Citrix ADC 13.0-52.24版本的发布说明

本发布说明文档描述了Citrix ADC版本Build 13.0-52.24的增强和更改、固定和已知问题。

笔记

• 此发布说明文档不包括与安全相关的修复。有关与安全相关的修复程序和建议的列表，请参阅Citrix安全公告。

有什么新鲜事

Build 13.0-52.24中提供的增强和更改。

身份验证、授权和审计

• 用于nFactor身份验证的Citrix Gateway登录信息加密

  具有nFactor身份验证的Citrix Gateway可以在身份验证过程中加密客户端(浏览器或SSO应用程序)提交的登录请求字段。加密的登录请求字段提供了额外的安全层，以保护用户的敏感数据不被泄露。

  详细信息请参见https://docs.citrix.com/en-us/citrix-adc/12-1/aaa-tm/multi-factor-nfactor-authentication.html

  [nshelp-19554]

• 支持SameSite属性

  对于Citrix Gateway和Citrix ADC身份验证、授权和审计部署，现在添加了配置SameSite cookie属性的支持。此属性有助于防止由于某些浏览器升级而可能发生的问题，例如谷歌Chrome 80。SameSite属性现在可以根据需求设置为None、Lax或Strict。

  详细信息请参见https://docs.citrix.com/en-us/citrix-gateway/12-1/configure-samesite-attribute-for-citrix-gateway.html
  https://docs.citrix.com/en-us/citrix-adc/12-1/aaa-tm/configure-samesite-for-aaa-deployments.html

  [nsauth-7531]

• 支持在OAuth IdP的分区设置中绑定VPN全局证书

  在分区设置中，您现在可以将证书绑定到用于OAuth IdP部署的VPN全局。
  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/13/admin-partition/admin-partition-access-and-configure.html

  [nsauth-7084]

• 在Citrix Gateway IdP上支持双活GSLB部署

  使用OpenID Connect协议配置为Identity Provider (IdP)的Citrix Gateway现在可以支持双活GSLB部署。Citrix Gateway IdP上的双活GSLB部署提供了跨多个地理位置负载均衡传入用户登录请求的能力。
  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/configuring-openid-connect-protocol.html

  [nsauth-6276]

Citrix ADC SDX设备

• 启用VPX始终在线特性，无需重启实例

  此前，在VPX实例上启用或禁用“通过内部网络管理”特性后，实例会重新启动。此特性支持SDX管理服务和VPX实例之间的独立内部始终在线连接。现在，实例在启用或禁用该特性后不会重新启动。

  但是，如果您在已升级为13.0 52的SDX设备上提供的VPX实例(任何版本13.0)上启用了通过内部网络管理功能。VPX实例重启。如果在SDX升级之前已经在VPX上禁用了“通过内部网络管理”选项，就会发生这种情况。

  要了解通过内部网络管理特性的更多信息，请参见https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.html
  [nssvm-2803]

• 支持SD-WAN实例的池容量许可

  现在，在SDX设备上配置池容量许可时，可以提供SD-WAN实例。有关池容量许可的详细信息，请参见https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

  [nssvm-2737]

Citrix网关

• CredSSP协议版本6支持RDP代理

  RDP代理现在支持CredSSP协议版本6。

  [nshelp-8732]

• 支持Citrix虚拟应用程序和桌面7 1912 LTSR

  Citrix Gateway现在支持Citrix Virtual Apps and desktop 7 1912 LTSR。

  [ccg -11796]

• 出站ICA代理设置中对LAN代理的SSL支持

  如果您在Citrix Gateway上配置出站ICA代理，Citrix Workspace应用程序现在会加密它通过SSL发送到Citrix ADC LAN代理的所有流量。以前，只有Citrix ADC LAN Proxy和Citrix Gateway之间的流量是通过SSL传输的。

  [ccg -9977]

Citrix Web应用防火墙

• POST体限制设置为10gb

  职位主体限制的最大值现在从4gb更改为10gb。

  [nsswaf -3815]

• Appspider_7_2_83_1漏洞扫描集成

  对于主动漏洞扫描，Citrix ADC设备现在与Appspider_7_2_83_1扫描仪集成。因此，您现在可以导入Appspider扫描器报告以防止漏洞并生成签名。

  [nsswaf -2912]

负载平衡

• 支持配置ADC生成的cookie属性

  对于Citrix ADC部署，现在支持将额外的cookie属性插入到Citrix ADC设备生成的cookie中。这些额外的cookie属性有助于根据应用程序访问模式为ADC生成的cookie强制执行所需的策略。

  此功能可用于防止可能发生的问题，因为谷歌Chrome升级(谷歌Chrome 80)。

  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/insert-cookie-attributes.html

  [nslb-6068]

• 备份虚拟服务器的SNMP OID

  一个OID为1.3.6.1.4.1.5951.4.1.3.1.1.81的“vsvrBackupVserver”已经添加到Citrix ADC管理信息库中。此OID提供为现有虚拟服务器配置的备份虚拟服务器的详细信息。

  [nslb-5365]

• 轻版本的Citrix ADC CPX作为Kubernetes的DNS缓存

  由于微服务架构的广泛采用，Kubernetes集群内的DNS请求率正在增加。因此，Kubernetes DNS (kube-dns)负载过重。在Kubernetes集群中，现在可以在每个节点上部署Citrix ADC CPX作为DNS缓存，并将来自节点中的应用程序pod的DNS请求转发到Citrix ADC CPX。因此，您可以更快地解析DNS请求，并显著降低Kubernetes DNS的负载。

  [nslb-5325]

• 在主节点和从节点之间并行同步GSLB配置

  通过在主节点和从节点之间启用并行自动同步GSLB配置，GSLB性能现在得到了增强。并行同步减少了完成GSLB同步的总时间。此过程消除了由于以下原因可能导致的同步延迟:

  • 从节点不可达。
  • 主节点有大量配置需要同步。
  • 主配置经常更改。

  [nslb-4808]

• 对于用户监视器探测失败，将显示详细的错误消息

  用户监视器探测失败的原因在/var/nslog/nsumond.log文件中。现在可以通过执行' show service/service group '命令查看监控探测失败的原因。此前，“show service/service group”命令显示的是“probe failed”的通用错误信息。

  [nslb-4804]

• 对于DBS监视器探测失败，将记录正确的错误消息

  对于DBS监视器探测失败，当域名解析成功但IP地址不可达时，“Last Response”消息将显示探测失败的原因。此前，“最后响应”消息错误地将原因显示为“域名未解析”。

  [nslb-4626]

• 支持MongoDB协议

  Citrix ADC设备现在支持MongoDB和MongoDB- tls协议进行负载平衡。

  [nslb-4137]

网络

• 支持INAT规则的连接故障转移

  Citrix ADC设备高可用性设置支持INAT连接的连接故障转移。主节点定期向辅助节点发送INAT映射和其他与INAT相关的连接信息。次要设备仅在发生故障转移时使用此信息。

  当发生故障转移时，新的主节点拥有关于在故障转移之前建立的INAT连接的信息，因此即使在故障转移之后也会继续为这些连接提供服务。

  从客户端的角度来看，这种故障转移是透明的。在过渡期间，客户端和服务器可能会经历短暂的中断和重传。每个INAT规则都可以启用连接故障转移。

  在INAT规则上启用连接故障转移，需要启用connFailover（连接故障转移)参数的特定INAT规则使用CLI或GUI。

  [nsnet-11168]

• 连接故障转移支持从FTP服务器随机端口的FTP连接

  连接故障转移使主节点能够将连接和持久性信息复制到高可用性设置中的辅助节点。在启用连接镜像时，定期将连接的状态信息共享给辅助节点。

  Citrix ADC设备高可用性设置支持FTP服务器使用随机数据端口的FTP连接的连接故障转移。

  主节点定期向备节点发送FTP相关的连接信息。次要设备仅在发生故障转移时使用此信息。

  要在FTP类型的负载均衡配置上启用连接故障转移，请启用connFailover（连接故障转移)参数，可以通过命令行方式或图形方式获取。

  此外，为了启用Citrix ADC设备来处理FTP服务器使用随机端口的FTP连接，您必须启用Citrix ADC全局参数:aftpAllowRandomSourcePort(启用活动FTP的随机源端口选择)。

  [nsnet-7685]

• 支持IEEE标准LLDP MIB

  Citrix ADC设备现在包括符合IEEE标准的LLDP SNMP MIB。

  [nsnet-6213]

平台

• 为UDP虚拟服务器配置TCP健康探测

  Citrix ADC设备支持针对UDP虚拟服务器的外部基于tcp的运行状况检查。该特性在虚拟服务器的VIP和配置的端口上引入TCP侦听器。这个TCP监听器反映了虚拟服务器的状态。

  为了实现上述目的，tcpProbePort参数被添加到以下vserver类型中:

  • 负载均衡虚拟服务器
  • 缓存重定向虚拟服务器
  • 内容切换虚拟服务器

  该特性仅支持分配IPaddress或ipset的虚拟服务器。

  [nsplata -12345]

• 选项，以启用或禁用dom0访问

  您现在可以启用或禁用对SDX控制域(dom0)的访问。使用dom0访问，用户可以直接访问SDX设备并更改配置。在此之前，默认情况下启用dom0访问。从以前的版本升级到12.1 56/13.0 xx时，将禁用dom0访问。
  要启用dom0访问，请从SDX GUI导航到System > Network Configuration。在“设备支持”下，选中“配置设备支持”框。

  [nsplat-11065]

• 在Microsoft Azure Stack上部署VPX实例

  你现在可以在Azure Stack上部署VPX实例了。

  [nsplata -9737]

政策

• 支持为绑定到字符串映射的键-值条目提供注释

  “bind policy stringmap”命令现在允许您为绑定到字符串映射的每个键-值条目提供注释。
  CLI命令:
  绑定策略stringmap [-comment]
  在那里,
  Comment提供关于stringmap中键值项的注释

  [npolicy -3297]

• 支持字符串或字符字面量中的二进制字符

  Citrix ADC设备现在支持ASCII(默认)字符集的字符串或字符字面量中的ASCII和二进制值。
  例子
  CLIENT.TCP.PAYLOAD (100) .CONTAINS(“xffx02”)

  [npolicy -3283]

SSL

• 新增ECDHE汇率SNMP告警

  基于ecdhe的密钥交换可能导致设备上每秒的事务数下降。现在可以为基于ecdhe的事务配置SNMP告警。在此告警中，可以设置ECDHE汇率的阈值和正常范围。新柜台nsssl_tot_sslInfo_ECDHE_Tx是补充道。此计数器是设备前端和后端所有基于ecdhe的事务计数器的总和。当基于ecdhe的密钥交换超过配置的限制时，发送SNMP trap。当该值恢复到配置的正常值时，再次发送trap。

  [nssl -7450]

• 在包含Intel Coleto SSL芯片的Citrix ADC设备的前端支持DTLSv1.2协议

  现在包含Intel Coleto SSL芯片的Citrix ADC设备前端支持DTLS 1.2协议。在配置DTLS虚拟服务器时，现在必须指定DTLS1或DTLS12。
  以下设备随Intel Coleto芯片发货:

  • MPX 59 xx
  • MPX /有关89 xx
  • MPX/SDX MPX 26xxx
  • MPX / 26 xxx-50s有关
  • MPX /有关26 xxx - 100 g
  • 15 xxx-50g MPX /有关

  [nssl -7189]

• 支持使用基于sha2的证书ID处理OCSP响应

  Citrix ADC设备现在可以处理包含SHA2或其变体(SHA-224、SHA-256、SHA-384、SHA-512)的基于证书ID的OCSP响应。在此之前，如果接收到对应的OCSP响应时使用基于sha2的证书ID，则OCSP请求会超时，因为响应证书ID与发送OCSP请求时使用的基于sha1的证书ID不匹配。结果，SSL握手失败，具体取决于虚拟服务器上客户端身份验证和OCSP检查集的状态。

  [nshelp-20399]

系统

• 配置HTTP/2帧的最大限制

  您现在可以修改HTTP/2连接中接收的最大帧数的默认配置(如PING, RESET, SETTING和EMPTY)。如果设备接收到的帧超过最大限制，则设备将静默地关闭连接。

  [nsbase-9447]

• 请求重试ADC入口流量

  当客户端发送HTTP或HTTPS请求时，如果后端服务器重置TCP连接，请求重试特性允许Citrix ADC设备选择下一个可用服务并转发请求，而不是向客户端发送重置。通过重试，当设备向下一个可用服务发起相同的请求时，客户机将保存RTT。
  请求重试特性适用于以下错误场景:

  • 当设备发送请求数据包时，从后端服务器进行RESET。

  备注:目前只支持HTTP协议和SSL协议。

  [nsbase-8288]

• 支持代理协议

  Citrix ADC设备现在使用代理协议跨代理层的所有设备安全地将连接信息从客户端传输到服务器。设备添加一个代理协议头，插入客户端连接详细信息，并将其转发到其他设备，然后转发到后端服务器。以下是Citrix ADC设备中代理协议的一些使用场景。

  • 了解原来的客户端IP地址
  • 为网站选择一种语言
  • 黑名单选择的IP地址
  • 记录和收集统计信息

  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/13/system/proxy-protocol.html

  [nsbase-4984]

用户界面

• SCOM链接目前在Citrix ADC GUI下载页面上不可用。

[nsui-14323]

• TCP选项中的客户端IP地址

  TCP概要文件GUI页面现在允许您配置clientiptcpoptiontion和clientiptcpoptionnumber参数，以便将客户端IP地址发送到后端服务器。

  [nsui-13991]

固定的问题

Build 13.0-52.24中解决的问题。

演示applow

• 在HDX Insight中，终止会话的正常运行时间显示实际会话正常运行时间，而不考虑所选的间隔。

  [nshelp-21380]

身份验证、授权和审计

• Citrix ADC设备在以下情况下跳过用户考虑进一步的组:
  • 用户是嵌套组的直接成员。
  • 用户已经是先前级别组的成员。

  [nshelp-21945]

• 在Citrix ADC高可用性和集群设置中，释放内存空间的延迟会导致内存堆积。

  [nshelp-21917]

• 如果用户身份验证提示额外的登录请求(如密码更改或RADIUS质询)，则Citrix ADC设备可能会在审计日志记录期间崩溃。

  [nshelp-21703]

• 为工作区登录而配置为SAML IdP的Citrix Gateway设备在注销时可能偶尔会返回HTTP 404错误。

  [nshelp-21650]

• 如果满足以下条件，Citrix ADC设备可能会在连接清理中崩溃:
  • 流量从VPN设置路由。
  • SSO正在进行中。
  • 罕见的关闭客户端连接的时间问题。

  [nshelp-21504]

• 如果使用keytab文件配置kcdAccount参数，为跨域Kerberos部署的Citrix ADC设备可能无法执行SSO。

  [nshelp-21406]

• 配置为正向代理的Citrix ADC设备不允许使用HTTP 1.0客户端进行NTLM身份验证。

  [nshelp-21349]

• 在极少数情况下，Citrix Gateway设备可能会在接收到无效的HTTP数据包时崩溃。

  [nshelp-21342]

• 使用NTLM协议的Citrix ADC设备不能为消息传递应用程序编程接口(MAPI)客户端执行SSO。

  [nshelp-21270]

• 当数据包引擎生成重复的会话删除响应时，Citrix ADC设备可能在身份验证、授权和审计期间崩溃。

  [nshelp-21172]

• 如果将Citrix ADC配置为基于表单的SSO，并且在配置中指定了名称-值对，那么如果表单中没有这些值，则忽略这些值。

  [nshelp-21139]

• 在极少数情况下，如果同时满足以下两个条件，nFactor登录失败:
  • Citrix ADC设备配置为证书身份验证，并返回到LDAP。
  • 证书认证失败。

  [nshelp-21118]

• 作为SAML部署的Citrix ADC设备有时可能无法执行基于SAML的注销。

  [nshelp-21093]

• 使用ie浏览器无法打开Citrix ADC GUI的“nFactor Flows”页面。

  [nshelp-21065]

• 重启Citrix ADC设备后，SAML元数据url参数不工作。

  [nshelp-21006]

• 在极少数情况下，当用户被要求输入一次性代码时，Citrix Gateway设备可能会失败。

  [nshelp-20967]

• 当Citrix ADC设备部署在多域环境(父-子域)中，且用户在父域，服务在子域时，Kerberos SSO可能会失败。

  [nshelp-20910]

• Citrix ADC设备在以下情况下可能会失败:
  • Citrix ADC设备配置了OAuth或SAML IdP操作，并从外部源刷新元数据信息。
  • 当从外部源获取数据或正在进行身份验证时，将更改配置。当您运行“clear config”命令时，也会观察到同样的问题。

  [nshelp-20646]

• 在极少数情况下，如果通过HTTPS连接到LDAP服务器，则身份验证失败。

  [nshelp-20181]

• 当活动同步客户端发送HEAD请求时，Citrix ADC设备不验证200 OK响应。

  [nshelp-20125]

• 由于DHT操作问题，RBA对集群节点的访问中断。添加其他计数器来处理此场景。

  [nshelp-20028]

• 在个别情况下，在超时后清除损坏的SSL VPN身份验证、授权和审计会话条目时，会有内存损坏导致核心转储。

  [nshelp-19775]

• 如果属性长度大于128字节，从AD获取到Citrix ADC设备的LDAP DN属性将被截断。

  [nsauth-7210]

• 在Citrix ADC高可用性和集群设置中，当您将设备从12.1 build 55.13版本升级到12.1 build 55.18版本时，设备可能会崩溃。如果在设备上启用了Citrix Gateway或身份验证、授权和审计特性，就会发生崩溃。

  [nsauth-7153]

• 当在Citrix ADC设备上配置SSO时，从HTTP到WebSockets的协议切换失败。

  [nsauth-6354]

• 如果使用Citrix ADC GUI中的“创建身份验证LDAP服务器”页面中的“端到端登录测试”或“测试最终用户连接”选项编辑身份验证虚拟服务器，则会出现错误消息。

  [nsauth-6339]

Citrix ADC SDX设备

• 在SDX GUI下添加LDAP服务器>配置>系统>认证> LDAP时，表单输入框中的特殊字符不解码显示。并且，Base DN字段中的“&”字符被替换为“&”。

  [nshelp-21488]

• 在将SDX设备升级到任意版本13.0之后，不提供管理接口(0/ 1,0 /2)的Citrix ADC实例将无法访问。

  [nshelp-21412]

• 如果试图同时重新启动运行在SDX设备上的多个VPX实例，则VPX实例的通道和数据接口将从SDX管理服务中消失。

  [nshelp-21124]

• 升级SDX设备后，SDX管理服务可能不会列出以太网接口。如果升级的安装后流程部分不成功，就会发生这种情况。

  [nshelp-21068]

• 在SDX设备上，您可能偶尔会看到CPU使用率高的事件。之所以出现这种峰值，是因为设备备份是一个CPU密集型过程。CPU占用率高是暂时现象。

  [nshelp-21063]

• 当选择三个以上的实例进行重新启动或关闭时，设备将丢失接口详细信息。

  [nshelp-21040]

Citrix网关

• Windows VPN插件客户端语言设置为中文时，会导致插件崩溃。

  [nshelp-21946]

• Citrix ADC设备在配置为高级无客户端VPN时可能崩溃。

  [nshelp-21819]

• Citrix Gateway升级到13.0 build 47.24版本后，通过VPN隧道进行DNS解析失败，本地DNS服务器响应错误。

  [nshelp-21794]

• 如果同时设置cookie并过期，则企业Web应用程序可能会显示错误。

  [nshelp-21772]

• 如果使用基于自定义主题的rfweb或带有自定义主题的nFactor，则Citrix Gateway登录页面将失去响应。

  [nshelp-21763]

• 升级到13.0 build 47.x版本后重新启动Citrix ADC设备时，到身份验证、授权和审计组的Intranet应用程序绑定将丢失。

  [nshelp-21733]

• 不能访问以“1https”或“0https”开头的链接。

  [nshelp-21469]

• 如果无客户端VPN应用程序的POST正文包含'(单引号)或"(双引号)编码的html，则不能通过书签启动使用高级无客户端VPN的应用程序。

  [nshelp-21361]

• 如果代理PAC文件不可达，Citrix Gateway VPN插件可能需要很长时间才能建立到计算机的隧道。

  [nshelp-21355]

• 在某些情况下，如果满足以下条件，Citrix Gateway将转储核心:

  • Citrix Gateway设备启用了EDT Insight功能。
  • 设备从VDA接收到一个无序的CGP BINDRESP包。

  [nshelp-21296]

• 在某些机器上，EPA提示窗口按钮(YES、NO、ALWAYS)不会出现在EPA插件屏幕上。

  [nshelp-21276]

• 在Citrix Gateway高可用性设置中，如果在Citrix Web App Firewall全局启用了日志记录，那么在高可用性同步过程中，次要节点将崩溃。

  [nshelp-21254]

• 如果您在Citrix Gateway上配置了无客户端VPN (CVPN)，那么设备可能会因为错误的重写处理而崩溃。

  [nshelp-21244]

• 在Citrix Gateway高可用性设置中，如果启用了Gateway Insight，辅助节点可能会崩溃。

  [nshelp-21184]

• 如果两台或更多客户端机器试图建立到同一网关的VPN隧道连接，则从一台客户端机器到另一台机器的ping连接失败。

  [nshelp-21169]

• 有时，Citrix ADC设备可能在传输登录时崩溃。

  [nshelp-21134]

• 当VPN虚拟服务器主机名中包含“cvpn”时，用户无法登录。

  [nshelp-21119]

• 如果您已经配置了高级的无客户端VPN访问，那么如果在企业Web应用程序中使用了编码，例如(' x3a '或' &x3a ' for ': ')，则无法正常查看SAP应用程序书签。

  [nshelp-21072]

• 如果为客户端和服务器进程控制块分配内存失败，Citrix ADC设备可能会崩溃并转储核心。

  [nshelp-20961]

• 当设备存储中存在多个设备证书时，具有用户角色的AlwaysOn服务无法建立用户隧道。

  [nshelp-20897]

• 即使VPN连接成功，用户也无法访问内部资源，但Citrix Virtual Adapter没有正确配置DNS服务器。

  [nshelp-20892]

• 如果满足以下所有条件，则在StoreFront上配置的应用程序不会出现在Citrix Gateway首页上:
  • 完成WiHome配置。
  • 启用高级无客户端VPN接入功能。
  • 用户可以通过Internet Explorer或Firefox登录。

  [nshelp-20888]

• 启用OCSP (Online Certificate Status Protocol)设备证书检查功能后，nFactor认证失败。

  [nshelp-20855]

• 如果启用反向分裂隧道功能，内网路由添加前缀值错误或者根本不添加。

  [nshelp-20825]

• 在Citrix Gateway高可用性设置中，如果没有配置策略，并且将节点从版本12.0升级到版本13.0，那么次要节点可能会崩溃。

  [nshelp-20790]

• 如果同时满足以下两个条件，转账登录时将出现黑屏且StoreFront应用不被枚举:
  • “SplitTunnel”设置为“ON”。
  • “IP地址池(内网IP)”选项设置为“NoSpillOver”。

  [nshelp-20584]

• 在高可用性设置中，在Citrix ADC故障转移期间，/var/netscaler/logon文件夹中的某些应用程序的图标不可见。

  [nshelp-20573]

• 当后端服务器不可访问时，客户机将耗尽连接，并且到后端的新连接不会成功。

  [nshelp-20535]

• 在高可用性设置中，只要将包含SAML相关信息的身份验证、授权和审计会话或VPN会话传播到主节点，辅助节点就会崩溃。

  [nshelp-20230]

• 在某些情况下，在启用ICA Insight的双跳部署中，面向外部的Citrix Gateway会转储特定网络流量模式的核心。

  [nshelp-19487]

• 您现在可以通过编辑plugins.xml来配置RfWebUI参数，如loginFormTimeout和会话超时。

  [nshelp-19221]

• 如果认证、授权和审计会话较多，则终止用户会话所需的时间较长。

  [nshelp-19131]

• 将Citrix ADC和网关插件升级到13.0 build 41.20之后，用户在尝试设置VPN隧道时遇到持续的蓝屏(BSOD)错误。

  [ccg -12099]

Citrix Web应用防火墙

• 如果启用了URL闭包保护，Citrix ADC设备将在两分钟后阻塞闭包URL。

  [nsswaf -3292]

• 如果Web应用防火墙配置文件使用APPFW_DROP和APPFW_RESET策略动作，Citrix ADC设备可能会崩溃。

  [nshelp-21283]

• 当使用APPFW_DROP和APPFW_RESET作为Web应用防火墙策略动作时，Citrix ADC设备可能会崩溃。

  [nshelp-21220]

• 如果启用了Citrix Web应用程序防火墙功能，则Citrix ADC设备可能会由于内存故障而崩溃。

  [nshelp-21201]

• Citrix ADC设备可能因为内存分配失败而崩溃。

  [nshelp-21071]

• 如果启用了签名特性并且检测到特定的请求模式，Citrix ADC设备可能会崩溃。

  [nshelp-20884]

• 如果传入的GWT请求在URL中包含查询字符串，则Citrix ADC设备将重置连接。

  [nshelp-20564]

• 从12.0-58.15版本升级到12.0-62.8版本后，URL转换功能对某些URL不起作用。该问题是由重写url时不正确的规范化引起的。

  [nshelp-20460]

• 在高可用性设置中，启用IP信誉特性可能会导致高可用性命令传播失败。

  [nshelp-20010]

• 如果使用较慢的FTP/HTTP服务器下载签名，并且下载时间超过10分钟，则Citrix ADC设备可能会崩溃。

  [nshelp-18331]

聚类

• 执行show techsupport -scope cluster命令时，所有Citrix ADC SDX设备显示如下错误:

  “这是一个低带宽实例”

  [nshelp-20666]

负载平衡

• Citrix ADC设备可能在GSLB同步期间崩溃。当在一个不存在的gslb服务上执行“set gslb service”命令时，会出现此问题。

  [nshelp-21304]

• 在连接故障转移之后，当辅助设备成为新的主设备时，将观察到丢包。

  [nshelp-21155]

• 使用实例执行“set service”命令，返回如下错误提示:
  “无法在基于域的服务器上设置IP地址。”

  当服务器配置的名称大于32个字符时，会显示此错误信息。

  [nshelp-20939]

• 如果设备看门狗请求，Citrix ADC设备可能会间歇性崩溃
  对PCRF (Policy and Charging Rules Function)启用DWR探测，PCRF不可达。

  [nshelp-20827]

• 对于集群中的GSLB设置，当您运行“set rpcnode”命令时，RPC节点中的源IP地址将更改为NSIP地址。因此，GSLB在发起MEP连接时使用NSIP地址，而不是SNIP地址。

  [nshelp-20552]

• 在集群环境中，执行“unset lb vserver test -redirectFromPort”命令时，负载均衡虚拟服务器的HTTP重定向端口不会从数据库中清除。

  [nshelp-20518]

• 当在IPv6高可用性设置中启用持久性时，Citrix ADC设备可能会崩溃。

  [nshelp-20219]

网络

• Citrix ADC设备的CLI在设备处理IPv6分片数据包时显示不需要的调试消息。

  [nsnet-12704]

• 如果在Linux主机上错误配置了DPDK(例如，如果没有配置hugepages)，那么支持DPDK的Citrix ADC BLX设备将无法启动并转储core。

  有关在linux主机上为Citrix ADC BLX设备配置DPDK的详细信息，请参见https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx-dpdk.html

  [nsnet-11349]

• Citrix ADC BLX设备无法启动，原因是Linux主机上的DPDK配置错误(例如，如果没有配置hugepages)。您需要运行start命令(systemctl start blx)两次来启动Citrix ADC blx设备。

  [nsnet-11107]

• vvtysh命令行的" sh IP BGP summary "错误地将32位的ASN值显示为负值。

  [nshelp-21234]

• 在Citrix ADC设备上，执行清除配置基本操作时，到IPv6子网IP地址的管理连接可能会重置。

  [nshelp-21206]

• 在设置分区操作期间，分区的最大内存现在只增加到NS_SYS_MEM_FREE()。在前面，它被增加到可用的最大内存，以便重新启动Citrix ADC设备后配置的分区不会丢失。

  [nshelp-21159]

• 日志含义Citrix ADC收到大lsp (Link State pdu)，缺少AUTH认证信息，导致安装IS-IS下一跳失败。

  [nshelp-21062]

• 对于从Citrix ADC路由表中删除的路由，BGP守护进程可能会显示重复的警告消息。

  [nshelp-20906]

• 系统重新启动后，Citrix ADC设备在180秒内以减少的度量发布路由。

  [nshelp-20842]

• 当有多个BGP时，Citrix ADC设备可能无法正确更新ECMP路由
  会话同时进入DOWN状态。

  [nshelp-20664]

• Citrix ADC设备可能会跳过基于策略的路由(PBR)规则，用于传出UDP和ICMP类型的监控数据包。

  [nshelp-20545]

NSSWG

• 在复合URLSet表达式中，例如.URLSET_MATCHES_ANY(URLSET1 . matches_any)

  URLSET2)， appflow记录中的“Urlset Matched”字段只反映最后一个被求值的Urlset的状态。例如，如果请求的URL只属于URLSET1，则URLSet Matched字段被设置为0，尽管URL属于其中一个URLSet。结果，URLSET1将URLSet Matched字段更改为1，而URLSET2将其设置为0

  [nsswg-1100]

• 如果传入URL域名后有双斜杠，URL过滤分类将失败。“http://”格式在前面。例如，www.example.com//index.html

  [nsswg-1082]

• 在Citrix ADC设备和Citrix网关中观察到以下行为:
  • Citrix ADC设备在部署为代理时可能变得无响应，并且为后端应用程序启用了SSO。
  • 在带有出站代理配置的Citrix Gateway中也观察到相同的行为。

  [nshelp-21437]

平台

• 当您热重启Citrix ADC VPX设备时，在以下情况下订阅许可证可能会丢失:

  • 使用基于ENA的AWS实例类型:C5、C5n、M4和M5。
  • 在现有支持的AWS实例上启用ENA接口。

  [nsplat-13467]

• Tx失速可能发生在使用10G IXGBE端口的Citrix ADC MPX设备和使用10G IXGBEVF端口的Citrix ADC SDX设备上。

  [nsplat-13338]

• 支持新的Citrix ADC SDX硬件平台
  该版本现在支持以下新平台:
  • Citrix ADC SDX 15000。有关更多信息，请参见https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-15000.html
  • Citrix ADC SDX 26000。有关更多信息，请参见https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-26000.html
  • Citrix ADC SDX 26000-50S。有关更多信息，请参见https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-26000-50s.html
    [来自Build 51.10]

  [nsplat-12815]

• 将Citrix ADC SDX 8900和SDX 15000 50G设备升级到版本11.1 63.9后，设备上不会出现10G网卡。此问题会阻止VPX实例启动。结果，实例变得不可访问。

  [nsplata -12093]

• 在集群设置中，当MPX 15000一体机的50G端口被配置为背板的一部分时，50G端口的MTU将被设置为零而不是1578。

  [nshelp-21113]

• 在某些情况下，当您在包含Fortville网卡的Citrix ADC SDX设备上重新启动一个或多个VPX实例时，接口上的LACP可能会进入“默认”状态。

  [nshelp-21091]

• 在某些情况下，SDX 14000设备可能失去响应，需要重新启动。

  [nshelp-21017]

• 在Cisco CSP 2100平台的VPX部署中，在物理网络接口卡(pNIC)上创建多个虚拟函数(VF)时，偶尔会出现丢包的情况。

  [nshelp-20991]

• 如果一个数据包跨越超过8个描述符，那么在包含Fortville接口的设备上可能会观察到Tx中断。该故障可能导致接口进入错误禁用状态。

  [nshelp-20800]

政策

• Citrix ADC设备现在允许包含二进制字符的所有字符串和字符字面量。但是，UTF-8字符集仍然要求字符串和字符文字是有效的UTF-8。

  以前，该设备只允许有效的UTF-8字符串和字符字面量。这对UTF-8和二进制(ASCII)字符集都适用。然而，这并不允许一些二进制字符串和字符字面量，这意味着一些与二进制内容相关的有效表达式不能被写入。
  例子:

  CLIENT.TCP.PAYLOAD (100) .CONTAINS(“xffx02”)

  [npolicy -2362]

• 在重写分块数据时，如果网络缓冲区很少，Citrix ADC设备可能会崩溃。

  [nshelp-20847]

SSL

• 在某些情况下，以下设备在运行SSL通信时可能崩溃:
  • MPX 59 xx
  • MPX /有关89 xx
  • MPX/SDX MPX 26xxx
  • MPX / 26 xxx-50s有关
  • MPX /有关26 xxx - 100 g
  • 15 xxx-50g MPX /有关

  [nssl -7606]

• 如果虚拟服务器上还配置了带有可选客户端证书的客户端身份验证，则带有强制证书验证的基于策略的客户端身份验证将失败。

  [nshelp-21190]

• 对于启用SNI的会话，ADC设备可以控制如何验证主机报头。将一个新的参数SNIHTTPHostMatch添加到SSL配置文件和SSL全局参数中，以便更好地控制这种验证。该参数可以取三个值;CERT, STRICT和NONE。SNI必须在SSL虚拟服务器或绑定到虚拟服务器的配置文件上启用，并且HTTP请求必须包含主机标头。

  [nshelp-13370]

系统

• 分析报告不会出现在Citrix ADM GUI中，如果您:
  1. 安装ADM 12.1.52.15或以上版本。
  2. 选择Logstream传输模式以配置实例分析。

  [nshelp-21618]

• Citrix ADC设备不会在空闲超时后使用HTTP/2 RST_STREAM重置客户端连接上的HTTP/2流。

  [nshelp-21537]

• 如果在Citrix ADC设备上的HTTP/2配置文件中启用多路复用，则客户端连接将失去响应。

  [nshelp-21434]

• Citrix ADC设备不会将响应转发给客户端，如果它同时包含尾标和内容长度标头。

  [nshelp-21427]

• 如果HTTP/2安全监视器的内存分配失败，Citrix ADC设备可能会崩溃。

  [nshelp-21400]

• 如果appQoE操作失败，Citrix ADC设备可能会崩溃。

  [nshelp-21393]

• 如果Citrix ADC设备向后端服务器发送带有多个cookie名称-值对的HTTP/2请求，则HTTP事务可能会失败。

  [nshelp-21373]

• 如果Citrix ADC设备接收到包含HTTP/2.0版本的HTTP/1.1请求，则可能会崩溃。对于任何HTTP/2.0版本的客户端请求，设备都将其视为HTTP/2.0请求并进行处理。这将导致崩溃。

  [nshelp-21187]

• 如果在服务大型HTTP响应时启用了Appflow客户端测量，Citrix ADC设备可能会崩溃。

  [nshelp-21099]

• 在集群设置中，如果在Citrix ADC设备上的原始连接超时之前，用不同的MPTCP密钥重用了4个元组，则Citrix ADC设备可能会因为新的MPTCP连接而崩溃。

  [nshelp-20844]

• MAC模式透明虚拟服务器部署时，被动模式的FTP数据连接无响应。

  [nshelp-20698]

• 如果启用代理协议，并且由于网络拥塞而发生重传，则内存使用量会增加。

  [nshelp-20613]

• 在以下情况下，使用show connectiontable命令显示一些不满足过滤条件的表项:
  • 命令在高流量下运行。
  • 命令与IP或端口筛选器一起使用。

  [nsbase-9509]

用户界面

• 如果ADC和adm之间的延迟较大，Citrix ADC池容量许可可能会失败。如果延迟大于200毫秒，则会出现此问题。

  Citrix ADC许可客户端反复尝试从adm签出许可。在高可用性和集群设置中，每当触发同步时，就会不必要地重新应用许可配置。池授权命令的传播和同步被禁用。每个节点都需要通过登录节点的NSIP进行独立授权。只能在集群IP上执行show命令。

  [nsui-14868]

• 升级到12.1-55版本后。X，如果配置了池许可，则设备可能在未经许可的情况下启动。结果，所有特性都被禁用，并且运行的配置中缺少任何依赖于许可证的配置。执行热重启，恢复池license和配置。
  警告:不要在未经许可的设备上运行“save config”或强制HA故障转移。

  [nsui-7869]

• 现在可以使用GUI在虚拟服务器的SSL参数中将客户端身份验证设置为可选。在前面，如果使用GUI更改任何SSL参数，则客户端身份验证将更改为强制。

  [nshelp-21060]

• 如果计数查询在Citrix ADC设备中不工作，则观察到KeyError异常。

  [nshelp-20979]

• 如果实体名称包含空格，则无法在ADC GUI中使用搜索过滤器搜索实体。

  [nshelp-20506]

• 基于角色的身份验证(RBA)不允许组名以“#”字符开头。

  [nshelp-20266]

• 在分区部署期间，如果在默认分区中运行“uiinternal”命令，然后“清除配置”，则分区设备可能会崩溃。

  [nshelp-20247]

• 在某些场景下，提示字符串中的用户名(使用“%u”字符指定)不会正确显示。

  [nshelp-19991]

• 在Citrix ADC命令界面和GUI界面中，很少有SNMP告警的系统时间参数设置没有显示。

  [nshelp-19958]

• 如果文件名长度从61到63个字符，即使最大限制为63个字符，也不能使用NetScaler GUI检索备份文件。

  [nshelp-11667]

• Citrix Gateway设备为设备的每次登录向RADIUS身份验证服务发送重复的RADIUS访问请求。

  [nshelp-11148]

已知的问题

版本13.0-52.24中存在的问题。

身份验证、授权和审计

• Citrix ADC设备不会验证重复的密码登录尝试，并防止帐户锁定。

  [nshelp-563]

• Citrix ADC GUI的登录模式编辑器界面中DualAuthPushOrOTP.xml LoginSchema没有正确显示。

  [nsauth-6106]

• ADFS代理概要文件可以在集群部署中配置。在发出以下命令时，代理配置文件的状态错误地显示为空白。
  显示adfsproxyprofile
  解决方法:连接集群中主激活的Citrix ADC，发出show adfsproxyprofile命令。它将显示代理概要文件状态。

  [nsauth-5916]

Citrix网关

• 在Citrix Gateway双跳高可用性设置中，ICA连接可能在HA故障转移后丢失。
  解决方法:修改FQDN为下一跳服务器的IP地址。

  [nshelp-22444]

• 在Citrix Gateway高可用性设置中，如果配置了syslog，那么辅助节点可能会在故障转移期间崩溃。

  [nshelp-22438]

• 如果配置了syslog策略，Citrix Gateway设备可能会间歇性崩溃。

  [nshelp-22304]

• 有时在浏览模式时，会出现错误消息“无法读取未定义的属性‘类型’”。

  [nshelp-21897]

• 如果Citrix ADC设备被配置为nFactor身份验证，当RADIUS身份验证失败时，Citrix ADM设备错误地将失败的身份验证类型显示为“LDAP”。

  [nshelp-20440]

• Gateway Insight报告在SAML错误失败的“Authentication Type”字段中错误地显示为“Local”，而不是“SAML”。

  [cgop-13584]

• 如果用户使用MAC接收器和6.5版本的Citrix Virtual App和台式机(以前是Citrix XenApp和XenDesktop)， ICA连接将导致ICA解析期间的跳过解析。
  解决方案:将接收器升级到最新版本的Citrix Workspace应用程序。

  [cgop-13532]

• 在高可用性设置中，在Citrix ADC故障转移期间，SR计数递增，而不是Citrix ADM中的故障转移计数递增。

  [cgop-13511]

• 在Outlook Web App (OWA) 2013中，单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外，页面将变得无响应。

  [ccg -7269]

网络

• 重新启动Citrix ADC设备后，内部传输层服务可能会被取消注册。因此，设备上的任何传输协议服务请求都会失败。

  [nsnet-15252]

• 在Citrix ADC实例中，如果在接口的trunkallowedVlan列表中配置了超过100个vlan，可能会出现以下错误信息:
  错误:操作超时
  ERROR:与数据包引擎的通信错误

  [nsnet-4312]

• 在高可用性设置中，如果执行从Citrix ADC软件版本13.0 47.24或之前版本到更高版本的服务内软件升级(ISSU)，其中一个Citrix ADC设备可能会崩溃。

  [nshelp-21701]

• 在启用了retainConnectionsOnCluster选项的集群设置中，当集群节点接收到碎片包之后又接收到非碎片包时，它可能会崩溃。

  [nshelp-21674]

• 当Citrix ADC设备作为remove命令的一部分清理大量服务器连接时，Pitboss进程可能会重新启动。这个Pitboss重启可能会导致ADC设备崩溃。

  [nshelp-136]

平台

• 运行状况监控告警与电源编号错误。当电源线缆从PSU - 1断开时，运行状况监视将发送错误的告警，即PSU - 2已故障。

  [nsplata -4985]

政策

• 如果处理数据的大小超过配置的默认TCP缓冲区大小，则连接可能挂起。
  解决方法:修改FQDN为下一跳服务器的IP地址。

  [nshelp-22444]

• 在Citrix Gateway高可用性设置中，如果配置了syslog，那么辅助节点可能会在故障转移期间崩溃。

  [nshelp-22438]

• 如果配置了syslog策略，Citrix Gateway设备可能会间歇性崩溃。

  [nshelp-22304]

• 有时在浏览模式时，会出现错误消息“无法读取未定义的属性‘类型’”。

  [nshelp-21897]

• 如果Citrix ADC设备被配置为nFactor身份验证，当RADIUS身份验证失败时，Citrix ADM设备错误地将失败的身份验证类型显示为“LDAP”。

  [nshelp-20440]

• Gateway Insight报告在SAML错误失败的“Authentication Type”字段中错误地显示为“Local”，而不是“SAML”。

  [cgop-13584]

• 如果用户使用MAC接收器和6.5版本的Citrix Virtual App和台式机(以前是Citrix XenApp和XenDesktop)， ICA连接将导致ICA解析期间的跳过解析。
  解决方案:将接收器升级到最新版本的Citrix Workspace应用程序。

  [cgop-13532]

• 在高可用性设置中，在Citrix ADC故障转移期间，SR计数递增，而不是Citrix ADM中的故障转移计数递增。

  [cgop-13511]

• 在Outlook Web App (OWA) 2013中，单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外，页面将变得无响应。

  [ccg -7269]

网络

• 重新启动Citrix ADC设备后，内部传输层服务可能会被取消注册。因此，设备上的任何传输协议服务请求都会失败。

  [nsnet-15252]

• 在Citrix ADC实例中，如果在接口的trunkallowedVlan列表中配置了超过100个vlan，可能会出现以下错误信息:
  错误:操作超时
  ERROR:与数据包引擎的通信错误

  [nsnet-4312]

• 在高可用性设置中，如果执行从Citrix ADC软件版本13.0 47.24或之前版本到更高版本的服务内软件升级(ISSU)，其中一个Citrix ADC设备可能会崩溃。

  [nshelp-21701]

• 在启用了retainConnectionsOnCluster选项的集群设置中，当集群节点接收到碎片包之后又接收到非碎片包时，它可能会崩溃。

  [nshelp-21674]

• 当Citrix ADC设备作为remove命令的一部分清理大量服务器连接时，Pitboss进程可能会重新启动。这个Pitboss重启可能会导致ADC设备崩溃。

  [nshelp-136]

平台

• 运行状况监控告警与电源编号错误。当电源线缆从PSU - 1断开时，运行状况监视将发送错误的告警，即PSU - 2已故障。

  [nsplata -4985]

政策

• 如果处理数据的大小超过配置的默认TCP缓冲区大小，则连接可能挂起。

  解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。

  [npolicy -1267]

• insert_after类型的重写操作可能不适用于HTTP分块或FIN终止响应。

  [nshelp-22743]

SSL

• 以下add命令不能使用Update命令:
  • 添加azure应用程序
  • 添加azure密钥库
  • 添加SSL certkey与hsmkey选项

  [nssl -6484]

• 如果已经添加了身份验证Azure密钥库对象，则无法添加Azure密钥库对象。

  [nssl -6478]

• 您可以使用相同的客户端ID和客户端秘密创建多个Azure Application实体。Citrix ADC设备不返回错误。

  [nssl -6213]

• 在未指定KEYVAULT作为HSM类型的情况下删除HSM密钥时，将出现以下错误错误消息。
  ERROR: crl refresh disabled

  [nssl -6106]

• “会话密钥自动刷新”在集群IP地址上错误地显示为禁用。(此选项不可禁用。)

  [nssl -4427]

• 如果尝试更改SSL概要文件中的SSL协议或密码，将出现错误的警告消息，“警告:在SSL vserver/服务上没有配置可用的密码”。

  [nssl -4001]

• 在极少数情况下，Citrix ADC设备可能会因错过心跳而崩溃。

  [nshelp-21593]

• 在集群设置中，集群IP (CLIP)地址上的运行配置显示绑定到实体的DEFAULT_BACKEND密码组，而在节点上则没有。这是一个显示问题。

  [nshelp-13466]

系统

• 如果观察到以下情况，Citrix ADC设备可能在部署期间崩溃:
  • MPTCP (Multipath TCP)通过MBF和PMTUD启用
  • 收到MPTCP流量，响应时产生“ICMP Fragmentation Needed”错误。

  [nshelp-22418]

• 如果出现以下情况，Citrix ADC设备可能会崩溃:
  • 启用Flash Cache。
  • 客户端连接复位。
  • 队列中的客户端请求将作为缓存过程的一部分进行服务。

  [nshelp-21872]

• 如果您启用HTTP/2特性，并且有一个大文件下载(如果文件大小大于或等于1gb)，则会观察到高内存占用。如果下载的数据缓冲区导致过多的资源使用，那么速度较慢的客户端就会出现这个问题。

  [nshelp-20531]

用户界面

• 创建/监控CloudBridge连接器向导可能会变得无响应或配置CloudBridge连接器失败。

  解决方案:通过Citrix ADC GUI或CLI添加IPSec安全框架、IP隧道和策略路由规则，配置cloudbridge连接器。

  [nsui-13024]

• 在Citrix ADC GUI中使用Syslog仪表板中的滚动条时，页面要么快速滚动，要么显示空白。

  [nshelp-21267]

• 如果您(系统管理员)在Citrix ADC设备上执行以下所有步骤，系统用户可能无法登录降级的Citrix ADC设备。

  1. 升级Citrix ADC设备到13.0 52.24 build，
  2. 新增系统用户或修改已有系统用户密码，并保存配置
  3. 将Citrix ADC设备降级为任何旧版本。

  使用实例使用CLI查询系统用户列表。
  在命令提示符下，输入:

  查询ns config -changedpassword [-config]

  处理:

  若要修复此问题，请使用以下独立选项之一:

  • 如果Citrix ADC设备尚未降级(上述步骤中的步骤3)，请使用以前备份的相同版本的配置文件(ns.conf)降级Citrix ADC设备。

  • 任何在升级版本上没有修改密码的系统管理员都可以登录到降级版本，并更新其他系统用户的密码。

  • 如果以上选项都无效，系统管理员可以重置系统用户密码。有关更多信息，请参见:https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

  [nsconfig-3188]