Citrix ADC 13.0-79.64版本的发布说明
此发布说明文档描述了Citrix ADC版本Build 13.0-79.64的增强和更改、固定和已知问题。
笔记
- 此发布说明文档不包括与安全相关的修复。有关与安全相关的修复程序和建议的列表,请参阅Citrix安全公告。
- Citrix ADC经典策略已弃用,并将在未来的版本中删除。Citrix建议使用高级策略。有关更多信息,请参见https://docs.citrix.com/en-us/citrix-adc/current-release/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.html.
有什么新鲜事
Build 13.0-79.64中提供的增强和更改。
身份验证、授权和审计
身份验证期间的轮询支持
Citrix ADC设备现在可以在多因素身份验证期间配置轮询。
轮询机制使Citrix ADC设备能够在端点的TCP连接重置的罕见情况下恢复与端点的正在进行的身份验证,而无需重新启动身份验证过程。
有关更多信息,请参见https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/polling-for-nfactor.html
[nsauth-9043]
机器人管理
基于鼠标和键盘动态的机器人检测
Citrix机器人管理系统现在可以根据键盘和鼠标的移动来检测机器人。与需要直接人机交互的传统机器人技术(例如,CAPTCHA验证)不同,新的机器人检测技术被动地监控鼠标和键盘动态。然后,Citrix ADC设备收集实时用户数据,并将数据发送到Citrix ADM服务器以进行bot分析。
使用键盘和鼠标动态的机器人检测技术有以下好处:
- 启用监视整个用户会话,并消除单个检查点。
- 不需要人工交互,对用户完全透明。
有关更多信息,请参见https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html
[nsbot-402]
Citrix ADC SDX设备
在Citrix ADC SDX设备上,当满足以下条件时,ADC实例当前状态显示“退出服务”:
- 该任务指导管理员通过实例的CLI直接修改ADC实例的密码。
- 密码与管理服务中存储的实例admin配置文件密码不匹配。
- 第一次重新启动实例后,前一个会话将丢失。
现在,当实例由于身份验证失败而退出服务时,实例状态颜色将变为灰色。要恢复实例,请执行以下操作之一:
- 在实例CLI中修改实例的密码,使其与实例admin配置文件中的密码一致。然后从管理服务中重新发现实例。
- 创建与ADC实例当前密码相同的admin配置文件。然后,使用新的管理配置文件更新ADC实例。
[nssvm-4193]
Citrix Web应用防火墙
用于处理HTML SQL注入攻击的放松和强制模式
Web应用程序防火墙现已增强,可在放松模式和强制模式下运行,以获得更高的安全保护。根据希望设备处理HTML SQL注入攻击的方式,可以将安全检查配置为强制模式或放松模式。
在强制模式下,安全检查允许绕过HTML SQL注入攻击,除非您已经显式地配置了概要文件以通过绑定强制规则来阻止违规行为。
[nsswaf -6435]
负载平衡
提高GSLB配置同步性能,缩短同步时间
Citrix ADC设备现在支持GSLB配置的增量同步。在增量同步中,只有在上次同步和后续同步间隔(10秒)之间主站点上更改的配置才会在所有从属站点上同步。只推送增量配置可以大大减小配置文件的大小,从而减少同步所需的总时间。这也提高了GSLB配置同步性能。如果增量同步失败,Citrix ADC设备将自动执行完全配置同步。
[nslb-7384]
一致性哈希的新算法
现在支持Prime Re-Shuffled Assisted CARP (PRAC)和跳转表Assisted Ring Hash (JARH)算法来执行一致的散列。这些算法提供了流量的一致性和均匀分布。
[nslb-7028]
在极少数情况下,LDAP监控器会错误地将LDAP服务器状态显示为down,因为监控器没有在服务器探测中发送正确的密码。
[nshelp-24967]
网络
支持Citrix ADC BLX设备的BGP MD5认证
Citrix ADC BLX设备现在支持与IPv4对等体的边界网关协议(BGP)的MD5身份验证。
使能认证功能后,BGP IPv4对等体之间交换的任何BGP TCP段都将被验证并接受,只有认证通过后才会被接受。为了认证成功,对等体必须配置相同的MD5密码。如果认证不通过,则BGP邻居关系不建立。
Citrix ADC BLX设备中对BGP的MD5认证支持符合RFC 2385。
[nsnet-19089]
平台
VMware ESX 7.0更新1c支持Citrix ADC VPX实例
Citrix ADC VPX实例现在支持VMware ESX version 7.0 Update 1c (Build 1732555)。
[nshelp-26444]
SSL
支持4096位RSA客户端证书
在Citrix ADC VPX设备上,现在在SSL握手期间支持使用4096位RSA客户端证书进行客户端身份验证。
[nssl -8194]
系统
监视对代理协议的支持
带有代理协议的Citrix ADC设备现在支持监视器检查。监视器检查功能确保后端服务器也支持代理协议。用于监视后端服务器的运行状况状态。
[nsbase-13489]
监控对HTTP/2协议的支持
Citrix ADC设备现在支持HTTP/2监控器,用于监视HTTP/2服务的运行状况。
[nsbase-11299]
固定的问题
Build 13.0-79.64中解决的问题。
身份验证、授权和审计
现象描述使用set aaa parameter命令使能enableEnhancedAuthFeedback参数,导致终端用户portal页面错误消息定制失败。
[nshelp-26814]
当通过Citrix ADC GUI配置LDAP服务器时,不能从“memberof”中取消组属性。
[nshelp-26199]
Citrix Gateway插件在满足以下条件时无法启动:
- Citrix网关设备仅配置为Full VPN。
- 认证方式为OAuth RP。
[nshelp-26020]
在Citrix ADC BLX设备中,LDAP身份验证在使用SSL、TLS和明文安全类型时可能无法正常工作。
[nshelp-25809]
当Citrix ADC设备被配置为依赖方(RP)时,观察到以下问题。
- 如果OAuth IdP使用JWT的签名算法RS512,设备将无法处理来自OAuth IdP的身份验证请求。
- 设备将“login_hint”参数的“匿名”值发送到OAuth IdP。
[nshelp-25794]
当用户从Citrix Gateway注销时,如果网关上配置了RADIUS计费,则注销信息不会发送到RADIUS计费服务器。
[nshelp-25765]
在对话模式下,RADIUS服务器发送多个重复响应时,认证失败。
[nshelp-25758]
Citrix Gateway插件在满足以下条件时无法启动:
- Citrix网关设备仅配置为Full VPN。
- SSPR注册被配置为最后一个因素。
[nshelp-25691]
使用Citrix ADC GUI配置身份验证策略时,不能选择“NO AUTH”动作。
[nshelp-25466]
在某些情况下,当用户尝试进行身份验证时,如果设备按以下方式配置,Citrix ADC设备可能会崩溃。
- 该设备被配置为401身份验证
- 身份验证策略的第一个因素是NoAuth,第二个因素是Certificate身份验证
[nshelp-25051]
机器人管理
不能将多个速率限制会话cookie绑定到机器人配置文件。
[nsbot-390]
Citrix ADC SDX设备
在Citrix ADC SDX设备上,管理服务不会向配置的syslog服务器发送syslog消息。
[nshelp-27000]
重新启动管理服务后,从池授权服务器首次检出实例或带宽可能会失败。
[nshelp-26878]
在运行软件版本13.0的Citrix ADC SDX设备上,可能无法从管理服务访问ADC实例,即使实例可以直接使用实例IP地址访问。
[nshelp-26679]
重新启动管理服务时,如果提供了一些VPX实例,则如果尝试从中编辑默认组的会话超时,将出现以下错误消息系统>用户管理>组页面。
默认组的授权范围不可更改。
[nshelp-26556]
如果实例供应期间使用的IP地址稍后直接从实例更改,则不会按照实例的库存周期进行清查。
[nshelp-26407]
Citrix网关
如果配置了Citrix安全Web网关和AppFlow,则Citrix ADC设备可能会在SSO流中崩溃。
[nshelp-26781]
的覆盖全球选项。本地局域网接入参数中的Citrix网关会话配置文件>客户端体验>高级是禁用的。它在以前的版本中默认启用。
[nshelp-26689]
如果一个用户通过完整的VPN隧道使用内网IP(插件到插件流量)访问另一个用户的客户端IDENT端口(113),则Citrix Gateway设备将崩溃。
[nshelp-26631]
macOS的EPA库更新到版本1.3.4.7 (Opswat版本:4.3.1566.0)
[nshelp-26538]
当服务器发起的连接在连接关闭后发送数据包时,Citrix Gateway设备崩溃。
[nshelp-26431]
如果满足以下条件,Citrix Gateway登录页面将显示登录失败的错误。即使用户没有尝试再次登录,也会出现错误。
- 登录Citrix Gateway失败。
- 能够正常登录Citrix Gateway。
- 用户注销。
[nshelp-25157]
Gateway Insight会报告应用程序的错误启动失败。当没有应用程序或桌面启动时,将报告启动失败。
[nshelp-23047]
在使用XenApp和XenDesktop向导添加身份验证虚拟服务器时,测试该身份验证服务器的连通性失败。
[ccg -16792]
Citrix Web应用防火墙
在集群配置中,如果SQL通配符匹配一个百分位数(%)字符,Web App Firewall学习引擎将多次学习相同的数据。
[nsswaf -7489]
如果启用了startURL闭包并且存在内存分配失败,Citrix ADC设备可能会崩溃。
[nshelp-27155]
在Citrix Web App Firewall配置文件中添加了cookie同站支持后,如果cookie值用逗号(非rfc标准)分隔,则会观察到一个问题。
[nshelp-26846]
如果bot管理未能在HTTP响应中插入JavaScript, Citrix ADC设备可能会崩溃。
[nshelp-26730]
当用于XSS日志记录的一些消息缓冲区没有为特定的有效负载释放时,可能会观察到内存泄漏。
[nshelp-26430]
在高可用性设置中,如果配置了动态概要并启用了SNMP警报,则可能会在次要节点上观察到内存使用的峰值。
[nshelp-25580]
Citrix ADC设备在向长记录列表添加违规记录时可能会因为超时问题而崩溃。
[nshelp-25507]
负载平衡
在集群-GSLB部署中,本地GSLB服务的有效状态不会在非所有者节点上更新,因为GSLB所有者节点无法向非所有者节点发送服务状态更新。
[nshelp-26260]
Citrix ADC设备在处理无效的会话启动协议(SIP)数据包时可能会崩溃。
[nshelp-26202]
当内容交换虚拟服务器接收到HTTPS请求时,当满足以下条件时,HTTPS请求中最大的cookie会导致缓冲区溢出和堆栈损坏:
- cookie格式错误。
- cookie长度大于32字节。
[nshelp-25932]
当修改名称与其IP地址不相同的服务器的后端服务器IP地址时,可能无法保存完整的配置。这种情况很少见,如果Citrix ADC设备内存不足,可能会发生这种情况。
[nshelp-24329]
在自动伸缩高可用性或集群部署中,Citrix ADC设备可能在创建服务成员时崩溃,并且满足以下条件:
- 如果将服务成员绑定到禁用运行状况监视选项的非所有者节点或辅助节点中的服务组。
[nshelp-24029]
杂项
在集群设置中,由于与CCO的连接丢失,命令传播可能会失败。如果满足以下两个条件,则会观察到该问题:
- 在设置中执行命令传播操作。
- 安装处于空闲状态超过两个小时。如果节点之间没有任何CLI命令交换,则称集群设置处于空闲状态。
[nshelp-26350]
网络
在最大连接(maxConn)全局参数设置为非零值的集群设置中,如果满足以下任何条件,CLIP连接可能会失败:
- 从Citrix ADC 13.0 76升级设置。x构建到Citrix ADC 13.0 79。x构建。
- 76.在运行Citrix ADC 13.0的群集设置中重新启动CCO节点。x构建。
[nsnet-21173]
当newnslog如果备份文件增加,可能会导致运行中的Citrix ADC CPX实例在一段时间内磁盘空间紧张。使用NEWNSLOG_MAX_FILENUM环境变量,可以控制备份文件的数量。通过将环境变量值设置为10,可以限制最大数量newnslog备份文件到10。
[nsnet-20261]
Citrix ADC BLX设备现在支持Citrix ADC IPv6 OSPF (OSPFv3)动态路由协议特性。有关更多信息,请参见https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html.
[nsnet-19567]
当满足以下所有条件时,Citrix ADC设备可能崩溃:
- 在不可寻址的负载均衡虚拟服务器上启用MAC模式。
- 同一个虚拟服务器是链路负载均衡配置或基于策略的路由配置的一部分。
作为修复的一部分,Citrix ADC设备现在在满足上述条件时显示以下警告消息:
- 警告:MAC模式重定向不应在LLB配置中启用。
[nsnet-19485]
如果出现以下情况,Citrix ADC设备可能会崩溃:
- IPv6链路负载均衡(LLB6)配置中启用了持久化选项。
- 为这个LLB6配置创建一些IPv6虚拟连接
[nshelp-25695]
在集群AWS云设置中,具有较高优先级值的节点可能成为CCO。当八个或更多具有不同优先级值的节点一起重新启动时,就会发生这种情况。
[nshelp-25244]
平台
在某些情况下,如果将大量接口添加到VPX实例中,则不会出现Citrix SDX设备上的VPX实例。
[nshelp-26861]
在思杰ADC SDX 15000-50G设备上,如果数据流量短暂激增而没有定向到任何ADC VPX实例,则可能会发生以下问题:
- 10G端口的LACP链路可能出现断续振荡或永久断开。
[nshelp-25561]
在Citrix ADC SDX设备上,在热重启配置为集群节点的VPX实例期间,由于设置接口命令失败,背板LA通道可能进入PARTIAL-UP状态。
[nshelp-23353]
缺省情况下,配置为内部管理接口的管理接口的HAMON (high availability monitor)和HA heartbeat处于关闭状态。该接口不能开启HAMON和HA心跳功能。
之后,如果将该接口重新配置为管理接口,重新启动VPX实例,HAMON和HA心跳选项仍然是禁用的。
但是,您现在可以手动启用这些选项,以避免HA配置中的任何问题。[nshelp-21803]
政策
如果变量长度大于31个字符,则无法在赋值中使用变量。
[nshelp-26362]
以下问题可能导致高可用性设置中的故障转移:
如果许多非http、非tcp数据包在被阻塞后排队等待处理。
[nshelp-23506]
SSL
在Citrix ADC设备上,如果启用了SSL“sessionTicket”参数,就会看到内存泄漏。
[nshelp-26207]
如果满足以下条件,Citrix ADC设备在处理来自TLS 1.3客户端的请求时可能会崩溃:
- 前端虚拟服务器启用TLS 1.3协议。
- 底层硬件平台使用英特尔Coleto Creek加密加速卡(选择MPX和SDX型号使用这些芯片)。
- 在SDX平台上,Intel Coleto Creek加密卡资源被分配给ADC实例。
[nshelp-26089]
当启用管理分区时,可能会在Citrix ADC设备上看到由于内存不足而导致的连接失败。当SSL加密硬件芯片已满时,会出现此问题。
[nshelp-25981]
在集群设置中,您可能会观察到以下问题:
- CLIP上绑定到SSL内部服务的默认证书密钥对缺少命令。但是,如果从旧版本升级,则可能必须将默认证书密钥对绑定到CLIP上受影响的SSL内部服务。
- 内部服务的默认set命令的CLIP和节点之间的配置差异。
- 在节点上执行show running config命令时,没有对SSL实体执行default cipher bind命令。这个遗漏只是一个显示问题,对功能没有影响。属性可以查看绑定
显示SSL <实体> <名称>命令。
[nshelp-25764]
如果满足以下条件,Citrix ADC设备将变得无响应:
- 启用DTLS。
- UDP多路复用使用DTLS通道,并以高速率泵送流量。
[nshelp-22987]
系统
在高可用性设置中,如果从Citrix ADM在Citrix ADC设备上启用了度量,那么辅助节点可能会崩溃。
[nshelp-26969]
当Citrix ADC设备处理重复的TCP数据包时,设备上观察到以下问题:
- 设备使用DSACK生成一个重复的ACK,并丢弃包。
- 如果传入数据包有任何窗口更新,设备将复制它并模拟窗口更新ACK。
- 设备使用不正确的时间戳创建窗口更新ACK。
[nshelp-26893]
在HTTP/2前端和HTTP/1.1后端场景下,如果在nstrace命令中配置了Vserver IP filter和-link enabled参数,用户将无法看到后端服务器连接。
[nshelp-26717]
对于客户端连接,Citrix ADC设备可能会错误地发送连接保持连接头以响应客户端连接关闭头。这个错误的连接保持连接头将导致在客户端关闭连接时出现延迟。
[nshelp-26474]
一旦启用,“clientSideMeasurements”参数就不能在AppFlow动作命令中被禁用。
[nshelp-26464]
如果出现以下情况,Citrix ADC设备可能会崩溃:
- 如果客户端请求来自同一个资源(具有相同的IP地址和端口),而之前的IPS (Intrusion Prevention System)连接结构中的某个资源没有被释放。
- IPS (Intrusion Prevention System)模块尝试从释放的结构中访问未释放的资源。
[nshelp-26450]
当对缓存中的请求发送重置时,Citrix ADC设备可能崩溃。
[nshelp-26410]
当在set httpProfile命令中启用markHTTPHeaderExtraWSError参数时,补丁HTTP方法将被阻塞。
[nshelp-26398]
当Citrix ADC设备在内存压力下时,可能会在AppFlow模块中崩溃。
[nshelp-26367]
在清除配置过程中,如果没有使用的URL集,则在ns.log中看到与URL集对应的错误日志条目。
[nshelp-26242]
从Citrix ADC 12.1 build 50.31升级到Citrix ADC 13.0 build 58.32之后,在监视器的情况下,设备在收到TCP SYN包的错误ACK后不会重试。因此,设备将重置监视器TCP连接,并将服务标记为DOWN状态。
[nshelp-25813]
如果设备将RNAT IP地址用于服务器端(http2和http1.1)连接,则RNAT配置不适用于HTTP/2连接。
[nshelp-23783]
如果将所有数据包的TTL值设置为255,则CAPTCHA验证将不能正常工作。
[nsbase-13966]
HTTP/2和TCP窗口管理逻辑中的错误可能会导致服务器连接遇到HTTP/2和TCP窗口问题。它阻止对象被完全缓存。如果满足以下条件,则观察到该问题:
- 启用了集成缓存特性,并且正在缓存响应。
- 在上述情况下,HTTP/2客户端会突然发送一个重置流报文,或者HTTP/1.1客户端会在连接上发送一个TCP RST。
[nsbase-13878]
Citrix ADC设备在为VPN生成的某些HTTP响应生成AppFlow记录时可能会失败。该问题发生在启用Gateway Insight时。
[nsbase-13698]
启用动态接收缓冲(DRB)特性后,TCP发布窗口(ADV_WND)更新不会按照预期接收数据包。因此,与禁用DRB特性时相比,上传速度更慢。
[nsbase-13100]
用户界面
当内容切换虚拟服务器绑定策略后,在Citrix ADC GUI中编辑时,显示错误的VIP。
[nshelp-26853]
在Citrix ADC BLX设备中,本地许可证的过期时间可能不会按预期减少。
作为修复,本地许可证的过期时间现在每24小时减少1。
[nshelp-26554]
在Citrix ADC BLX设备的高可用性设置中,配置同步有时可能会失败。
[nshelp-26495]
重启Citrix ADC设备后,如果从该设备无法访问许可证服务器,则该设备的许可证状态将变为grace状态。即使许可证服务器可以访问,许可证状态仍然保持grace状态。
[nshelp-26468]
switch partition命令允许强制执行选项f或force。它允许用户切换到一个新的分区,而不会提示保存配置,配置也不会保存。强制切换不提示,保存配置。使用-save标志时就会发生这种情况。
[nshelp-26222]
在编辑现有虚拟服务器持久性配置时,负载均衡虚拟服务器持久性视图无法显示所有参数。
[nshelp-25965]
- 在满足以下条件时,使用show partition命令可能导致nsconfigd守护进程崩溃:
- API会话令牌存在时间很短。
- 在show partition命令执行完毕之前,会话令牌已经过期。
[nshelp-25880]
在集群设置中,当您从CLIP访问Citrix ADC GUI时,您可能会观察到审计Syslog策略没有全局绑定。当您从NSIP访问Citrix ADC GUI时,不会观察到相同的问题。
[nshelp-24631]
在GUI中检查流会话(AppExpert > Action Analytics > Stream Identifier)时,刷新按钮不工作。
[nshelp-24195]
Citrix ADC设备不支持使用NITRO api添加大于2 MB的CRL文件。
[nshelp-20821]
在Citrix ADC BLX设备中,GUI中的“Reporting”选项卡可能无法正常工作。
[nsconfig-4877]
当满足以下条件时,ADC实例与ADM服务会失去连接:
- 实例使用内置代理添加到ADM服务。
- 使用-Y选项或从ADM GUI升级实例。在这两种情况下,内置代理都不会重新启动。-Y选项为CLI或GUI上出现的所有与升级相关的问题提供“是”。
[nsconfig-4368]
视频优化
如果传入请求不符合策略评估的FQDN语法规则,Citrix ADC设备可能会崩溃。无效fqdn的一些例子是SNI和以句点(' . ')开头的主机名。
[nshelp-25564]
已知的问题
版本13.0-79.64中存在的问题。
身份验证、授权和审计
在某些情况下,如果请求没有身份验证cookie,则对身份验证、授权和审计- tm虚拟服务器的HTTP POST请求将被错误地处理。POST正文在处理过程中丢失。
[nshelp-27227]
Citrix ADC设备在处理身份验证、授权和审计- tm和基于401 lb的流量时经常崩溃。
[nshelp-27094]
在某些情况下,Citrix ADC设备在为Citrix网关执行用户身份验证以及身份验证、授权和审计(流量管理部署)时崩溃。
[nshelp-26555]
如果表达式中使用Authentication, authorization, and auditing.USER.DOMAIN,则为登录用户填充错误的SSO域名。
[nshelp-26443]
在输入不正确的OTP时,错误消息“电子邮件认证失败。提示“No further action to continue”。
[nshelp-26400]
在某些场景下,如果策略名称大于内网应用名称,可能导致绑定认证、授权和审计组命令执行失败。
[nshelp-25971]
Citrix ADC设备不会验证重复的密码登录尝试,并防止帐户锁定。
[nshelp-563]
由于密码解密问题,网络连接测试检查失败。但是,身份验证功能工作正常。
[nsauth-10216]
Citrix ADC GUI的登录模式编辑器界面中DualAuthPushOrOTP.xml LoginSchema没有正确显示。
[nsauth-6106]
ADFS代理概要文件可以在集群部署中配置。在发出以下命令时,代理配置文件的状态错误地显示为空白。
显示adfsproxyprofile <配置文件名称>解决方案:连接到集群中的主要活动Citrix ADC并运行
显示adfsproxyprofile <配置文件名称>命令。它将显示代理概要文件状态。[nsauth-5916]
缓存
如果启用了集成缓存特性,并且设备内存不足,则Citrix ADC设备可能会崩溃。
[nshelp-22942]
Citrix ADC SDX设备
管理服务命令行中断,出现以下错误:
错误:无效的属性字段
[nssvm-4551]
在Citrix ADC SDX设备上,如果CLAG是在Mellanox网卡上创建的,则当VPX实例重新启动时CLAG MAC将被更改。由于MAC表中存在旧的CLAG MAC表项,重新启动后VPX实例流量停止。
[nssvm-4333]
在Citrix ADC SDX设备上,如果在该实例上配置了突发吞吐量,则可能不会显示ADC实例的IP地址(NSIP)。
[nshelp-27133]
Citrix网关
当syslog策略绑定到虚拟服务器时,相应的syslog操作被修改,Citrix Gateway设备将崩溃。
[nshelp-27171]
启用Gateway Insight时,由于本地ns.log文件中的SSL VPN日志消息泛滥,Citrix Gateway设备意外重新启动。
[nshelp-27040]
如果为后端子网配置了forwardSession,并且通过VPN隧道访问同一子网中的服务器,则Citrix Gateway设备可能会崩溃。
[nshelp-27037]
一些与Citrix Gateway相关的日志文件没有旋转,导致日志大小增加。
[nshelp-26767]
当开启Gateway Insight功能时,Citrix ADC日志中可能会出现“GwInsight: Func=ns_sslvpn_send_app_launch_fail_record Appflow policy evaluation has failed”的日志。
[nshelp-26750]
当您在“创建Citrix网关流量配置文件”页面中输入FQDN作为代理时,将出现消息“无效的代理值”。
[nshelp-26613]
Citrix Gateway设备在SSLVPN NONHTTP_RESOURCEACCESS_DENIED日志中显示损坏的会话策略名称。
[nshelp-26610]
如果应用程序名称超过20个字符,则在通过Citrix Gateway连接时应用程序名称将被截断。
[nshelp-26604]
当网络发生变化时,Windows VPN插件在Windows凭据界面显示错误信息。
[nshelp-26562]
rfweb客户端检测界面显示安装按钮,而不是检测配置内容切换虚拟服务器时,单击。
[nshelp-26138]
如果发生以下任何一种情况,Citrix ADC设备崩溃:
- syslog动作配置了域名,通过GUI或CLI清除配置。
- 高可用性同步发生在辅助节点上。
处理:
使用syslog服务器的IP地址创建syslog动作,而不是syslog服务器的域名。
[nshelp-25944]
如果启用了开明数据传输(EDT),您可能会注意到已建立的TCP连接总数存在差异。
[nshelp-25841]
在使用Citrix ADC GUI创建RDP客户端配置文件时,当满足以下条件时,会出现错误消息:
- 配置默认PSK (pre-shared key)。
- 在“RDP cookie有效性(秒)”字段中修改RDP cookie有效性定时器。
[nshelp-25694]
Windows VPN网关插件无法丢弃IPv6 DNS报文,导致DNS解析出现问题。
[nshelp-25684]
如果配置了删除管理分区,则不会加载Citrix Gateway登录页面。
[nshelp-25538]
当多个VPN插件客户端使用1800字节或更大的X.509证书来建立隧道时,Citric ADC设备将崩溃。
[nshelp-25195]
用于Windows的EPA插件不使用本地计算机配置的代理,而是直接连接到网关服务器。
[nshelp-24848]
show tunnel global命令显示信息包括高级策略名称。以前,输出不显示高级策略名称。
例子:
新的输出:
> show tunnel global策略名称:ns_tunnel_nocmp优先级:0策略名称:ns_adv_tunnel_nocmp类型:高级策略优先级:1全局绑定点:REQ_DEFAULT策略名称:ns_adv_tunnel_msdocs类型:高级策略优先级:100全局绑定点:RES_DEFAULT Done >之前的输出:
> show tunnel global Policy Name: ns_tunnel_nocmp优先级:0 Disabled Advanced Policies: global bindpoint: REQ_DEFAULT已绑定策略数量:1 Done[nshelp-23496]
当启用L7延迟时,会话的ICA延迟在Citrix Director中被错误地记录为64,000 ms。当“nsapimgr”旋钮“enable_ica_l7_latency”设置为1时,启用L7延迟。
解决方法:通过命令行或图形界面将L7延时频率设置为5。
[nshelp-23459]
有时在浏览模式时,会出现错误消息“无法读取未定义的属性‘类型’”。
[nshelp-21897]
由于无效的STA票证而导致的应用程序启动失败在Gateway Insight中没有报告。
[ccg -13621]
Gateway Insight报告在SAML错误失败的“Authentication Type”字段中错误地显示为“Local”,而不是“SAML”。
[cgop-13584]
在高可用性设置中,在Citrix ADC故障转移期间,SR计数递增,而不是Citrix ADM中的故障转移计数递增。
[cgop-13511]
在接受来自浏览器的本地主机连接时,macOS的“接受连接”对话框将以英语显示内容,与所选语言无关。
[cop -13050]
Citrix SSO应用程序>“首页”中的“首页”文本因某些语言而被截断。
[cop -13049]
当您从Citrix ADC GUI添加或编辑会话策略时,将出现错误消息。
[cop -11830]
在Outlook Web App (OWA) 2013中,单击选项在“设置”菜单下显示关键的错误对话框。此外,页面将变得无响应。
[ccg -7269]
Citrix Web应用防火墙
如果应用防火墙学习数据中有特殊字符,aslearn学习数据不会被跳过。
[nsswaf -7584]
cookie劫持功能对IE浏览器的支持有限,因为IE浏览器不会重用SSL连接。由于这个限制,一个请求会被发送多个重定向,最终导致IE浏览器出现“MAX redirects EXCEEDED”错误。
[nshelp-27193]
在升级到Citrix ADC版本13.0 build 76.29并在设备上启用文件上传功能后,观察到以下问题:
- SQL和XSS保护检查阻止所有web应用程序的文件上传过程。
[nshelp-27140]
在Citrix Web App Firewall模块中,分布式哈希表(DHT)条目在主节点上没有释放。如果应用程序防火墙会话的超时时间较短,并且以较高的速率创建,则会出现此问题。
[nshelp-26570]
HTML跨站脚本安全检查没有阻止一些违反安全的请求。
[nshelp-24762]
配置签名自动更新的代理设置
如果出站流量是通过代理设备(如bluecoat或Squid),您现在可以为签名自动更新配置代理设置。
CLI命令:
set appfw settings -proxyServer-proxyPort <端口> .使用实例 例子:
设置appfw settings -proxyServer 10.10.10.10 -proxyPort 8080
[nshelp-17494]
负载平衡
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这是一个罕见的案例。
[nslb-7679]
当满足以下条件时,GSLB配置可能会部分丢失:
- Citrix ADC设备重新启动。
- ADNS服务配置了与远端GSLB站点相同的IP地址。
[nshelp-26816]
在集群设置中,通过GSLB虚拟服务器绑定访问GSLB服务IP地址时,GUI中不会显示GSLB服务IP地址。这只是一个显示问题,对功能没有影响。
[nshelp-20406]
杂项
当您使用StyleBook将配置推到集群实例时,命令会失败,并显示“命令传播失败”错误消息。
在连续发生故障时,集群保留部分配置。
处理:
- 从日志中识别失败的命令。
- 手动对失败的命令应用恢复命令。
[nshelp-24910]
网络
在Citrix ADC BLX设备中,与带标记的非dpdk接口绑定的NSVLAN可能无法正常工作。NSVLAN与无标记的非dpdk接口绑定正常。
[nsnet-18586]
升级后从Citrix ADC BLX器具13.0 61。X构建到13.0 64。在BLX构建时,BLX配置文件上的设置将丢失。然后将BLX配置文件重置为默认值。
[nsnet-17625]
Intel不支持以下接口操作
X710 10G (i40e)使用DPDK的Citrix ADC BLX设备上的接口:- 禁用
- 启用
- 重置
[nsnet-16559]
在基于Debian的Linux主机(Ubuntu版本18及更高版本)上,Citrix ADC BLX设备始终以共享模式部署,而不考虑BLX配置文件(“/etc/ BLX / BLX .conf”)设置。出现此问题是因为在基于Debian的Linux系统上默认存在的“mawk”不能运行“blx.conf”文件中出现的一些awk命令。
解决方案:在安装Citrix ADC BLX设备之前安装“gawk”。在Linux主机的命令行中执行如下命令安装gawk:
- 安装gawk
[nsnet-14603]
Citrix ADC BLX设备可能会在基于Debian的Linux主机(Ubuntu版本18及更高版本)上安装失败,并出现以下依赖项错误:
"以下包有未满足的依赖关系:blx-core-libs:i386: PreDepends: libc6:i386(>= 2.19)但它是不可安装的"
解决方法:在安装Citrix ADC BLX一体机之前,在Linux主机的命令行中执行以下命令:
- DPKG -add-architecture i386
- apt-get更新
- apt-get dist-upgrade
- 安装libc6:i386
[nsnet-14602]
在Citrix ADC设备中,BGP
neighbor如果邻居是对等组的成员,则该命令无效。shutdown 由于这个问题,任何IPv6 BGP邻居,被关闭使用
neighbor命令,在设备重新启动或升级后,该命令的状态为UP。shutdown [nshelp-26957]
在高可用性设置中,如果满足以下条件,VPN用户会话将断开:
- 在HA同步过程中,如果连续两次或两次以上手动进行HA failover操作。
解决方法:待HA同步完成(节点状态均为“Sync success”)后,再手动进行HA failover。
[nshelp-25598]
对于非默认HTTPS端口上的内部SSL服务,在设备重新启动后,SSL证书绑定可能恢复到默认设置。
[nshelp-24034]
平台
在Citrix ADC SDX 8900平台上,LOM版本从4.5x升级到4.61 x。在Citrix ADC SDX 15000和SDX 26000平台上,LOM版本从5.03升级到5.56。升级完成后,板载网卡的默认密码将被重置为新平台设备的序列号。此升级解决了CVE-2013-4786所描述的漏洞。有关更多信息,请参见https://support.citrix.com/article/CTX234367.
[nsplatp -19327]
在为AWS重新启动Citrix ADC VPX实例时,如果使用默认网关以外的网关向DNS服务器添加静态路由,则会发生以下事件:
- 删除添加到DNS服务器的静态路由。
- 使用默认网关添加新的静态路由。
[nshelp-27116]
如果要将集群节点设置为yield,则必须在CCO上进行以下额外配置:
- 如果形成了一个集群,所有的节点都会得到yield=DEFAULT。
- 如果使用已经设置为yield=YES的节点形成集群,则使用DEFAULT yield将节点添加到集群。
注意:如果需要将集群节点设置为yield=YES,则只能在集群形成后进行相应的配置,而不能在集群形成前进行相应的配置。
[nshelp-27091]
在Citrix ADC SDX平台上,当节点加入集群时,集群状态可能会发生振荡。当触发影响集群运行状况的隐式接口复位时,就会发生震荡。
[nshelp-27081]
政策
如果处理数据的大小超过配置的默认TCP缓冲区大小,则连接可能挂起。
解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。
[npolicy -1267]
具有全局作用域的NS变量不适用于HTTP/2流量。
[nshelp-27095]
如果满足以下所有条件,Citrix Gateway设备可能会崩溃。
- Nstrace是通过筛选器表达式启用的
- 启用外部ADC审计服务器的调试审计日志记录
- 配置带有高级规则表达式的认证策略
[nshelp-26045]
如果两个策略变量配置了不同的过期时间,会出现如下问题:
- 具有较短过期时间的变量的过期值的删除可能会延迟,直到具有较长过期时间的过期值的删除。
[nshelp-25786]
SSL
如果多个SSL策略在Client hello绑定点绑定到一个虚拟服务器,并且ALPN或SNI策略是第一个绑定的策略,则可能会出现以下错误情况:
如果客户端没有发送ALPN或SNI请求,则不评估绑定到虚拟服务器的其他策略。
[nssl -9865]
在Citrix ADC SDX 22000和Citrix ADC SDX 26000设备的异构集群上,如果SDX 26000设备重新启动,将会丢失SSL实体的配置。
处理:
- 在CLIP上,禁用所有现有和新的SSL实体(如虚拟服务器、服务、服务组和内部服务)上的SSLv3。例如,
设置ssl vserver.-SSL3 DISABLED - 保存配置。
[nssl -9572]
- 在CLIP上,禁用所有现有和新的SSL实体(如虚拟服务器、服务、服务组和内部服务)上的SSLv3。例如,
以下add命令不能使用Update命令:
- 添加azure应用程序
- 添加azure密钥库
- 添加SSL certkey与hsmkey选项
[nssl -6484]
如果已经添加了身份验证Azure密钥库对象,则无法添加Azure密钥库对象。
[nssl -6478]
您可以使用相同的客户端ID和客户端秘密创建多个Azure Application实体。Citrix ADC设备不返回错误。
[nssl -6213]
在未指定KEYVAULT作为HSM类型的情况下删除HSM密钥时,将出现以下错误错误消息。
ERROR: crl refresh disabled[nssl -6106]
“会话密钥自动刷新”在集群IP地址上错误地显示为禁用。(此选项不可禁用。)
[nssl -4427]
如果尝试更改SSL概要文件中的SSL协议或密码,将出现错误的警告消息,“警告:在SSL vserver/服务上没有配置可用的密码”。
[nssl -4001]
颁发CRL的CA证书名称被截断为32个字符,而证书密钥名称最多可以有64个字符。出现此问题是因为CRL字段限制为32个字符。
[nshelp-26986]
如果在配置文件中更改内置证书(“ns-server-certificate”)的名称,Citrix ADC设备将在重新引导期间崩溃。
[nshelp-26858]
系统
Citrix ADC设备可能会在MPTCP连接上发送无效的TCP数据包以及TCP选项,如SACK块、时间戳和MPTCP数据ACK。
[nshelp-27179]
在Citrix ADC设备和数据加载器中观察到Logstream记录不匹配。
[nshelp-25796]
如果满足以下条件,Citrix ADC设备在清除配置过程中可能会失败:
- 当服务与虚拟服务器绑定时,会修改服务的IP地址。
- 同一虚拟服务器被用作分析配置文件中的收集器。
[nsbase-11511]
用户界面
创建/监控CloudBridge连接器向导可能会变得无响应或配置CloudBridge连接器失败。
解决方案:通过Citrix ADC GUI或CLI添加IPSec安全框架、IP隧道和策略路由规则,配置cloudbridge连接器。
[nsui-13024]
在管理分区中导入证书可能会错误地失败,并提示以下消息:
错误:用户没有指定目标路径的权限
[nshelp-26918]
在Citrix ADC VPX设备中,添加许可证服务器后,容量设置操作可能会失败。出现此问题是因为Flexera相关组件初始化需要较长的时间,因为支持大量类型签入和签出(CICO)许可证。
[nshelp-23310]
在管理分区设置中上传和添加证书吊销列表(CRL)文件失败。
[nshelp-20988]
在Citrix ADC BLX集群设置中,由于内部错误,“同步集群文件”命令可能会失败。
解决方法:重新启动“nsclfsyncd”进程。
[nsconfig-4968]
如果Citrix ADC BLX设备使用Citrix ADM获得授权,则在将设备升级到13.0 build 83.x之后,授权可能会失败。
解决方案:首先升级Citrix ADM到13.0 build 83。在升级Citrix ADC BLX设备之前。
[nsconfig-4834]
当您降级Citrix ADC设备13.0-71版本时。x到早期版本,一些Nitro api可能无法工作,因为文件权限更改。
解决方法:修改“/nsconfig/ns.conf”的权限为644。
[nsconfig-4628]
有时应用程序防火墙签名需要很长时间才能同步到非cco节点。因此,使用这些文件的命令可能会失败。
[nsconfig-4330]
如果您(系统管理员)在Citrix ADC设备上执行以下所有步骤,系统用户可能无法登录降级的Citrix ADC设备。
将Citrix ADC设备升级到其中一个版本:
- 13.0 52.24构建
- 12.1 57.18 build
- 11.1 65.10 build
- 新增系统用户或修改已有系统用户密码,并保存配置
- 将Citrix ADC设备降级为任何旧版本。
使用实例使用CLI查询系统用户列表。
在命令提示符下,输入:查询ns config -changedpassword [-config <配置文件(ns.conf)全路径>]处理:
若要修复此问题,请使用以下独立选项之一:
- 如果Citrix ADC设备尚未降级(上述步骤中的步骤3),请使用以前备份的相同版本的配置文件(ns.conf)降级Citrix ADC设备。
- 任何在升级版本上没有修改密码的系统管理员都可以登录到降级版本,并更新其他系统用户的密码。
- 如果以上选项都无效,系统管理员可以重置系统用户密码。
[nsconfig-3188]