSHELP-30796 ]

In einer DNS-Bereitstellung mit automatischer Skalierung erkennen die Mitglieder im TROFS-Status keinen Fehler bei der Integritätsprüfung und reagieren nicht darauf.

[ NSHELP-29628 ]

死Citrix广告C-Appliance stürzt möglicherweise ab, während die Richtlinie zum Umschreiben an den virtuellen Lastausgleichsserver gebunden wird, wenn die folgenden Bedingungen erfüllt sind:

1. Bei der Auswertung des zweiten Ausdrucks werden die Policy-State-Variablen des ersten Ausdrucks überschrieben, der gerade ausgeführt wird.
2. Die Richtlinienstatusvariablen DETERMINE_SERVICES werden durch die Regel überschrieben, die vom virtuellen Lastausgleichsserver definiert ist.

[ NSHELP-29449 ]

Die Reaktionszeit des Monitors, die angezeigt wird, wenn Sie den Befehlshow service一个usführen, ist manchmal falsch.

[ NSHELP-28994 ]

Die SMPP-Wiederholungsnachrichten werden an alle Knoten in einem Cluster gesendet, auch wenn die Anforderung erfolgreich ist. Dieses Szenario führt zu einem hohen Speicherverbrauch auf der Citrix ADC-Appliance.

[ NSHELP-28332 ]

Netzwerke

Beim Aktualisieren einer Citrix ADC BLX-Appliance auf Version 13.1 Build 17.x wird die Appliance möglicherweise nicht gestartet.

[ NSNET-25002 ]

Die Installation einer Citrix ADC BLX-Appliance auf einem RHEL-basierten Linux-Host schlägt fehl, wenn das Python-Moduljsonschema一个uf dem Host nicht vorhanden ist.

[ NSNET-24638 ]

Das Aktualisieren einer Citrix ADC BLX-Appliance mit DPDK schlägt fehl, wenn alle folgenden Bedingungen erfüllt sind:

• 死Citrix广告C BLX-Appliance läuft auf einem Debian-basierten Linux-Host
• Das Upgrade erfolgt von Citrix ADC Release 13.0 Build 82.x oder früher auf Version 13.1 Build 17.x.

[ NSNET-24622 ]

Wenn Sie eine ICMP-ACL-Regel konfigurieren, nachdem Sie eine TCP-ACL-Regel mit Porteinstellungen konfiguriert haben, tritt möglicherweise das folgende Problem auf:

• 死Citrix广告C-Appliance fügt fälschlicherweise dieselben Porteinstellungen der TCP-ACL auch zur ICMP-ACL hinzu.

[ NSHELP-31114 ]

Das Ändern einer privaten IP-Adresse in einer INAT-Regel über die GUI schlägt fehl, wenn die folgende Bedingung erfüllt ist:

• Das Verbindungsfailover ist für die INAT-Regel aktiviert.

[ NSHELP-30792 ]

Auf der seriellen Konsole einer Citrix ADC-Appliance zeigt die VTYSH-Eingabeaufforderung oder die Shell-Eingabeaufforderung möglicherweise keine Ausgabe an.

[ NSHELP-30446 ]

Das Andern进行Netzprofils,n das bereits ein IP-Satz gebunden ist, schlägt möglicherweise mit dem folgenden Fehler fehl:

• IP set is already bound to the network profile

[ NSHELP-29363 ]

In einem großen NAT44-Setup kann die Citrix ADC-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

• Das Filtern und Zuordnen von Referenzzählern ist für das LSN-Modul in der Appliance ungleich Null.

[ NSHELP-28842 ]

Plattform

Auf die serielle Konsole einer Citrix ADC VPX-Instanz, die in der Azure-Cloud gehostet wird, kann nicht zugegriffen werden, wenn sich die virtuelle Maschine in einem frühen Stadium des Startens befindet.

[ NSPLAT-23010 ]

Während des Citrix ADC VPX HA-Failovers schlägt die elastische IP-Adressverschiebung in der AWS-Cloud fehl, wenn Sie ein IPset konfigurieren, ohne das IPset an eine IP-Adresse zu binden.

[ NSHELP-29425 ]

SSL

Die RC4-Verschlüsselungssammlung schlägt während eines SSL-Handshakes mit einerIllegal parameter error-Nachricht fehl.

[ NSSSL-11463 ]

死Citrix广告C-Appliance stürzt ab, wenn das SSL-Abfangen aktiviert ist und mehrere parallele Anforderungen für den Zugriff auf einen Backend-Server mit einem abgelaufenen Zertifikat vorliegen.

[ NSHELP-29520 ]

In einem Clustersetup können Sie die folgenden Probleme feststellen:

• Fehlender Befehl für das standardmäßige Zertifikatschlüsselpaar, das an die internen SSL-Dienste auf dem CLIP bindet. Wenn Sie jedoch von einem älteren Build upgraden, müssen Sie möglicherweise das Standard-Zertifikatschlüsselpaar an die betroffenen internen SSL-Dienste auf dem CLIP binden.
• Konfigurationsdiskrepanz zwischen dem CLIP und den Knoten für den standardmäßigen set-Befehl für die internen Dienste.
• Fehlender Standard-Verschlüsselungsbindungsbefehl an die SSL-Entitäten in der Ausgabe des Befehls show running config, der auf einem Knoten ausgeführt wird. Die Auslassung ist nur ein Anzeigeproblem und hat keine funktionalen Auswirkungen. Die Bindung kann mit dem Befehl show ssl angezeigt了。

[ NSHELP-25764 ]

System

死Citrix广告C-Appliance stürzt ab, wenn eine der folgenden Bedingungen eintritt:

• Die Syslog-Aktion wird mit dem Domänennamen konfiguriert und Sie löschen die Konfiguration über die GUI oder der CLI.
• Die Hochverfügbarkeitssynchronisierung erfolgt auf dem sekundären Knoten. [ NSHELP-30987, NSHELP-28121, NSHELP-29843 ]

Alle weitergeleiteten Datenpakete von einer Citrix ADC-Appliance haben nicht den konfigurierten TTL-Wert, sondern haben den vom Client oder Server gesendeten Wert.

[ NSHELP-30683 ]

死Citrix广告C-Appliance kann einige der Nicht-HTTP-Datenpakete nicht an die Back-End-Server weiterleiten.

[ NSHELP-30192 ]

In bestimmten Szenarien leitet die Citrix ADC-Appliance einige HTTP-Pakete nicht an den Back-End-Server weiter, wenn die folgende Bedingung erfüllt ist:

• Wenn eine Citrix ADC-Funktion intern HTTP-Pakete klont.

[ NSHELP-29958 ]

死Citrix广告C-Appliance fügt möglicherweise fälschlicherweise eine IPv4-Adresse zu einem AppFlow-Datensatz hinzu, der sich auf eine IPv6-Transaktion bezieht.

[ NSHELP-29261 ]

明信片Citrix ADC-Appliance sturzt moglicherweise ab, wenn eine Chunked-Antwort vom ICAP-Modul an den Client wiedergegeben wird.

[ NSHELP-28788 ]

Ein Pitboss-Fehler tritt auf, wenn eine große Anzahl von Paketen in der Warteschlange für die erneute Übertragung in

[ NSHELP-26071 ]

Einige SYSLOG-Meldungen werden verworfen, wenn Sie sich mit dem TCP-Protokoll an einem externen SYSLOG-Server anmelden.

[ NSHELP-24522 ]

In bestimmten Szenarien verfehlen bei der nstrace-Paketerfassung alle Pakete, wenn Sie den IP-Adressbasierten Filter anwenden.

[ NSHELP-23483 ]

Benutzeroberfläche

Die Cache-Filterung funktioniert in der Citrix ADC GUI möglicherweise nicht wie erwartet.

[ NSHELP-30392 ]

Wenn eine Citrix ADC-Appliance für die Verwendung eines externen Authentifizierungsservers konfiguriert ist, kann es zu einer Verzögerung bei der Ausführung der Stat-Befehle kommen, unabhängig davon, ob der RBAOnResponse-Parameter global deaktiviert werden soll. Der Parameter kann über die GUI oder CLI deaktiviert werden.

[ NSHELP-30289 ]

死Citrix广告C GUI verarbeitet die RAPI-Aufrufe nicht, was dazu führt, dass einige Komponenten der GUI nicht mehr reagieren.

[ NSHELP-30231 ]

In einigen Fällen können Sie möglicherweise keine SSL-Schlüssel von der Registerkarte SSL-Schlüssel in der Citrix ADC GUI laden.

[ NSHELP-28870 ]

Die API-Antwort für eine NITRO GET-Anfrage mit einem Filter kann zusätzliche Informationen enthalten, auch wenn sie im Filter nicht erwähnt werden.

[ NSHELP-28598 ]

Das何chladen und Hinzufügen einer Zertifikatsperrlistendatei (CRL) schlägt in einer Admin-Partitionseinrichtung fehl.

[NSHELP-20988]

Bekannte Probleme

Die Probleme, die in Version 13.1—21.50 bestehen.

AppFlow

HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

[ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Auditing

Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]

Das DualAuthPushOrOTP.xml LoginSchema wird im Bildschirm des Anmeldeschema-Editors der Citrix ADC GUI nicht ordnungsgemäß angezeigt.

[ NSAUTH-6106 ]

Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.show adfsproxyprofile

Workaround:

Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehlshow adfsproxyprofile 一个us. Er zeigt den Status des Proxyprofils an.

[ NSAUTH-5916 ]

Die Seite Authentifizierung LDAP-Server konfigurieren auf der Citrix ADC-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

• Die Option LDAP-Erreichbarkeit testen wird geöffnet.
• Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
• Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

Workaround:

Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

[ NSAUTH-2147 ]

Caching

Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

[NSHELP-22942]

Citrix ADC SDX-Appliance

Wenn auf einer Citrix ADC SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

[ NSSVM-4333 ]

Auf einer Citrix ADC SDX-Appliance mit Mellanox-NICs wird durch Ändern des Durchsatzes einer VPX-Instanz mit Mellanox-NICs die VPX-Instanz neu gestartet.

[NSHELP-31305]

Nach dem Upgrade einer Citrix ADC SDX-Appliance auf Version 13.1 Build 21.50 oder höher schlagen die SSL-Entschlüsselung und der MAC-Vergleich möglicherweise fehl. Infolgedessen können SSL-Handshake-Fehler, ein Flattern des VPX-Status, die Nichtverfügbarkeit der VPX-Instanz-GUI sowie ein Ausfall virtueller Server und Anwendungen auftreten.

Hinweis: Dieses Problem tritt auf den Plattformen SDX 8900, SDX 15000, SDX 15000-50G, SDX 26000 und SDX 26000-50S auf.

[NSHELP-31672]

Citrix Gateway

In einigen Fällen unterbricht Citrix Secure Access für macOS Verbindungen aufgrund von Problemen mit einigen Nicht-DNS-Protokollen, die Port 53 verwenden, wie z. B. STUN.

[NSHELP-31004]

Wenn Always on konfiguriert ist, schlägt der Benutzertunnel aufgrund der falschen Versionsnummer (1.1.1.1) in der Datei aoservice.exe fehl.

[NSHELP-30662]

Benutzer können keine Verbindung zur Citrix Gateway-Appliance herstellen, nachdem sie den Profilparameter “networkAccessOnVPNFailure” von “fullAccess” auf “onlyToGateway” geändert haben.

[NSHELP-30236]

Der Windows VPN-Client berücksichtigt die Warnung “SSL-Benachrichtigung zum Schließen” des Servers nicht und sendet die Anmeldeanforderung für die Übertragung über dieselbe Verbindung.

[ NSHELP-29675 ]

In einigen Fällen schlägt der Servervalidierungscode fehl, wenn das Serverzertifikat als vertrauenswürdig eingestuft wird. Daher können Endbenutzer nicht auf das Gateway zugreifen.

[ NSHELP-28942 ]

Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

[ NSHELP-28551 ]

Manchmal wird ein Benutzer innerhalb weniger Sekunden bei Citrix Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

[ NSHELP-28404 ]

Sie können die Bindung einer klassischen Autorisierungsrichtlinie nicht über die GUI aufheben. Sie können jedoch die CLI verwenden, um die Authentifizierungs-, Autorisierungs- und Überwachungsautorisierungsrichtlinie aufzuheben.

Mit diesem Fix können Sie jetzt die Autorisierungsrichtlinie über die GUI aufheben.

[ NSHELP-27064 ]

In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

• Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

Workaround:

Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Erfolgsstatus Sync).

[ NSHELP-25598 ]

Das EPA-Plug-in für Windows verwendet nicht den konfigurierten Proxy des lokalen Computers und stellt eine direkte Verbindung zum Gateway-Server her.

[ NSHELP-24848 ]

Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

[ NSHELP-23937 ]

Das VPN-Plug-in richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

• Citrix Gateway-Appliance ist für Always On konfiguriert
• Die Appliance ist für zertifikatbasierte Authentifizierung mit Zwei-Faktor-Authentifizierung konfiguriertoff

[ NSHELP-23584 ]

Manchmal wird beim Durchsuchen von Schemas die FehlermeldungCannot read property 'type' of undefined一个ngezeigt.

[ NSHELP-21897 ]

Wenn Sie Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf Citrix Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und die in Version 12.1 nicht verfügbar sind.

[ CGOP-19355 ]

Ein Fehler beim Anwendungsstart aufgrund eines ungültigen STA-Ticket wird in Gateway Insight nicht gemeldet.

[ CGOP-13621 ]

Der Gateway Insight-Bericht zeigt fälschlicherweise den WertLocal一个nstelle vonSAMLim Feld “Authentifizierungstyp” für SAML-Fehler an.

[ CGOP-13584 ]

In einem Hochverfügbarkeits-Setup wird während eines Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

[ CGOP-13511 ]

Wenn eine ICA-Verbindung von einer MAC-Receiver-Version 19.6.0.32 oder Citrix Virtual Apps and Desktops Version 7.18 gestartet wird, ist die HDX Insight-Funktion deaktiviert.

[CGOP-13494]

Wenn die EDT Insight-Funktion aktiviert ist, können manchmal Audiokanäle während einer Netzwerkdiskrepanz ausfallen.

[CGOP-13493]

Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

[ CGOP-13050 ]

Der TextHome Pagein der Citrix SSO App > Startseite wird für einige Sprachen abgeschnitten.

[ CGOP-13049 ]

Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

[ CGOP-11830 ]

In Outlook Web App (OWA) 2013 wird durch Klicken aufOptionenim Menü Einstellung ein DialogfeldKritischer Fehler一个ngezeigt. Außerdem reagiert die Seite nicht mehr.

[ CGOP-7269 ]

Lastausgleich

In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

[ NSLB-7679 ]

Das Format für serviceGroupName in dem Trapentityofsfür die Dienstgruppe ist:??

Im Trapformat wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Trennzeichen verwendet. Der Citrix ADC sendet den Trap mit dem Fragezeichen (?). Das Format erscheint in der Citrix ADM GUI gleich. Dies ist das erwartete Verhalten.

[NSHELP-28080]

Sonstiges

Wenn eine erzwungene Synchronisierung in einem Hochverfügbarkeitssetup stattfindet, führt die Appliance den Befehlset urlfiltering parameterim sekundären Knoten aus. Infolgedessen überspringt der sekundäre Knoten jede geplante Aktualisierung bis zur nächsten geplanten Zeit, die im ParameterTimeOfDayToUpdateDBerwähnt wird.

[NSSWG-849]

Eine Citrix ADC-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter der URL-Filterung auftritt.

[NSHELP-22409]

Netzwerke

In einer Citrix ADC BLX-Appliance mit DPDK-Unterstützung werden getaggte VLANs für DPDK-Intel i350-NIC-Ports nicht unterstützt. Dies wird beobachtet, da es sich um ein bekanntes Problem im DPDK-Treiber handelt.

[nsnet - 25299]

Eine Citrix ADC BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn alle folgenden Bedingungen erfüllt sind:

• 死Citrix广告C BLX-Appliance wird mit einer geringen Anzahl von zugewiesenhugepages. Zum Beispiel 1G.
• Der Citrix ADC BLX-Appliance wird eine hohe Anzahl von Arbeitsprozessen zugewiesen. Zum Beispiel 28.

Das Problem wird als Fehlermeldung protokolliert in/var/log/ns.log:

• BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

Hinweis: x ist eine Zahl <= Anzahl von Arbeitsprozessen.

Workaround:

Weisen Sie eine hohe Anzahl vonhugepageszu und starten Sie die Appliance anschließend neu.

[NSNET-25173]

Eine Citrix ADC BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn die folgende Bedingung erfüllt ist:

• 死Citrix ADC BLX-Appliance将麻省理工学院静脉hohenAnzahl vonhugepageszugewiesen. Zum Beispiel 16 GB.

Das Problem wird als Fehlermeldung protokolliert in/var/log/ns.log:

• EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

Workaround:

Verwenden Sie eine der folgenden Problemumgehungen für dieses Problem:

• Erhöhen Sie das Limit für offene Dateien auf dem Linux-Host, indem Sie entweder den Befehlulimitverwenden oder die Dateilimits.confbearbeiten.
• Reduzieren Sie die Anzahl der zugewiesenenhugepages.

[NSNET-24727]

Der Neustart einer Citrix ADC BLX-Appliance im DPDK-Modus kann aufgrund der einfachen DPDK-Funktionalität etwas länger dauern.

[NSNET-24449]

Die folgenden Schnittstellenvorgänge werden für IntelX710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

• Deaktivieren
• Smartcard
• Reset

[NSNET-16559]

Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Workaround:

Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

• dpkg — Architektur hinzufügen i386
• 一个pt-get update
• 一个pt-get dist-upgrade
• 一个pt-get install libc6:i386

[nsnet - 14602]

In einigen Fällen von FTP-Datenverbindungen führt die Citrix ADC-Appliance nur NAT-Operationen und keine TCP-Verarbeitung für die Pakete für die TCP-MSS-Aushandlung aus. Infolgedessen ist die optimale Schnittstellen-MTU nicht für die Verbindung eingestellt. Diese falsche MTU-Einstellung führt zu einer Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

[NSNET-5233]

Wenn ein Speicherlimit für die Admin-Partition in der Citrix ADC-Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

[NSHELP-21082]

Plattform

Das何chverfügbarkeitsfailover funktioniert nicht in AWS- und GCP-Clouds. Die Verwaltungs-CPU erreicht möglicherweise ihre Kapazität von 100% in AWS- und GCP-Clouds und Citrix ADC VPX on-premises. Beide Probleme werden verursacht, wenn die folgenden Bedingungen erfüllt sind:

1. Beim ersten Start der Citrix ADC-Appliance speichern Sie das angeforderte Kennwort nicht.
2. Anschließend starten Sie die Citrix ADC-Appliance neu.

[ NSPLAT-22013 ]

Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den Citrix ADC-Appliances installiert. Dieses Problem wurde für die folgenden Citrix ADC-Versionen behoben:

• 13.1-4.x
• 13.0—82.31 und höher
• 12.1—62.21 und höher

Die Python-Pakete werden nicht installiert, wenn Sie die Citrix ADC-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

• Jeder 11.1-Build
• 12,1—62,21 und früher
• 13.0-81.x und früher

[NSPLAT-21691]

In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance gibt es eine CLAG-MAC-Nichtübereinstimmung auf dem zweiten Knoten und CLIP, wenn die folgenden Bedingungen erfüllt sind:

• Die CLAG wird auf einer Mellanox-NIC erstellt.
• Sie fügen dem Cluster- und CLAG-Setup eine weitere VPX-Instanz hinzu.

Infolgedessen stoppt der Datenverkehr zur VPX-Instanz.

[NSPLAT-21049]

In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance wird der erste Knoten aufgrund einer Nichtübereinstimmung der MAC-Adresse in der CLIP- und MAC-Tabelle DOWN, wenn die folgenden Bedingungen erfüllt sind:

• Die CLAG wird auf einer Mellanox-NIC erstellt.
• Sie entfernen den zweiten Knoten aus dem Cluster.

[NSPLAT-21042]

Wenn Sie eine Autoscale-Einstellung oder einen VM-Maßstabssatz aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der Citrix ADC-Instanz. Verwenden Sie den Befehlrm cloudprofile, um das Profil zu löschen.

[NSPLAT-4520]

In einem Hochverfügbarkeitssetup auf Azure wird bei der Anmeldung am sekundären Knoten über die GUI der Bildschirm für den Erstbenutzer (FTU) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt. Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich beim primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil muss immer auf dem primären Knoten konfiguriert werden.

[ NSPLAT-4451 ]

Ab Citrix ADC Version 13.1 kann die Citrix ADC-Appliance nicht in einem ESXi Hypervisor mit mehr als 8 VMXNET3-Netzwerkschnittstellen hochgefahren werden.

[ NSHELP-31266 ]

Richtlinien

Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße. Workaround: Stellen Sie die TCP-Puffergröße auf eine maximale Datengröße ein, die verarbeitet werden muss.

[ NSPOLICY-1267 ]

In einigen Szenarien kann eine Citrix ADC-Appliance abstürzen, wenn eine Zuweisungsaktion mit der Löschoperation für eine AppExpert-Variable verwendet wird.

[ NSHELP-29766 ]

SSL

Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

Workaround:

1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Zum Beispielset ssl vserver -SSL3 DISABLED.
2. Speichern Sie die Konfiguration.

[NSSSL-9572]

Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[NSSSL-6478]

Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

[NSSSL-6213]

Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben. ERROR: crl refresh disabled

[NSSSL-6106]

Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[NSSSL-4427]

Eine falsche WarnmeldungWarning: No usable ciphers configured on the SSL vserver/service,wird angezeigt, wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern.

[NSSSL-4001]

Ein abgelaufenes Sitzungsticket wird nach einem HA-Failover auf einem Nicht-CCO-Knoten und auf einem HA-Knoten berücksichtigt.

[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

Bei MPX 8900- und MPX 15000 FIPS-zertifizierten Appliances kann der ausgeführte ECDHE-Datenverkehr zu einem Speicherverlust führen.

[NSHELP-30744]

Anpassungen, die Teil der Datei rc.netscaler sind, werden nicht angewendet, da diese Datei während der Systeminitialisierung nicht ausgeführt wird.

[NSHELP-31914]

System

Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 festgelegt, wenn die Appliance den max_concurrent_stream-Einstellungsrahmen nicht vom Client empfängt.

[NSHELP-21240]

Die mptcp_cur_session_without_subflow-Zähler verringern fälschlicherweise auf einen negativen Wert statt auf Null.

[NSHELP-10972]

Wenn Sie in einer Clusterbereitstellung den Befehlforce cluster sync一个uf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge. [NSBASE-16304, NSGI-1293]

Wenn Sie Citrix ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

Problemumgehung: Starten Sie den Management-Pod neu.

[NSBASE - 15556]

Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

[NSBASE-8506]

死Citrix广告C-Appliance verwirft Pakete, die benutzerdefinierte HTTP-Header mit einem Punkt (“ enthalten. “) im Feld für den Header-Namen. Diese Aktion tritt auf, weil der Parameter一个llowOnlyWordCharactersAndHyphenim Standard-HTTP-Profil standardmäßig aktiviert ist.

Problemumgehung: Deaktivieren Sie一个llowOnlyWordCharactersAndHyphenim Standard-HTTP-Profil. Citrix empfiehlt jedoch, sie aktiviert zu lassen.

[NSBASE - 16722]

Benutzeroberfläche

Für die MQTT-Rewrite-Funktion können Sie einen Ausdruck nicht mit dem Ausdruckseditor in der GUI löschen.

Workaround:

Verwenden Sie den Befehl zum Hinzufügen oder Bearbeiten von Aktionen vom Typ MQTT über die CLI.

[NSUI-18049]

In der Citrix ADC GUI ist derHelp-Link unter derDashboard-Registerkarte defekt.

[NSUI-14752]

Der Assistent zum Erstellen / Uberwachen冯CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

Workaround:

Konfigurieren Sie Cloudbridge-Konnektoren, indem Sie über die Citrix ADC GUI oder CLI IPSec-Profile, IP-Tunnel und PBR-Regeln hinzufügen.

[NSUI-13024]

Wenn Sie über die GUI einen ECDSA-Schlüssel erstellen, wird der Kurventyp nicht angezeigt.

[NSUI-6838]

In einem Hochverfügbarkeitssetup von Citrix ADC BLX-Appliances reagiert der primäre Knoten möglicherweise nicht mehr und blockiert CLI- oder API-Anforderungen.

Workaround:

Starten Sie den primären Knoten neu.

[NSCONFIG -6601]

Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:

• Build 13.0 52.24
• Build 12.1 57.18
• Build 11.1 65.10

1. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
2. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

Um die Liste dieser Systembenutzer über die CLI anzuzeigen: Geben Sie an der Eingabeaufforderung Folgendes ein:

query ns config -changedpassword [-config ]

Workaround:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

• Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mithilfe einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herab.
• Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
• Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

Weitere Informationen finden Sie unterSo setzen Sie das Root-Administratorkennwort (nsroot)zurück.

[NSCONFIG-3188]