Citrix ADC 13.0-85.19版本发布说明
本发行说明文档描述了Citrix ADC版本Build 13.0-85.19中存在的增强和更改、修复和已知问题。
笔记
- 本发行说明文档不包含与安全相关的修复程序。有关安全相关修复程序和建议的列表,请参阅Citrix安全公告。
- 构建13.0-85.19及以后的构建解决了中描述的安全漏洞https://support.citrix.com/article/CTX457048.
- Build 85.19取代Build 85.15。
- 此版本还包括对以下问题的修复:NSHELP-31668。
有什么新鲜事
Build 13.0-85.19中提供的增强和更改。
身份验证、授权和审计
支持使用连接代理进行nFactor身份验证的GSLB双活部署
现在增加了对使用连接代理进行nFactor身份验证的GSLB双活部署的支持。此支持适用于Citrix网关和身份验证、授权和审计场景。
目前,如果在nFactor身份验证中配置了各种因素,并且为GSLB配置了网关,那么如果客户端请求到达不同的GSLB站点,则身份验证可能会中断。例如,如果将LDAP配置为第一因素,将RADIUS配置为第二因素,那么在以下场景中身份验证可能会中断。
- 客户端对LDAP的请求到达GSLB站点1。
- 半径请求降落在GSLB站点2。
现在使用连接代理将请求路由到正确的GSLB站点,以完成身份验证和服务流量。
[nsauth-7141]
固定的问题
在Build 13.0-85.19中解决的问题。
身份验证、授权和审计
如果在更新SAML配置中使用的SSL证书-密钥对时出现错误,Citrix ADC设备可能会崩溃。要解决此问题,您可以取消绑定证书,更新证书,然后再次绑定证书。
[nhelp -30270]
如果使用SAML的登录请求包含除“”(单引号)以外的空白字符,则用户无法登录Citrix ADC设备。通过此修复,所有空白字符都是允许的。
[nhelp -29773]
在极少数情况下,Citrix ADC设备可能会由于错误的日志位置而崩溃。
[nhelp -29267]
配置为使用OAuth服务提供商进行身份验证的Citrix ADC设备不能配置为使用IDP令牌端点进行身份验证的client-secrete_post。
通过此修复,当ADC与IDP的令牌端点通信时,身份验证方法“client_secret_basic”被添加到ADC的OAuth服务提供者特性中。
[nhelp -28945]
当SAML身份验证正在进行并且在SAML身份验证中使用了1800字节或更大的X.509证书时,Citrix ADC设备可能无法响应。
[nhelp -28608, nhelp -29913]
在Citrix ADC高可用性设置中,由于同步问题,在CLI配置过程中会显示一些身份验证命令。
[nhelp -28448]
在多核Citrix ADC设备中,当用户密码到期时更改时,Authentication、authorization和audit . user . attribute表达式可能会给出一个空值。
[nhelp -28419]
当配置为OAuth依赖方时,Citrix ADC设备不会将从ID令牌提取的“email”和“username”字段信息添加到身份验证、授权和审计会话的哈希属性中。
[nhelp -28262]
有时,当使用authentication、authorization和audit . login . password时,身份验证可能会失败。
[nhelp -28101]
配置SAML元数据时,会在SSL证书中观察到内存泄漏。
[nshelp-27846, nshelp-25020]
如果满足以下两个条件,Citrix ADC设备可能会与后端服务器进入SSO循环,并导致内存累积。
- ADC设备与后端服务器执行协商和NTLM SSO身份验证。
- 后端服务器两次认证都失败。
[nhelp -27757]
如果提取的组的专有名称为NULL,则Citrix ADC设备可能在活动目录组提取期间崩溃。
[nhelp -26899]
有时,如果配置了nFactor,注销消息中登录的IP地址错误。
[nhelp -26692]
在高可用性设置中,当启动强制同步时,Citrix ADC设备会崩溃。
[nsauth-11876]
Android 11及以后版本不支持Intune NAC v2。
[nsauth-11872]
如果密码中包含特殊字符或参数中有空格,管理员将无法使用LDAP或RADIUS连接工具。
[nsauth-11322]
机器人管理
当CAPTCHA挑战正在进行时,Citrix ADC bot管理不尊重用户为CAPTCHA重试尝试设置的配置值。
[nsbot-801]
CallHome
使用池许可的Citrix ADC MPX设备的CallHome注册可能会失败。由于CallHome使用错误的序列号向Citrix Support Server注册设备,导致注册失败。
[nhelp -28667]
Citrix ADC SDX Appliance
当您从备份恢复Citrix ADC SDX设备时,CLI提示字符串不会恢复。
[nhelp -30238]
由于工厂分区没有足够的空间,当干净安装失败时出现错误消息。
[nhelp -30136]
在Citrix ADC SDX 115xx设备上,如果设备备份包含三个或更多实例,那么恢复分配了大量CPU内核(3-5个内核)的VPX可能会失败。
[nhelp -30135]
“添加集群节点”页面中的backplane字段不再为必填项,除非满足以下条件之一:
- 对于三层集群,节点组已经存在。
- 它是一个第二层集群。
[nhelp -29701]
在Citrix ADC SDX一体机中,“Hypervisor磁盘使用率高”告警的默认值增加到98%。
[nhelp -29688]
在极少数情况下,ADC库存不会出现在Citrix ADC SDX设备上。
[nhelp -29607]
如果数据记录的总数少于5000,那么ADC事件表中的数据现在可以跨页排序。
[nhelp -29170]
Citrix网关
用户在使用Citrix ADC GUI标准license版本配置Citrix Gateway时,无法添加认证配置文件。通过此修复,用户可以附加标准许可证中可用的nFactor身份验证配置文件。
[nhelp -30647]
- 当用户升级到Chrome 98或Edge 98浏览器版本后,无法启动EPA插件或VPN插件。解决此问题的方法如下:
- 对于VPN插件升级,最终用户必须首次使用VPN客户端连接才能在其机器上获得修复。在后续的登录尝试中,用户可以选择要连接的浏览器或插件。
- 对于仅EPA用例,最终用户将没有VPN客户端连接到网关。在这种情况下,请执行以下操作:
使用浏览器连接到网关。
- 等待下载页面出现后,下载“nsepa_setup.exe”。
- 下载完成后,请关闭浏览器,安装nsepa_setup.exe文件。
- 重新启动客户端。
[nhelp -30641]
在Citrix ADC GSLB和SSL VPN设置中,在处理DTLS ICA连接时观察到内存泄漏。结果,连接中断,内存增加。
[nhelp -30182]
用于检查防病毒的EPA扫描在macOS上失败。
[nhelp -29571]
在具有TCP SYSLOG配置的高可用性设置中,节点可能在HA故障转移或清除配置操作期间崩溃。
[nhelp -29251]
当配置出站代理时,在Citrix ADC设备中观察到内存泄漏。
[nhelp -29234]
在Citrix Gateway门户页面中,RDP代理链接图标不随rfweb门户主题而改变。
[nhelp -28974]
启用二进制响应后,Citrix网关VPN全隧道不能正常工作。因此,NSAAC cookie被损坏。通过此修复,二进制响应可以在早期的VPN插件中工作。但是,Citrix建议您使用与JSON响应一起工作的最新VPN插件。
[nhelp -28729]
Citrix Gateway设备在DTLS Audio中处理STA时崩溃,因为分配的内存没有重置。
[nhelp -28432, nhelp -29796]
如果目录/var/netscaler/ login / logonpoint /custom/最初不存在,则升级后不会创建该目录。
[nshelp-28223]
如果通过备份负载均衡虚拟服务器访问StoreFront,通过VPN虚拟服务器访问StoreFront失败。
[nhelp -27852]
在重新连接到现有ICA会话时,Citrix Gateway设备可能会崩溃。
[nhelp -27441]
在“创建Citrix网关流量配置文件”页面中,输入FQDN作为代理时,提示“代理值无效”。
[nhelp -26613]
Citrix Web应用防火墙
如果升级到XML库版本2.9.12,解析WAF签名相关的XML文件时会破裂。
[nswaf-8662]
JSON命令注入保护在ns.log消息中显示为" Not blocked ",即使HTTP请求被Web App Firewall模块阻止了。
[nhelp -29709]
Web App Firewall日志消息显示,跨站点脚本(XSS) URL属性违规的“坏URL”,并且术语“坏URL”不清楚它属于哪个类别(如标记、模式或属性)。
[nhelp -29358]
如果在SSL类型的负载均衡虚拟服务器上启用了bot管理策略,则bot设备指纹post URL可能会失败。
[nhelp -29198]
如果启用了以下模块,Citrix ADC设备可能会崩溃:
- 具有高级安全检查的Web应用程序防火墙。
- Appqoe。
[nhelp -28251]
负载平衡
在自动扩展DNS部署中,处于TROFS状态的成员不检测和响应运行状况检查失败。
[nhelp -29628]
如果满足以下条件,Citrix ADC设备在将重写策略绑定到负载平衡虚拟服务器时可能会崩溃:
- 第二个表达式的求值将覆盖正在执行的第一个表达式的策略状态变量。
- DETERMINE_SERVICES策略状态变量被负载平衡虚拟服务器定义的规则覆盖。
[nhelp -29449]
Citrix ADC设备在试图释放在不同分区中分配的内存时崩溃。
[nhelp -29038]
控件时显示的Monitor响应时间显示服务命令有时不正确。
[nhelp -28994]
当静态绑定的成员与动态解析的DNS记录之间存在冲突时,不会从Autoscale服务组列表中删除某些服务组成员。这个问题会导致内存损坏。
[nhelp -28949]
在极少数情况下,配置(ns.conf)文件中可能缺少位置数据库配置。
[nhelp -28570]
在启用持久性的部署中,在上下文保存期间存储了不正确的虚拟服务器。
[nhelp -28342]
Citrix ADC设备在处理mysql类型监视器的监视器探测时可能会失败,这最终会导致系统重新启动。
[nhelp -27953]
杂项
在新安装Citrix ADC设备时,无法加载Citrix网关登录页面,因为/var/netscaler/ login目录中缺少GUI文件。
[nhelp -31668]
将设备升级到Citrix ADC 12.1 build 63.22后出现以下问题:
- 升级后扩展查找API可能无法工作。
[nhelp -29860]
网络
在具有偶数个包引擎(PE)的Citrix ADC设备中,该设备错误地将活动接口的状态显示为冗余接口集(LR通道)的非活动接口。此问题不会影响Citrix ADC设备的任何功能。
[nhelp -28099]
Citrix ADC设备在冷重启后可能不会生成“coldStart”SNMP trap消息。
[nhelp -27917]
平台
托管在Azure云上的Citrix ADC VPX实例的串行控制台在虚拟机处于启动的早期阶段时是不可访问的。
[ns普拉特-23010]
SSL
在极少数情况下,您可能会在以下平台上的DTLS处理期间看到崩溃:
- MPX 5900
- MPX /有关8900
- MPX /有关15000
- MPX /有关15000 - 50 g
- MPX /有关26000
- MPX / 26000 - 50年代有关
- MPX /有关26000 - 100 g
[nhelp -29538]
如果遵循以下步骤,Citrix ADC设备将崩溃:
- 添加了一个SSL类型的监视器。
- 将证书-密钥对绑定到监视器。
- 监视器被移除。
- 添加了另一个具有相同名称的监视器。
- 完成证书密钥对的更新。
[nshelp-28666, nshelp-29784]
在高可用性设置中,证书类型没有在主节点和辅助节点之间正确同步。
[nhelp -27589]
在VPN部署中,Citrix ADC设备从缓存中获取一个会话重用的SSL会话,以便与代理或后端服务器通信。它不会将从客户机接收到的SNI与缓存会话中存在的SNI进行匹配。
因此,根据缓存的数据,要么不发送SNI,要么发送不同的SNI。
[nhelp -27439]
在高可用性设置中,如果满足以下两个条件,CRL自动刷新会间歇性地失败:
- 文件正在从主节点同步到备节点。
- 同时从CRL服务器下载CRL文件。
[nhelp -27435]
颁发CRL的CA证书名称被截断为32个字符,尽管证书密钥名称最多可以有64个字符。出现此问题的原因是CRL字段的长度限制为32个字符。
[nhelp -26986]
如果与外部HSM一起使用DH密码,SSL握手失败。
[nhelp -25307]
系统
如果出现以下任何一种情况,Citrix ADC设备将崩溃:
- syslog动作配置了域名,可通过GUI或CLI方式清除配置。
- 高可用性同步发生在辅助节点上。
[nshelp-30987, nshelp-28121, nshelp-29843]
Citrix ADC设备无法将一些非http数据包转发到后端服务器。
[nhelp -30192]
在为入侵防御系统(IPS)资源清除分配的内存时,在Citrix ADC设备中观察到内存泄漏。
[nhelp -29992]
在某些场景下,如果满足以下条件,Citrix ADC设备不会将某些HTTP数据包转发到后端服务器:
- 如果Citrix ADC特性内部克隆HTTP数据包。
[nhelp -29958]
在Citrix ADC集群部署中,将SSL配置文件和SSL证书密钥与HTTP QUIC虚拟服务器关联的配置操作可能会失败。
[nhelp -29655]
如果满足以下条件,同一客户端连接上的第二次请求将失败:
- 启用了clientSideMeasurements。
- 收到HEAD请求。
[nhelp -29353]
Citrix ADC设备可能会错误地将IPv4地址添加到与IPv6事务相关的AppFlow记录中。
[nhelp -29261]
在某些情况下,Citrix ADC设备可能会在以下情况下崩溃:
- 使用TCP巨型帧。
- 在TCP负载均衡虚拟服务器上配置持久化。
[nhelp -29162]
如果满足以下条件,Citrix ADC设备会崩溃:
- 在AppFlow操作上启用了客户端度量选项。
- 块报头落在包边界上。
[nhelp -29049]
如果HTTP管道(一个或多个请求)的大小超过128 KB, Citrix ADC设备将重置连接。出现这个问题是因为管道大小被硬限制为128 KB。
[nhelp -28846]
当从icap模块向客户端重播分块响应时,Citrix ADC设备可能会崩溃。
[nhelp -28788]
在TCP连接中,如果满足以下所有条件,Citrix ADC设备可能会丢弃从服务器接收到的FIN数据包,而不是将其转发到客户端:
- 启用TCP缓冲功能。
- 服务器将FIN报文和data报文分开发送。
[nhelp -27274]
用户界面
由于没有提示确认,您可能会意外地取消SSL证书的链接。使用此修复程序,当用户单击链接的证书时,在取消证书链接之前将提示进行确认。
[nsui-17897]
对于RPC节点配置,在禁用“安全”选项的情况下,Citrix ADC GUI中的配置RPC节点对话框错误地显示“安全”选项为启用。
[nhelp -30887]
缓存过滤在Citrix ADC GUI上可能无法按预期工作。
[nhelp -30392]
Citrix ADC GUI不处理RAPI调用,导致GUI的某些组件变得无响应。
[nhelp -30231]
在某些情况下,您可能无法从Citrix ADC GUI中的SSL密钥选项卡加载SSL密钥。
[nhelp -28870]
带有过滤器的NITRO GET请求的API响应可能包含额外的信息,即使它没有在过滤器中提到。
[nhelp -28598]
在使用Citrix ADC GUI配置或检查SSL证书时,可能会出现“目录不存在”的错误。当SSL文件夹“/nsconfig/ SSL”中存在带有两个连续点(" .. ")的文件名时,会出现此问题。
[nhelp -28589]
在高可用性设置中,如果在主节点上修改了内置策略模式集,则内置策略模式集绑定的HA同步可能会失败。
[nhelp -28460]
当用户试图更改侧边面板视图中列表的页面大小时,页面会变形。
[nhelp -28220]
带interface (-I)选项的ping或ping6命令可能会失败,并出现以下错误:
- "不支持接口选项"
[nhelp -26962]
在Citrix ADC VPX设备中,添加许可服务器后,设置容量操作可能会失败。出现这个问题是因为Flexera相关组件需要更长的初始化时间,因为支持的签入和签出(CICO)类型的许可证数量很大。
[nhelp -23310]
已知的问题
13.0-85.19版本中存在的问题。
演示applow
HDX Insight不会报告由于用户试图启动用户无法访问的应用程序或桌面而导致的应用程序启动失败。
[ninssight -943]
身份验证、授权和审计
对于在URL查询中发送键值参数的后端服务器,基于表单的单点登录失败。
[nhelp -30975]
Citrix ADC设备可能由于OAuth配置中缺少目标URL而导致内存分配过大而崩溃。
[nhelp -30963]
Citrix ADC设备的Authentication、authorization和auditingD模块可能会因为从数据包引擎到Authentication、authorization和auditingD的输入密码长度缺失或不正确而崩溃。
[nhelp -30911]
由于Citrix ADC设备添加的报头不正确,通过Outlook应用程序连接到Outlook交换服务器时可能会出现间歇性失败。
[nhelp -30555]
如果ADFSPIP URL设置为“http://”,则Citrix ADC设备崩溃。ADFSPIP只支持“https://”URL类型。
[nhelp -29838]
触发密码更改事件时,在身份验证会话期间单点登录失败。只有在启用persistentLogin attempts参数时才会出现此问题。
[nhelp -28085]
在某些情况下,RADIUS认证过程中会显示“invalid credentials”错误信息。当使用谷歌Chrome浏览器从客户端设备访问Citrix ADC设备时,会看到该错误。
[nhelp -27113]
如果满足以下条件,则拒绝访问服务:
- 该服务绑定了认证虚拟服务器。
- 在业务和绑定的虚拟服务器上配置401认证。
[nhelp -26903]
当在主控制器卡和辅助控制器卡之间同步会话和密钥配置时,Citrix ADC设备可能会崩溃。
[nhelp -26891]
在某些场景下,如果策略名称大于内网应用名称,可能导致“绑定认证、授权和审计组”命令配置失败。
[nhelp -25971]
当在基于401的身份验证流中将NOAUTH配置为第一个因素,并将Negotiate配置为随后的因素时,Citrix ADC设备将转储core。
[nhelp -25203]
如果LDAP、RADIUS或TACACS服务的管理密码包含双引号(")字符,Citrix ADC设备会在" Test Connectivity "检查时将其去掉,导致连接失败。
[nhelp -23630]
Citrix ADC设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。
[nhelp -563]
在Citrix ADC GUI的登录模式编辑器屏幕上没有正确显示DualAuthPushOrOTP.xml LoginSchema。
[nssoth -6106]
ADFS代理配置文件支持在集群部署中配置。执行以下命令时,代理配置文件的状态错误地显示为空。
显示adfsproxyprofile <配置文件名称>解决方法:连接到集群中的主活动Citrix ADC并运行
显示adfsproxyprofile <配置文件名称>命令。它将显示代理配置文件状态。[nsauth-5916]
如果执行以下步骤,Citrix ADC GUI上的“配置认证LDAP服务器”页面将变得无响应:
- 打开“测试LDAP可达性”选项。
- 填充并提交了无效的登录凭据。
- 填充并提交有效的登录凭据。
解决方法:关闭并打开Test LDAP Reachability选项。
[nsauth_2147]
缓存
如果启用了集成缓存特性并且设备内存不足,Citrix ADC设备可能会崩溃。
[nhelp -22942]
Citrix ADC SDX Appliance
在Citrix ADC SDX设备上,如果CLAG是在Mellanox网卡上创建的,那么当VPX实例重新启动时,CLAG MAC会发生变化。到VPX实例的流量在重启后停止,因为MAC表中有旧的CLAG MAC表项。
[nssvm-4333]
如果满足以下条件,则可以在Citrix ADC SDX设备上托管的VPX实例上看到数据包丢失:
- 吞吐量分配模式为burst。
- 吞吐量和最大突发容量之间存在很大的差异。
[nhelp -21992]
Citrix网关
在某些情况下,用于macOS的Citrix Secure Access会因为一些使用端口53的非dns协议(如STUN)的问题而断开连接。
[nshelp-31004]
在高级无客户端VPN模式下,有时用户无法访问书签。
[nhelp -30939]
当配置“始终打开”时,由于aoservice.exe文件中的版本号(1.1.1.1)错误,导致用户隧道失败。
[nhelp -30662]
在将' networkAccessOnVPNFailure '始终在配置文件上的参数从' fullAccess '更改为' onlyToGateway '后,用户无法连接到Citrix网关设备。
[nhelp -30236]
浏览器启动PCoIP Apps和桌面失败,提示“VMware client missing”。出现此问题的原因是没有将vmware-view协议添加到允许的协议列表中。
[nhelp -30062]
当启用HDX Insight而禁用NSAP时,Citrix网关设备可能会在通道解析期间崩溃。
[nhelp -30029]
Windows VPN客户端不尊重来自服务器的“SSL关闭通知”警报,并在同一连接上发送传输登录请求。
[nhelp -29675]
当将身份验证规则配置为匹配登录流中的一个请求时,即使在用户提交登录凭据之前,Gateway Insight也会报告错误的身份验证失败。
[nhelp -29313]
Active Users Session页面不会显示所有的活动用户会话,除非将条目数更改为每页2000个。
有了这个修复,一个新的链接“所有用户会话”(Citrix网关-> Monitor Connections >所有用户会话)被添加到列出所有用户会话和连接的管理UI中。
[nhelp -29151]
您可能会注意到rdx.js文件中的一些Citrix内部IP地址。
[nhelp -28682]
如果macOS Keychain中没有客户端证书,则Citrix单点登录macOS客户端证书认证失败。
[nhelp -28551]
如果配置了EPA并且没有足够的内存可用,Citrix ADC设备可能会崩溃。
[nhelp -28329]
Citrix Gateway设备在处理服务器发起的UDP通信时可能会崩溃。
[nhelp -27611]
如果异步被阻止并且您修改了内容切换策略配置,Citrix Gateway设备可能会崩溃。
[nhelp -27570]
如果在会话策略中设置了未知的VPN客户端选项,Citrix网关设备可能会崩溃。
[nhelp -27380]
在传输登录过程中,有时客户端显示的内网IP子网不正确。
[nhelp -26904]
Citrix Gateway在编辑VPN会话配置文件时,界面提示“IP或端口无效”。
[nhelp -26722]
在使用Citrix ADC GUI创建RDP客户端配置文件时,当满足以下条件时出现错误消息:
- 已配置默认的PSK (pre-shared key)。
- 尝试修改RDP cookie有效性(秒)字段中的RDP cookie有效性定时器。
[nhelp -25694]
“show vpn icaConnection”命令不能正确显示ICA连接的序号。执行“show vpn icconnection”命令时,序列号被任意重置。
[nhelp -25646]
在高可用性设置中,如果满足以下条件,VPN用户会话将断开:
- 在HA同步过程中,连续两次或两次以上手动HA故障切换。
解决方法:待HA同步完成后(同步状态均为“同步成功”),再手动切换HA。
[nhelp -25598]
用于Windows的EPA插件不使用本地机器配置的代理,直接连接到网关服务器。
[nhelp -24848]
Gateway Insight无法准确显示VPN用户信息。
[nhelp -23937]
如果满足以下条件,VPN插件在Windows登录后无法建立隧道:
- Citrix网关设备配置为始终在线特性
- 设备配置为基于证书的身份验证,双因素身份验证为“关闭”
[nhelp -23584]
“show tunnel global”命令可以显示高级策略名称。以前,输出不显示高级策略名称。
例子:
新的输出:
> show tunnel global策略名称:ns_tunnel_nocmp优先级:0策略名称:ns_adv_tunnel_nocmp类型:高级策略优先级:1全局bindpoint: REQ_DEFAULT策略名称:ns_adv_tunnel_msdocs类型:高级策略优先级:100全局bindpoint: RES_DEFAULT Done >之前的输出:
> show tunnel global Policy名称:ns_tunnel_nocmp优先级:0 Disabled高级策略:global bindpoint: REQ_DEFAULT绑定策略个数:1 Done[nhelp -23496]
有时在浏览模式时,会出现错误消息“无法读取属性' type ' of undefined”。
[nhelp -21897]
如果您希望在Windows登录功能之前使用Always On VPN,建议升级到Citrix Gateway 13.0或更高版本。这使您能够利用版本13.0中引入的12.1版本中没有的其他增强功能。
[cgop-19355]
在Gateway Insight中没有报告由于无效STA票证导致的应用程序启动失败。
[cgop-13621]
Gateway Insight报告错误地在SAML错误失败的身份验证类型字段中显示值“Local”而不是“SAML”。
[cgop-13584]
在高可用性设置中,在Citrix ADC故障转移期间,SR计数增加,而不是Citrix ADM中的故障转移计数。
[cgop-13511]
当从MAC接收器版本19.6.0.32或Citrix Virtual Apps and台式机版本7.18启动ICA连接时,HDX Insight功能被禁用。
[cgop-13494]
当启用EDT Insight特性时,有时音频通道可能会在网络不一致时失败。
[cgop-13493]
在接受来自浏览器的本地主机连接时,macOS的“接受连接”对话框无论选择哪种语言都以英语显示内容。
[cgop-13050]
Citrix SSO应用程序>主页中的文本“主页”在某些语言中被截断。
[cgop-13049]
当您从Citrix ADC GUI添加或编辑会话策略时,会出现错误消息。
[cgop-11830]
在Outlook Web App (OWA) 2013中,单击选项在设置菜单下显示一个关键的错误对话框。此外,页面变得无响应。
[cgop-7269]
Citrix Web应用防火墙
在包含引号(单引号、双引号或反勾号)的WAF SQL注入中,必须出现开始和结束引号,以便将模式标记为攻击。但是,当模式中出现注释时,不需要结束引号。
[nhelp -30379]
负载平衡
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这是罕见的情况。
[nslb-7679]
当ADC设备上启用ECS并且找不到位置时,没有正确设置作用域前缀。这个问题会导致创建不正确的持久性条目。错误的持久化表项是基于LDNS IP地址创建的,而不是基于非静态基于邻近的GSLB方法请求中收到的ECS IP地址。
[nhelp -30846]
在罕见的竞争情况下,当Citrix ADC设备上存在以下配置时,数据包引擎可能会因核心转储而崩溃:
- 在GSLB虚拟服务器上配置基于源IP地址的持久化功能,并在ADNS服务绑定的DNS配置文件上开启DNS日志记录功能。
- 配置DNS负载均衡服务器时,未在DNS配置文件上开启DNS日志功能。
[nhelp -29791]
使用包含通配符的策略表达式执行“add dns action”和“add location”时,增量同步失败。
[nhelp -29301]
使用show和stat命令查询服务组状态不一致。处理步骤
[nhelp -28931]
如果使用通配符端口,则负载均衡或基于GSLB域的Autoscale服务组状态将保持DOWN。
[nhelp -28548]
当对等端发送重置现有连接的请求时,SQL或Oracle类型监视器会崩溃。
[nhelp -28478]
即使请求成功,也会向集群中的所有节点发送SMPP重试消息。这种情况会导致Citrix ADC设备上的高内存消耗。
[nhelp -28332]
在某些场景下,服务组绑定的服务器显示的cookie值不合法。您可以在跟踪日志中看到正确的cookie值。
[nhelp -21196]
在集群设置中,通过GSLB虚拟服务器绑定访问GSLB服务IP地址时,GUI中不显示该服务IP地址。这只是一个显示问题,对功能没有影响。
[nhelp -20406]
杂项
当在高可用性设置中发生强制同步时,设备将在辅助节点中执行“set urlfiltering parameter”命令。
因此,辅助节点跳过任何计划更新,直到“TimeOfDayToUpdateDB”参数中提到的下一个计划时间。[nsswg-849]
门户jQuery UI从1.12.1更新到1.13.1,以解决安全公告:CVE-2021-41182、CVE-2021-41183和CVE-2021-41184中描述的漏洞。
[nhelp -30209]
Citrix ADC CPX实例运行在64位体系结构和1tb文件存储的Linux系统上,现在可以加载证书和密钥文件。
[nhelp -28986]
如果与URL过滤第三方供应商发生连接问题,Citrix ADC设备可能会由于管理CPU停滞而重新启动。
[nhelp -22409]
网络
如果满足以下所有条件,Citrix ADC设备可能会崩溃:
- 在设备上的流量域中配置负载平衡路由。
- 在设备上执行清除配置操作。
[nsnet-23847]
如果Web应用防火墙配置文件配置了高级安全保护检查,则在DPDK模式下的Citrix ADC BLX设备可能会崩溃。
解决方法:删除WAF的高级安全保护配置。
[nsnet-22654]
在Citrix ADC BLX设备中,与带标签的非dpdk接口绑定的NSVLAN可能无法按预期工作。NSVLAN与非dpdk接口绑定可以正常工作。
[nsnet-18586]
Intel不支持以下接口操作
X710 10G (i40e)使用DPDK的Citrix ADC BLX设备的接口:- 禁用
- 启用
- 重置
[nsnet-16559]
在基于Debian的Linux主机(Ubuntu版本18及更高版本)上,Citrix ADC BLX设备总是以共享模式部署,而不考虑BLX配置文件(" /etc/ BLX / BLX .conf ")的设置。出现这个问题是因为“mawk”(在基于Debian的Linux系统上默认存在)不运行“blx.conf”文件中存在的一些awk命令。
解决方法:在安装Citrix ADC BLX设备之前安装“gawk”。安装“gawk”可以在Linux主机命令行中执行如下命令:
- Apt-get安装gawk
[nsnet-14603]
在基于Debian的Linux主机(Ubuntu版本18及更高版本)上安装Citrix ADC BLX设备可能会失败,并出现以下依赖错误:
"下列软件包有未满足的依赖:blx-core-libs:i386: PreDepends: libc6:i386(>= 2.19),但无法安装"
解决方法:在安装Citrix ADC BLX一体机前,在Linux主机命令行中执行如下命令:
- add-architecture i386
- apt-get更新
- apt-get dist-upgrade
- Apt-get install libc6:i386
[nsnet-14602]
在某些FTP数据连接的情况下,Citrix ADC设备仅对用于TCP MSS协商的数据包执行NAT操作,而不执行TCP处理。导致该连接没有设置最优接口MTU。错误的MTU设置会导致数据包分片,影响CPU性能。
[nsnet-5233]
在大规模NAT44设置中,Citrix ADC设备在接收SIP流量时可能会崩溃,原因如下:
- 设备中不存在LSN过滤和映射项。
[nhelp -30225]
如果在某些数据包与ACL规则匹配时将数据集与ACL规则解除绑定,Citrix ADC设备可能会崩溃。
[nhelp -30221]
在大规模NAT44设置中,Citrix ADC设备在接收SIP流量时可能会崩溃,原因如下:
- 删除过滤表项时会话引用计数不为零。
[nhelp -29348]
在大规模NAT44设置中,Citrix ADC设备在接收SIP流量时可能会崩溃,原因如下:
- LSN模块在减少引用计数或删除服务时没有找到该服务。
[nhelp -29134]
在大规模NAT44部署中,Citrix ADC设备在接收SIP流量时可能会崩溃,原因如下:
- 日志含义LSN模块访问已删除服务的内存位置。
[nhelp -28815]
在高可用性设置中,如果满足以下条件,则在重启时启用动态路由的SNIP地址不会暴露给VTYSH:
- 启用动态路由功能的SNIP地址与非默认分区的共享VLAN绑定。
作为修复的一部分,Citrix ADC设备现在不允许将启用动态路由的SNIP地址绑定到非默认分区中的共享VLAN
[nhelp -24000]
当在Citrix ADC设备中更改管理分区内存限制时,TCP缓冲内存限制将自动设置为管理分区新内存限制。
[nhelp -21082]
平台
高可用性故障转移在AWS和GCP云中不起作用。管理CPU在AWS和GCP云和内部部署的Citrix ADC VPX中可能达到其100%的容量。这两种问题都是在满足以下条件时出现的:
- 在Citrix ADC设备的第一次引导期间,不保存提示的密码。
- 随后,重新启动Citrix ADC设备。
[nsplatt -22013]
当您从13.0/12.1/11.1版本升级到13.1版本或从13.1版本降级到13.0/12.1/11.1版本时,Citrix ADC设备上没有安装一些python包。修复了以下Citrix ADC版本的问题:
- 13.1 - -4. x
- 13.0-82.31及更高版本
- 12.1-62.21及更高版本
当您将Citrix ADC版本从13.1-4降级时,不会安装python包。X转换为以下任何一个版本:
- 任何11.1版本
- 12.1-62.21及更早
- 13.0 -81年。X或更早
[nsplatt -21691]
在Citrix ADC SDX设备上的集群设置中,如果满足以下条件,则第二个节点和CLIP上存在CLAG MAC不匹配:
- CLAG创建在Mellanox网卡上。
- 将另一个VPX实例添加到集群和CLAG设置中。
结果,到VPX实例的流量停止。
[nsplatt -21049]
在Citrix ADC SDX设备上的集群设置中,如果满足以下条件,则由于CLIP和MAC表上的MAC地址不匹配,第一个节点会DOWN:
- CLAG创建在Mellanox网卡上。
- 从集群中删除第二个节点。
[nsplatt -21042]
当从Azure资源组中删除自动缩放设置或虚拟机缩放设置时,请从Citrix ADC实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。
[nsplatt -4520]
在Azure上的高可用性设置中,通过GUI登录到辅助节点后,将出现用于自动缩放云配置文件配置的首次用户(FTU)屏幕。
解决方法:跳过屏幕,登录到主节点以创建云配置文件。应该始终在主节点上配置云配置文件。[nsplatt -4451]
在Citrix ADC SDX设备上使用单包映像(SBI)和VPX版本13.1-24。支持在Fortville网卡上采用VRRP双活方式部署。在L2模式下不支持这种部署。
以下几点适用于部署:
- Citrix建议在升级或降级相关的VPX实例之前从管理服务中删除VRID配置。升级或降级操作完成后,从管理服务中添加VRID配置。
- 如果不采用上述建议,则需要手动从Management Service中重新发现VPX实例,使VRRP收敛。
[nhelp -30670]
在Citrix ADC VPX HA故障切换过程中,如果在配置IPset时没有绑定IP地址,则会导致AWS云中的弹性IP迁移失败。
[nhelp -29425]
对于GCP和AWS云上的Citrix ADC VPX实例,当RPC节点的密码包含特殊字符时,HA切换失败。
[nhelp -28600]
政策
如果处理数据的大小超过配置的默认TCP缓冲区大小,则连接可能会挂起。
解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。
[nspolicy-1267]
在某些情况下,当对AppExpert变量使用clear操作时,Citrix ADC设备可能会崩溃。
[nhelp -29766]
SSL
在Citrix ADC SDX 22000和Citrix ADC SDX 26000设备组成的异构集群上,如果重新启动SDX 26000设备,则会丢失SSL实体的配置。
处理:
- 在CLIP上,在所有现有的和新的SSL实体(如虚拟服务器、服务、服务组和内部服务)上禁用SSLv3。例如,
set ssl vserver.-SSL3 DISABLED - 保存配置。
[nsssl-9572]
- 在CLIP上,在所有现有的和新的SSL实体(如虚拟服务器、服务、服务组和内部服务)上禁用SSLv3。例如,
如果已经添加了身份验证Azure密钥库对象,则无法添加Azure密钥库对象。
[nsssl-6478]
您可以使用相同的客户端ID和客户端密钥创建多个Azure应用程序实体。Citrix ADC设备不返回错误。
[nsssl-6213]
当您删除HSM密钥而没有指定KEYVAULT作为HSM类型时,会出现以下不正确的错误消息。
错误:crl刷新被禁用[nsssl-6106]
在集群IP地址上,会话密钥自动刷新错误地显示为已禁用。(此选项不能被禁用。)
[nsssl-4427]
如果您尝试更改SSL配置文件中的SSL协议或密码,将出现错误的警告消息“警告:SSL vserver/service上没有配置可用的密码”。
[nsssl-4001]
在HA故障转移之后,在非cco节点和HA节点上,会尊重过期的会话票证。
[nsssl-3184, nsssl-1379, nsssl-1394]
在MPX 8900和MPX 15000 FIPS认证设备上,运行ECDHE流量可能导致内存泄漏。
[nhelp -30744]
当启用SSL拦截并且有多个并行请求访问带有过期证书的后端服务器时,Citrix ADC设备会崩溃。
[nhelp -29520]
在集群设置中,当两个已安装的证书是一个具有OCSP AIA扩展的服务器证书的颁发者时,如果删除服务器证书,则设备将无法访问。
[nhelp -28058]
由于内部应用程序(如SAML)在一段时间内持续使用加密操作的api, Citrix ADC MPX/SDX 14000 FIPS设备可能会崩溃。
[nhelp -27952]
系统
在Citrix ADC设备中,如果满足以下条件,则会在HTTP/2事务中观察到延迟问题:
- 后端服务开启HTTP/2 SSL配置
- 服务不支持HTTP/2协议。
[nhelp -30020]
Citrix ADC设备在服务SYN flood计数器上报告一个错误的SNMP告警。
[nhelp -28710, nhelp -28713]
如果配置了响应器策略,并且添加了一些导致报头损坏的重写策略,Citrix ADC VPX实例可能会崩溃。
解决方法:删除响应器策略。
[nshelp-28512, nshelp-30415]
在公共云MPTCP集群部署中,如果禁用链路集,会增加数据包重传。
[nhelp -27410]
Citrix ADC设备可能会在MPTCP连接上发送无效的TCP数据包以及TCP选项,如SACK块、时间戳和MPTCP Data ACK。
[nhelp -27179]
在重传队列中循环大量数据包时,会发生Pitboss故障。
[nhelp -26071]
在Citrix ADC设备和数据加载程序中观察到Logstream记录中的不匹配。
[nhelp -25796]
当使用TCP协议登录到外部SYSLOG服务器时,一些SYSLOG消息会被丢弃。
[nhelp -24522]
在某些场景下,如果应用基于IP地址的过滤器,则会错过所有数据包。
[nhelp -23483]
在集群设置中,“set ratecontrol”命令只有在重新启动Citrix ADC设备后才能工作。
解决方法:使用
Nsapimgr_wr.sh -ys icmp_rate_threshold=<新值>命令。[nhelp -21811]
如果设备没有从客户端接收到max_concurrent_stream设置帧,MAX_CONCURRENT_STREAMS值默认设置为100。
[nhelp -21240]
mptcp_cur_session_without_subflow计数器错误地递减为负值而不是零。
[nhelp -10972]
在集群部署中,如果在非cco节点上执行“force cluster sync”命令,则ns.log文件中包含重复的日志条目。
[nsbase-16304, nsgi-1293]
当您在Kubernetes集群上安装Citrix ADM时,它不会像预期的那样工作,因为所需的进程可能不会启动。
解决方法:重新启动Management pod。
[nsbase-15556]
在集群配置中,由于网络问题,具有CCO优先级的节点与Open vSwitch (OVS)断开连接。节点重新加入集群配置后,没有收到最新的SYN cookie。
[nsbase-14419]
当为Insight配置LogStream传输类型时,HDX Insight SkipFlow记录中的客户端IP和服务器IP颠倒。
[nsbase-8506]
用户界面
在Citrix ADC GUI中,“仪表板”选项卡下的“帮助”链接被破坏。
[nsui-14752]
创建/监控CloudBridge连接器向导可能变得无响应或配置CloudBridge连接器失败。
解决方法:通过使用Citrix ADC GUI或CLI添加IPSec配置文件、IP隧道和策略路由规则来配置云桥连接器。
[nsui-13024]
如果使用GUI创建ECDSA密钥,则不显示曲线类型。
[nsui-6838]
如果升级了使用池许可配置的Citrix ADC设备,则该设备可能会使用部分配置重新启动。
解决方法:删除升级后创建的集群配置数据库,然后热重启设备。[nhelp -30926]
在Citrix ADC设备中,使用GUI界面绑定覆盖全局或默认全局的缓存策略失败,出现以下错误:
- 缺少必要的参数。
使用CLI界面绑定缓存策略时,不会看到此错误。
[nhelp -30826]
在CLI界面中执行show run命令时,输入“CTRL+C”,重新连接Citrix ADC设备失败,错误如下:
- "无效的用户名或密码"
如果密钥和密码中的字符相同,则会出现此问题。
[nhelp -30817]
当将Citrix ADC设备配置为使用外部身份验证服务器时,无论RBAOnResponse参数是否被全局禁用,运行stat命令都可能会有延迟。该参数可通过GUI或CLI关闭。
[nhelp -30289]
搜索过滤器不可用于Citrix ADC GUI管理证书> CSR页面中的“Name”键。
[nhelp -30274]
Citrix ADC GUI可能会错误地生成仅包含一个节点而不是所有集群节点的集群技术支持包。
[nhelp -28606]
使用Citrix ADC GUI生成集群技术支持包可能会失败并出现错误。
[nhelp -28586]
在将高可用性设置或集群设置升级到13.0 build 74.14或更高版本后,由于以下原因,配置同步可能失败:
- “ssh_host_rsa_key”私钥和公钥对都不正确。
解决方法:重新生成“ssh_host_rsa_key”。有关更多信息,请参见https://support.citrix.com/article/CTX322863.
[nhelp -27834]
不能使用Citrix ADC GUI将服务或服务组绑定到优先级负载均衡虚拟服务器。
[nhelp -27252]
有时,应用程序防火墙签名需要很长时间才能同步到非cco节点。因此,使用这些文件的命令可能会失败。
[nsconfig-4330]
如果您(系统管理员)在降级后的Citrix ADC设备上执行以下所有操作,系统用户可能无法登录降级后的Citrix ADC设备。
将Citrix ADC设备升级到以下其中一个版本:
- 13.0 52.24 build
- 12.1 57.18构建
- 11.1 65.10版本
- 新增系统用户或修改已有系统用户密码,并保存配置
- 将Citrix ADC设备降级到任何较旧的版本。
使用CLI查询系统用户列表。
在命令提示符下,输入:查询ns config -changedpassword [-config <配置文件的全路径(ns.conf)>]处理:
要解决此问题,请使用以下独立选项之一:
- 如果Citrix ADC设备尚未降级(上述步骤中的第3步),请使用先前备份的同一版本版本的配置文件(ns.conf)降级Citrix ADC设备。
- 在升级版本中未更改密码的任何系统管理员都可以登录降级版本,并更新其他系统用户的密码。
- 如果以上选项都无效,系统管理员可以重置系统用户密码。
[nsconfig-3188]