Citrix ADC 13.0-67.43版本发布说明
本发布说明文档描述了Citrix ADC版本Build 13.0-67.43的增强和更改、固定和已知问题。
笔记
- 此发布说明文档不包括与安全相关的修复。有关与安全相关的修复程序和建议的列表,请参阅Citrix安全公告。
- 13.0-67.43是13.0-67.39的替换版本。NSHELP-25322和NSHELP-25443是替换版本中的附加修复。
有什么新鲜事
Build 13.0-67.43中提供的增强和更改。
身份验证、授权和审计
nFactor认证支持Citrix网关标准许可证
Citrix Gateway现在支持使用标准许可证的nFactor身份验证。有关更多信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/multi-factor-nfactor-authentication.html
[nsauth-6438]
Citrix网关
介绍了新的思杰标志。
[ccg -14440]
Citrix Web应用防火墙
所有导入对象名称长度和配置文件名称长度增加到127个字符
Citrix Web App Firewall导入对象名称长度和配置文件名称长度现在增加到127个字符的最大限制。以前,名称长度最多只能设置为32个字符。
[nsswaf -5992]
动态概要松弛规则计数器
当Citrix Web App Firewall检测到违规时,用户可以使用放松规则绕过该操作。为了监控这些放松,现在有了一个放松命中计数器。计数器跟踪统计详细信息,例如设备上发生违规的次数、违规时应用的松弛规则的次数,以及最后应用的时间戳。
但是,新的放松命中计数器只适用于以下安全检查:
- Starturl
- Denyurl
- 跨站点脚本编制
- SQL注入
[nsswaf -5842]
JSON命令注入保护检查
Citrix Web App Firewall配置文件现在增强了,增加了针对JSON有效负载中的命令注入攻击的新保护检查。当命令注入安全检查检查JSON流量并检测到任何恶意命令时,设备将阻止请求或执行配置的操作。
[nsswaf -5837]
Bot trap URL随机化
Citrix Bot陷阱技术现在可以随机或定期地在客户端响应中插入一个陷阱URL。如果客户端是人类用户,则URL看起来不可见且不可访问。然而,如果客户端是一个自动机器人,URL是可访问的,当访问时,攻击者被归类为机器人,来自机器人的任何后续请求都将被阻止。陷阱技术可以有效地阻止机器人的攻击。
Bot trap URL是自动生成的,您可以配置URL更新的长度和间隔。如果配置了trap URL,则只能插入该URL。此外,这种技术还允许您通过在配置文件中绑定网站URL,为访问次数最多或访问频率最高的网站的每个响应插入陷阱URL。”
[nsswaf -5774]
SameSite cookie属性用于安全的web通信
随着最近的浏览器升级,如谷歌Chrome 80, cookie中的默认跨域行为发生了变化。因此,SameSite属性设置为“None”,“Lax”或“Strict”,对于谷歌Chrome浏览器,默认属性值设置为Lax。
为了符合浏览器新的SameSite cookie策略,Citrix Web App Firewall配置文件被增强以支持SameSite cookie属性配置。您现在可以启用SameSite cookie属性,也可以将该属性设置为以下选项之一。
- SameSite =没有。指示浏览器仅在安全连接上在跨站点上下文中使用cookie。
- SameSite =松懈。指示浏览器对同一域上的请求使用cookie,并且只有跨站点的安全HTTP方法(如“GET”请求)才能使用cookie。
- SameSite =严格。表示只有在用户显式地请求域时才可以使用cookie。
[nsswaf -5468]
网络
支持NET_ADMIN运行多核Citrix ADC CPX
您现在可以使用-cap-add =NET_ADMIN选项在网桥模式部署中运行Citrix ADC CPX的单核和多核。
[nsnet-16016]
平台
使用跨不同AWS区域的私有IP地址设置VPX高可用性对
您现在可以使用跨不同AWS区域的私有IP地址在AWS上部署VPX高可用性对。
[nsplata -14757]
在GCP上支持Citrix ADC VPX实例的VIP扩展
根据您的需求,您现在可以在部署在GCP上的Citrix ADC VPX实例上添加多个VIP(公共IP)地址。独立部署和高可用性部署都支持这一点。以前,您能够添加的最大vip数量取决于GCP网络限制。
[nsplat-14738]
修改默认admin密码
如果密码设置为默认的admin (nsroot)密码,则用户在首次登录或创建实例时必须修改密码,并保存配置。密码不能重置为默认的admin密码。
此更改适用于以下Citrix设备:- VPX实例托管在Citrix ADC SDX设备上
- Citrix ADC BLX设备
- Citrix VPX虚拟设备托管在以下虚拟化和云平台上:
- Citrix管理程序
- VMware ESX
- 微软hyper - v
- Linux KVM
- 亚马逊网络服务
- 谷歌云平台
[nsplata -14480]
在GCP上使用转发规则建立Citrix ADC VPX高可用性对
现在可以在谷歌云平台(GCP)上使用转发规则和后端目标实例部署VPX高可用性对。转发规则必须与VPX实例在同一区域,目标实例必须与VPX实例在同一区域。在故障转移时,转发规则目标被更新到辅助目标实例,以便流量恢复。
[nsplat-14378]
系统
用于管理访问的内置HTTP配置文件
Citrix ADC设备现在有一个内置的HTTP配置文件“nshttp_default_internal_apps”用于管理访问。配置该概要文件以阻止HTTP/0.9请求并删除无效的管理访问请求。配置文件设置与现有的“nshttp_default_strict_validation”配置文件相同。但是,建议不要像“nshttp_default_strict_validation”配置文件中那样更改配置文件设置。
[nsbase-10118]
请求重试TCP SYN连接建立
请求重试适用于另一个错误场景。如果在TCP SYN建立期间从后端服务器接收到重置,则设备在客户端连接超时之前不会继续重试同一服务器。相反,基于重新负载平衡,设备将请求转发到下一个可用的后端服务器。
[nsbase-9610]
支持gRPC响应缓冲时间和大小限制
在gRPC桥接场景中,Citrix ADC设备缓冲来自后端服务器的gRPC响应,直到接收到响应预告。这打破了双向gRPC调用。此外,如果gRPC响应非常大,则会消耗大量内存来完全缓冲响应。要解决这些问题,可以在HTTP概要文件中配置两个新参数grpcholdlimit和/或grpcholdtimeout。在配置两个参数或两个参数中的任意一个时,即使有一个缓冲区限制触发,设备也会停止缓冲并开始转发响应(在配置的缓冲区大小范围内没有收到预告,或者发生了配置的超时)。
[nsbase-9466]
用户界面
思杰标志变更
思杰现在有了一个反映其品牌转型的新标志。Citrix ADC和Citrix Gateway GUI现在反映了新的Citrix logo。
[nsui-16210]
机器人签名的自定义搜索功能
自定义搜索功能现在可以在Citrix ADC Bot签名GUI页面上使用。您可以使用搜索选项定位签名文件中的内容。
[nsui-15992]
DSA密钥已弃用,Citrix ADC设备不再支持DSA密钥。
[nsui-14778]
固定的问题
Build 13.0-67.43中解决的问题。
身份验证、授权和审计
在极少数情况下,如果Citrix Gateway设备配置了“VPN URL”功能,且SSO类型为“selfauth”,则该设备会崩溃。
[nshelp-24667]
在某些情况下,当OTP请求由一个核心发送,而验证请求由另一个核心接收时,Email OTP验证失败。
[nshelp-24442]
Citrix ADC设备拒绝来自移动客户端的登录请求,因为登录模式验证失败。在配置中必须使用OAuthToken_Username_password.xml模式。
[nshelp-24318]
如果满足以下条件,则无法登录Citrix ADC设备。
- 该设备为nFactor配置。
- 登录模式策略绑定到认证虚拟服务器,认证模式设置为“noschema”。
[nshelp-24259]
在极少数情况下,如果设备配置为NTLM身份验证,Citrix ADC设备将崩溃。
[nshelp-24236]
在非默认端口(443)配置VPN虚拟服务器时,Citrix单点登录二维码扫描失败。这是因为本机OTP设置有问题。
[nshelp-24097]
在某些情况下,Citrix ADC设备在执行与用户身份验证相关的后台任务时变得无响应。
[nshelp-23883]
在某些情况下,当尝试单点登录时,Citrix ADC设备将失去响应。
[nshelp-23632]
在极少数情况下,如果出现DUP-FREE(试图释放已经空闲的资源)场景,Citrix ADC设备会在处理身份验证请求时崩溃。
[nshelp-23565]
Citrix ADC设备在LDAP场景下抽取AD用户的所有组时,用户所属的组数超过组大小限制。处理步骤
[nshelp-22959]
如果Citrix ADC和Citrix Gateway中的SSO配置仅在全局级别启用,而不是在每个流量级别启用,则使用以下身份验证方法的单点登录(SSO)将不起作用。
- CitrixAGBasic身份验证
- Kerberos身份验证
- OAuth承载身份验证
[nsauth-9166]
在某些情况下,如果在配置清理期间存在任何过期的身份验证、授权和审计会话,Citrix ADC设备将崩溃。
[nsauth-7767]
机器人管理
当流量流入Citrix ADC设备时,如果禁用bot设备指纹技术,则该设备可能会崩溃。
[nsbot-156]
如果将bot管理配置文件配置为CAPTCHA作为bot操作,则Citrix ADC设备可能会崩溃。
[nsbot-148]
Citrix ADC SDX设备
在Citrix ADC SDX设备上运行软件版本13.0 build 64。X或12.1构建58。X时,用户无法下载设备的备份。
[nssvm-3952]
升级配置了管理LA和clag的Citrix ADC SDX设备后,可能无法访问SDX GUI。
[nshelp-24671]
如果更改Citrix ADC SDX设备上提供的ADC实例的设备配置文件,则不会修改SNMP用户详细信息。
[nshelp-24488]
在Citrix ADC SDX设备上,不能修改已配置IPv6地址的ADC实例。
[nshelp-24256]
在Citrix ADC SDX设备上配置的SNMP管理器和trap目的地的团体字串中不能包含哈希(%23)。
[nshelp-23989]
在Citrix ADC SDX设备上,由于并发重新发现ADC实例之间存在竞争条件,可能会丢失ADC实例的链路聚合信息。
[nshelp-23849]
如果一个VPX实例是在旧的11.1版本上提供的,如果满足以下条件,使用SDX CLI对该VPX实例的更新操作将失败:
- 日志含义选择“Shell/SFTP/SCP Access”选项。
- 未选择“添加实例管理”选项。
这些选项在“实例管理”下可用。
[nshelp-23683]
在某些情况下,重新启动Citrix ADC SDX设备后,管理服务不能正确读取许可证。
[nshelp-23619]
Citrix网关
如果Citrix Gateway设备两次试图从会话中删除连接,则该设备可能会在会话注销期间崩溃。
[nshelp-25443]
如果请求落在前一个会话超时的核心上,则Citrix Gateway设备将在传输登录期间崩溃。
[nshelp-25322]
当满足以下条件时,用户无法访问网站:
- 代理服务器有严格的SNI检查。
- 通过无客户端VPN或SecureBrowse的出站代理访问后端服务器。
- 启用backendServerSNI参数。
[nshelp-24903]
如果虚拟服务器配置在自定义端口上,那么SAML身份验证将不能正常工作。
[nshelp-24842]
在极少数情况下,如果服务器发起的连接会话已经释放,Citrix ADC设备会在打印调试日志时崩溃。
[nshelp-24581]
如果您登录到Citrix Gateway并通过无客户端VPN SharePoint访问Microsoft Excel,则会注销为Microsoft Excel创建的会话。
[nshelp-24074]
在极少数情况下,如果启用了内网IP (IIP)地址,并且存在到IIP地址的服务器发起的连接,Citrix Gateway设备可能会崩溃。
[nshelp-23819]
如果客户端机器有多个Hyper-V和WiFi直接访问虚拟适配器实例,Windows插件将显示网关不可达消息。
[nshelp-23794]
当UDP应用服务器发送大于MTU的报文时,如果报文被分片,则会出现丢包现象。
[nshelp-23770]
如果用户从Citrix工作区登录,则Citrix ADC设备可能在身份验证、授权和审计会话注销期间崩溃。
[nshelp-23623]
如果VDA FQDN解析失败,Citrix Gateway设备可能会在启动应用程序时崩溃。
[nshelp-22454]
通过无客户端VPN SharePoint访问Microsoft Excel时,无法编辑Excel文件。
[ccg -15123]
移除对CredSSP协议版本2的支持。Windows操作系统只支持5和6版本的CredSSP协议。
[ccg -14308]
Citrix Web应用防火墙
在aslearn中显示一些XML学习数据时,文件描述符泄漏。
[nsswaf -6648]
在CEF日志消息中支持“cs7”
Citrix Web App Firewall Common Event Format (CEF)日志消息现在包含一个新的参数,“cs7”用于审计日志表达式名称。
[nsswaf -6593]
在集群配置中,当学习引擎试图查看和重置学习到的数据时,会出现错误消息“Communication error with aslearn”。
[nshelp-24584]
Citrix ADC设备可能会因为XML处理中的空流上下文而崩溃,并且如果“multipleHeaderAction”参数被设置为“log”。
[nshelp-24549]
如果观察到以下问题,Citrix ADC设备将从响应中删除状态代码:
- 原因短语缺少了and
- 状态码后面没有空格。
[nshelp-24489]
在集群设置中,不能修改或删除set或rm appfw rfcprofile命令中的rfcprofile。
[nshelp-24222]
Citrix ADC设备可能在Web应用程序防火墙XML验证检查期间崩溃。
[nshelp-23562]
负载平衡
在GSLB实时同步过程中,连续批量处理GSLB配置命令,可能会导致命令按错误的顺序推送到下级站点。
[nshelp-23934]
当在管理分区中配置GSLB时,sync GSLB config -forceSync命令可能会删除特定于GSLB站点IP地址的SSL服务的任何cert-key绑定。
[nshelp-23203]
当您将Citrix ADC设备升级到12.0 build 63.13时,您可能会看到负载平衡持久组的一些重复配置项。例如,“show running config”命令可能会多次显示“add lb group”命令。这只是一个显示问题,不会影响功能。但是,执行“show running config”命令可能会比平时花费更多的时间。
[nshelp-23050]
如果满足以下所有条件,则在Citrix ADC设备中发生高可用性故障转移:
- SIP负载均衡虚拟服务器绑定的业务将解绑定。
- SIP负载均衡虚拟服务器上的连接未完全刷新。
- 在这些连接上接收客户端请求。
[nshelp-22589]
当一个整数值在一系列与流标识符相关的操作之后被截断时,Citrix ADC设备可能很少崩溃。
[nshelp-22489]
网络
升级到Citrix ADC 12.1 build 58后。x,来自CCO节点的任何一个命令传播失败都可能导致完全传播失败。因此,从CCO节点到非CCO节点的后续命令可能会失败。
[nsnet-18028]
在管理分区设置中,在错误的内存资源分区期间运行“set”命令可能会导致内存分配失败。
[nsnet-17719]
如果在集群设置中执行set appflow命令,可能无法形成集群。
[nshelp-24220]
在Citrix ADC设备中观察到与BGP团体字符串相关的以下问题:
- 当设备接收到BGP团体字串x:65535时,BGP会话断开。
- 当不使能bgp extended asn能力时,bgp守护进程将不按照期望的方式处理AS4_PATH属性和某些团体字串的组合。这种不当的处理会导致BGP守护进程崩溃。
[nshelp-24119]
在高可用性环境下,对某些ACL规则进行“应用ACL”操作时,可能会导致HA心跳包丢失。
[nshelp-23663]
采用INC模式建立高可用性时,BFD会话在故障切换后会丢失。
[nshelp-23648]
在多次硬重启Citrix ADC设备后,BFD设置可能不应用于该设备。
[nshelp-23471]
在Citrix ADC设备中进入和退出vvtysh shell后,可能会删除' /etc/syslog.conf '中' /nsconfig/syslog.conf '的符号链接。因此,“/nsconfig/syslog.conf”中的修改不会反映在“/etc/syslog.conf”中。
[nshelp-23200]
如果观察到以下情况,Citrix ADC设备可能在部署期间崩溃:
- MPTCP (Multipath TCP)通过MBF和PMTUD启用
- 收到MPTCP流量,响应时产生“ICMP Fragmentation Needed”错误。
[nshelp-22418]
将MTU为jumbo的从接口添加到链路聚合通道作为背板时,错误提示如下:
背板接口的MTU必须足够大,以处理所有数据包。它必须等于MTU值。如果建议值不可配置,请检查巨型接口的MTU。”
这只是一个显示问题,对功能没有影响。
[nshelp-20794]
平台
由于空间不足,Citrix ADC SDX设备上的升级失败。
[nshelp-24066]
当所有10G和50G接口都配置为具有9000 MTU的LACP通道时,Citrix ADC SDX 15000-50G在重新启动操作时可能无法完全重新启动。50G接口也可能在重新启动后丢失。
[nshelp-23104]
如果设备在HTTP(S)上的管理活动中处于空闲状态超过6天,则对Citrix ADC设备的NITRO API请求或GUI访问将失败。
[nshelp-22849]
政策
动作类型为“NOOP”的响应器动作中的目标字段没有保存在配置文件(ns.conf)中。因此,在重新启动设备时,会丢失配置。
[nshelp-23772]
升级Citrix ADC设备release 11.1 build 63.15后,在HTML Page Import Object GUI页面上出现错误消息“目录不存在”。
[nshelp-22826]
如果在策略表达式中配置MATCHES_LOCATION()函数并且使用筛选器表达式启动nstrace,则Citrix ADC设备可能会崩溃。
[nshelp-22687]
发生XML名称空间错误时出现的错误消息不清楚,不足以说明如何修复该问题。
[nshelp-18283]
SSL
在极少数情况下,Citrix ADC设备在满足以下条件时崩溃:
- SSL虚拟服务器接收客户端Hello消息,其中SSL记录头被分割为两个或多个TCP包。
- 在客户端hello绑定并指定向前操作的策略返回true。
- 完成Client Hello消息记录报头的报文的TCP校验和包含0xXX 0x16模式。
[nshelp-23754]
系统
如果在建立服务器端连接后启用AppFlow, Citrix ADC设备可能会崩溃。
[nshelp-24546]
如果重写模块或HTTP HSTS (strict transport security)报头修改了报文,将报文一分为二,则入侵防御系统会释放第二个报文。这将导致破坏到客户端的包流,从而只允许将部分响应转发到客户端。
[nshelp-24294]
启用了连接链参数的Citrix设备在满足以下条件时可能会崩溃:
- 入包的TCP选项大于20字节。
- 设备试图插入额外的20个字节,这将导致TCP溢出。
[nshelp-23322]
如果聚合器进程变得不稳定,Citrix ADC MPX 26000-100G设备可能会变得无响应。
[nsbase-11747]
用户界面
“cookie一致性设置”GUI页面上的“仅解密”cookie选项拼写错误。
[nsui-16857]
当您在Web应用程序防火墙配置文件GUI页面上编辑松弛规则时,页面底部会出现一条错误消息。发生错误是因为内部框架问题。
[nsui-16806]
在集群设置中,“Bot Management”功能不会出现在导航菜单的“Security”下。
[nsui-16796]
Citrix ADC GUI可能不会在Microsoft Internet Explorer浏览器中显示“保存和刷新”按钮。
[nshelp-24774]
当Citrix ADC设备调用以下“appfwlearningdata”API时,在Citrix ADC GUI上出现间歇性WSI错误消息Required参数missing [profileName]。
- XMLDOS
- XMLAttachment
- WSI公司检查
[nshelp-24648]
- 在集群和高可用性设置中都观察到以下行为:
- 在集群设置中,即使在同步之后,从CLIP的“/nsconfig/ssl”路径中删除的文件也不会反映在非cco节点上。
- 在高可用性设置中,即使在同步之后,从主节点的“/nsconfig/ssl”路径中删除的文件也不会反映到辅助节点上。
[nshelp-24578]
与命令界面相比,Citrix ADC GUI显示的缓存对象数量更少。
[nshelp-24337]
升级到Citrix ADC 13.0 build 56后。Citrix Web应用程序防火墙正则表达式计算器无法正常工作。
[nshelp-24212]
Citrix ADC GUI没有显示“Top CLIENT.UDP.DNS. zip”。以图形格式显示所选流标识符的统计数据。
[nshelp-23777]
执行saveconfig - all命令后,无法准确更新管理分区的最后保存时间。
[nshelp-23740]
执行set cs policy命令时,不会将GSLB配置从主站点实时同步到从站点。
[nshelp-23393]
在Citrix ADC设备中,HTTPD可能在处理NITRO API调用时转储核心。
[nshelp-23208]
在Citrix ADC GUI中,Web应用程序防火墙配置文件页面没有下一步或上一页导航选项,无法在列表窗格中查看超过25个配置文件。
导航:安全->Citrix Web应用防火墙->配置文件
[nshelp-22622]
“nsconfigaudit”config diff工具在生成纠正命令时,不会维护同一资源组内命令的顺序。
[nshelp-21791]
在Citrix ADC MPX设备上,要将池容量许可证转换为永久许可证,必须首先删除池容量许可证配置,然后删除池容量许可证。
[nsconfig-4167]
已知的问题
13.0-67.43版本中存在的问题。
身份验证、授权和审计
当通过Citrix ADC GUI配置LDAP服务器时,不能从“memberof”中取消组属性。
[nshelp-26199]
Citrix ADC设备不会验证重复的密码登录尝试,并防止帐户锁定。
[nshelp-563]
Citrix ADC GUI的登录模式编辑器界面中DualAuthPushOrOTP.xml LoginSchema没有正确显示。
[nsauth-6106]
ADFS代理概要文件可以在集群部署中配置。在发出以下命令时,代理配置文件的状态错误地显示为空白。
显示adfsproxyprofile <配置文件名称>
解决方案:连接到集群中的主要活动Citrix ADC并运行
显示adfsproxyprofile <配置文件名称>
命令。它将显示代理概要文件状态。[nsauth-5916]
当您尝试从一个因子中解除策略绑定时,您可能会在nFactor Visualizer中的nFactor Flow页面上看到No such policy exists消息。解除绑定选项按预期工作。
[nsauth-5821]
缓存
如果启用了集成缓存特性,并且设备内存不足,则Citrix ADC设备可能会崩溃。
[nshelp-22942]
Citrix网关
当服务器发起的连接在连接关闭后发送数据包时,Citrix Gateway设备崩溃。
[nshelp-26431]
如果满足以下条件,Citrix Gateway登录页面将显示登录失败的错误。即使用户没有尝试再次登录,也会出现错误。
- 登录Citrix Gateway失败。
- 能够正常登录Citrix Gateway。
- 用户注销。
[nshelp-25157]
用于Windows的EPA插件不使用本地计算机配置的代理,而是直接连接到网关服务器。
[nshelp-24848]
Gateway Insight无法准确显示VPN用户信息。
[nshelp-23937]
Gateway Insight会报告应用程序的错误启动失败。当没有应用程序或桌面启动时,将报告启动失败。
[nshelp-23047]
如果满足以下条件,Citrix ADC设备将变得无响应:
- 启用DTLS。
- UDP多路复用使用DTLS通道,并以高速率泵送流量。
[nshelp-22987]
有时在浏览模式时,会出现错误消息“无法读取未定义的属性‘类型’”。
[nshelp-21897]
在使用XenApp和XenDesktop向导添加身份验证虚拟服务器时,测试该身份验证服务器的连通性失败。
[ccg -16792]
如果满足以下两个条件,“转移登录”将无法工作:
- 配置nFactor认证。
- Citrix ADC主题设置为默认。
[ccg -14092]
Gateway Insight报告在SAML错误失败的“Authentication Type”字段中错误地显示为“Local”,而不是“SAML”。
[cgop-13584]
在高可用性设置中,在Citrix ADC故障转移期间,SR计数递增,而不是Citrix ADM中的故障转移计数递增。
[cgop-13511]
在接受来自浏览器的本地主机连接时,macOS的“接受连接”对话框将以英语显示内容,与所选语言无关。
[cop -13050]
Citrix SSO应用程序>“首页”中的“首页”文本因某些语言而被截断。
[cop -13049]
当您从Citrix ADC GUI添加或编辑会话策略时,将出现错误消息。
[cop -11830]
在Outlook Web App (OWA) 2013中,单击选项在“设置”菜单下显示关键的错误对话框。此外,页面将变得无响应。
[ccg -7269]
负载平衡
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这是一个罕见的案例。
[nslb-7679]
Citrix ADC设备在处理无效的会话启动协议(SIP)数据包时可能会崩溃。
[nshelp-26202]
当内容交换虚拟服务器接收到HTTPS请求时,当满足以下条件时,HTTPS请求中最大的cookie会导致缓冲区溢出和堆栈损坏:
- cookie格式错误。
- cookie长度大于32字节。
[nshelp-25932]
当修改名称与其IP地址不相同的服务器的后端服务器IP地址时,可能无法保存完整的配置。这种情况很少见,如果Citrix ADC设备内存不足,可能会发生这种情况。
[nshelp-24329]
如果主从站点配置同步失败,可能会导致SNMP告警产生延迟。
[nshelp-23391]
网络
当newnslog如果备份文件增加,可能会导致运行中的Citrix ADC CPX实例在一段时间内磁盘空间紧张。使用NEWNSLOG_MAX_FILENUM环境变量,可以控制备份文件的数量。通过将环境变量值设置为10,可以限制最大数量newnslog备份文件到10。
[nsnet-20261]
Citrix ADC BLX设备现在支持Citrix ADC IPv6 OSPF (OSPFv3)动态路由协议特性。有关更多信息,请参见https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html.
[nsnet-19567]
如果在DPDK模式下将接口绑定到DOWN状态的DPDK,则在DPDK模式下的Citrix ADC BLX设备不会检测到接口。
解决方法:不将DOWN接口绑定到DPDK。
[nsnet-16561]
Citrix ADC BLX设备不支持以下接口操作:
- 禁用
- 启用
- 重置
[nsnet-16559]
如果出现以下情况,Citrix ADC设备可能会崩溃:
- IPv6链路负载均衡(LLB6)配置中启用了持久化选项。
- 为这个LLB6配置创建一些IPv6虚拟连接
[nshelp-25695]
当您使用StyleBook将配置推到集群实例时,命令会失败,并显示“命令传播失败”错误消息。
在连续发生故障时,集群保留部分配置。
处理:- 从日志中识别失败的命令。
- 手动对失败的命令应用恢复命令。
[nshelp-24910]
平台
在思杰ADC SDX 15000-50G设备上,如果数据流量短暂激增而没有定向到任何ADC VPX实例,则可能会发生以下问题:
- 10G端口的LACP链路可能出现断续振荡或永久断开。
处理:
- 找出10G接口对应的内部ethX接口
- ethtool -G ethX rx 4096 tx 512 .在Citrix Hypervisor shell提示符下执行以下命令
- 检查流量配置文件,在交换机侧屏蔽不必要的流量
[nshelp-25561]
缺省情况下,配置为内部管理接口的管理接口的HAMON (high availability monitor)和HA heartbeat处于关闭状态。该接口不能开启HAMON和HA心跳功能。
之后,如果将该接口重新配置为管理接口,重新启动VPX实例,HAMON和HA心跳选项仍然是禁用的。
但是,您现在可以手动启用这些选项,以避免HA配置中的任何问题。[nshelp-21803]
政策
如果处理数据的大小超过配置的默认TCP缓冲区大小,则连接可能挂起。
解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。
[npolicy -1267]
以下问题可能导致高可用性设置中的故障转移:
如果许多非http、非tcp数据包在被阻塞后排队等待处理。
[nshelp-23506]
SSL
在Citrix ADC SDX 22000和Citrix ADC SDX 26000设备的异构集群上,如果SDX 26000设备重新启动,将会丢失SSL实体的配置。
处理:
- 在CLIP上,禁用所有现有和新的SSL实体(如虚拟服务器、服务、服务组和内部服务)上的SSLv3。例如,
设置ssl vserver
.-SSL3 DISABLED - 保存配置。
[nssl -9572]
- 在CLIP上,禁用所有现有和新的SSL实体(如虚拟服务器、服务、服务组和内部服务)上的SSLv3。例如,
以下add命令不能使用Update命令:
- 添加azure应用程序
- 添加azure密钥库
- 添加SSL certkey与hsmkey选项
[nssl -6484]
如果已经添加了身份验证Azure密钥库对象,则无法添加Azure密钥库对象。
[nssl -6478]
您可以使用相同的客户端ID和客户端秘密创建多个Azure Application实体。Citrix ADC设备不返回错误。
[nssl -6213]
在未指定KEYVAULT作为HSM类型的情况下删除HSM密钥时,将出现以下错误错误消息。
ERROR: crl refresh disabled[nssl -6106]
“会话密钥自动刷新”在集群IP地址上错误地显示为禁用。(此选项不可禁用。)
[nssl -4427]
如果尝试更改SSL概要文件中的SSL协议或密码,将出现错误的警告消息,“警告:在SSL vserver/服务上没有配置可用的密码”。
[nssl -4001]
在集群设置中,您可能会观察到以下问题:
- CLIP上绑定到SSL内部服务的默认证书密钥对缺少命令。但是,如果从旧版本升级,则可能必须将默认证书密钥对绑定到CLIP上受影响的SSL内部服务。
- 内部服务的默认set命令的CLIP和节点之间的配置差异。
- 在节点上执行show running config命令时,没有对SSL实体执行default cipher bind命令。这个遗漏只是一个显示问题,对功能没有影响。属性可以查看绑定
显示SSL <实体> <名称>
命令。
[nshelp-25764]
在集群设置中,如果删除了任何证书或密钥文件,则不允许更改证书配置。
[nshelp-24913]
用户界面
创建/监控CloudBridge连接器向导可能会变得无响应或配置CloudBridge连接器失败。
解决方案:通过Citrix ADC GUI或CLI添加IPSec安全框架、IP隧道和策略路由规则,配置cloudbridge连接器。
[nsui-13024]
在编辑现有虚拟服务器持久性配置时,负载均衡虚拟服务器持久性视图无法显示所有参数。
[nshelp-25965]
在集群设置中,当跨所有集群节点提供庞大的配置(例如,100个负载均衡虚拟IP地址绑定到具有多个响应器策略和IP patsets的Citrix Web App Firewall配置文件)时,会观察到延迟。
[nshelp-25458]
在GUI中检查流会话(AppExpert > Action Analytics > Stream Identifier)时,刷新按钮不工作。
[nshelp-24195]
在管理分区设置中上传和添加证书吊销列表(CRL)文件失败。
[nshelp-20988]
Citrix ADC设备不支持使用NITRO api添加大于2 MB的CRL文件。
[nshelp-20821]
在Citrix ADC BLX设备中,GUI中的“Reporting”选项卡可能无法正常工作。
[nsconfig-4877]
当您降级Citrix ADC设备13.0-71版本时。x到早期版本,一些Nitro api可能无法工作,因为文件权限更改。
解决方法:修改“/nsconfig/ns.conf”的权限为644。
[nsconfig-4628]
当满足以下条件时,ADC实例与ADM服务会失去连接:
- 实例使用内置代理添加到ADM服务。
- 使用-Y选项或从ADM GUI升级实例。在这两种情况下,内置代理都不会重新启动。-Y选项为CLI或GUI上出现的所有与升级相关的问题提供“是”。
[nsconfig-4368]
有时应用程序防火墙签名需要很长时间才能同步到非cco节点。因此,使用这些文件的命令可能会失败。
[nsconfig-4330]
如果您(系统管理员)在Citrix ADC设备上执行以下所有步骤,系统用户可能无法登录降级的Citrix ADC设备。
- 将Citrix ADC设备升级到其中一个版本:
- 13.0 52.24构建
- 12.1 57.18 build
- 11.1 65.10 build
- 新增系统用户或修改已有系统用户密码,并保存配置
- 将Citrix ADC设备降级为任何旧版本。
使用实例使用CLI查询系统用户列表。
在命令提示符下,输入:查询ns config -changedpassword [-config <配置文件(ns.conf)全路径>]
处理:
若要修复此问题,请使用以下独立选项之一:
- 如果Citrix ADC设备尚未降级(上述步骤中的步骤3),请使用以前备份的相同版本的配置文件(ns.conf)降级Citrix ADC设备。
- 任何在升级版本上没有修改密码的系统管理员都可以登录到降级版本,并更新其他系统用户的密码。
- 如果以上选项都无效,系统管理员可以重置系统用户密码。
[nsconfig-3188]