Citrix ADC 13.1-12.51版本发布说明
本发行说明文档描述了Citrix ADC发行版Build 13.1-12.51的增强和更改、固定和已知问题。
Build 13.1-12.51取代Build 13.1-12.50。
此版本还包括修复以下问题:nsswaf -8668。
笔记
此发布说明文档不包括与安全相关的修复。有关与安全相关的修复程序和建议的列表,请参阅Citrix安全公告。
有什么新鲜事
Build 13.1-12.51中提供的增强和更改。
身份验证、授权和审计
支持最新版本的Intune NAC api
Citrix Gateway对Intune网络访问控制(NAC)的支持现在针对最新版本的Intune NAC api进行了增强。
[nsauth-9722]
支持GSLB双活部署,使用连接代理进行nFactor身份验证
现在添加了对GSLB双活部署的支持,支持使用连接代理进行nFactor身份验证。此支持适用于Citrix Gateway和身份验证、授权和审计场景。目前,如果在nFactor身份验证中配置了各种因素,并且为GSLB配置了网关,那么如果客户端请求落在不同的GSLB站点上,身份验证可能会中断。
例如,如果将LDAP配置为第一个因素,将RADIUS配置为第二个因素,那么在以下场景中,身份验证可能会中断。
- 客户端LDAP请求登陆到GSLB站点1。
- 半径请求降落在GSLB站点2上。连接代理现在用于将请求路由到正确的GSLB站点,以完成身份验证和服务流量。
[nsauth-7141]
Citrix ADC SDX设备
在Citrix ADC SDX设备上,管理服务在后台轮询Citrix ADC实例以进行操作,例如SSL证书、网络功能和配置审计。您现在可以根据需要启用和禁用此轮询。禁用此轮询可以提高管理服务和ADC实例的性能。
[nssvm-4991]
Citrix Web应用防火墙
JSON安全检查的详细日志记录(SQL、CMD和XSS)
Citrix ADC设备现在允许您配置详细的日志级别参数,用于记录违规细节,例如模式、模式有效负载和用于JSON安全检查的HTTP报头详细信息。日志详细信息被发送到Citrix ADM服务器进行监控和故障排除。详细日志不会保存在“ns.log”文件中。
[nsswaf -8269]
弃用Web应用防火墙经典的审计日志策略
全局绑定Web应用防火墙策略,这是一种新的全局绑定类型APPFW_GLOBAL现在可以在绑定审计syslogGlobal而且绑定审计nslogGlobal命令。全局绑定审计日志策略在Web应用程序防火墙日志记录上下文中计算。
[nsswaf -406]
负载平衡
重写MQTT协议的策略支持
重写特性现在支持MQTT协议。您可以配置重写策略,以根据MQTT客户端请求和服务器响应中的参数采取操作。
[nslb-8661]
服务优先顺序
服务优先级顺序特性使您能够根据负载平衡选择首选项对服务或服务组的顺序进行优先级排序。在LB或GSLB虚拟服务器上绑定服务或服务组时,可以配置选择服务的顺序。一个新参数-order<数>添加到绑定命令中以配置服务选择首选项。
缺省情况下,订单号最低优先级最高。但是,您可以推迟这种默认选择行为。使用新的LB动作和策略命令,您现在可以根据传入的客户端流量配置服务选择顺序。
服务的优先级顺序特性用更少的配置命令模拟了主和备份虚拟服务器链功能的行为。
[nslb-8039]
网络
将客户端IP地址插入到IP Tunnel外部头中,进行无会话负载均衡配置
在具有以下设置的无会话负载均衡配置中,封装器Citrix ADC设备使用一个SNIP地址而不是客户端IP地址作为IP隧道外部报头中的源IP。
负载均衡虚拟服务器:
- 重定向模式(m): IP隧道
sessionless:启用
IP隧道全局参数:
- use client source IP address (useClientSourceIP):启用
然而,在某些场景下,隧道解封装器(后端Citrix ADC或后端服务器)需要知道客户端的IP地址。
为了满足这一需求,封装器Citrix ADC设备现在使用客户端IP地址作为IP隧道外部报头中的源IP。
有关更多信息,请参见通过IP Over IP配置DSR方式的负载分担.
[nsnet-21804]
平台
VMware ESXi镜像引导到虚拟硬件版本13
当您从VMware ESXi映像(12.1以上)部署Citrix ADC VPX实例时,默认情况下,虚拟机将使用硬件版本13。
[nsplat-21416]
支持Citrix Hypervisor上的Intel以太网控制器X710和XL710系列
您现在可以使用以下网卡配置Citrix ADC VPX实例,使用单根I/O虚拟化(SR-IOV)运行在Citrix Hypervisor上:
- 英特尔X710 10G
- 英特尔XL710 40G
[nsplat-21410]
在AWS共享VPC中使用私有IP地址部署VPX高可用对
您现在可以使用AWS共享虚拟私有云(vpc)跨不同AWS区域使用私有IP地址部署VPX高可用性对。通过共享VPC,多个AWS帐户可以将自己的应用资源创建到共享的、集中管理的VPC中。在AWS共享VPC中创建Citrix ADC VPX实例。共享VPC减少了创建和管理VPC的数量,同时使用单独的帐户进行计费和访问控制。
[nsplat-21401]
SSL
基于JA3 SSL指纹检测恶意软件的新表达式
一个新的SSL表达式CLIENT.SSL。晶澳3_FINGERPRINT, is added that helps identify any malicious requests by comparing the request against the configured JA3 fingerprint.
例子:添加ssl策略ja3_pol -rule "CLIENT.SSL.JA3_FINGERPRINT.EQ(bb4c15a90e93a25ddc16274395bce4c6)"动作片重置
[nssl -10156]
支持集群中的证书捆绑
现在在集群设置中支持证书包。
[nssl -9854]
支持SSL证书包
证书包特性已得到增强,可以将包视为实体。因此,不需要为每个中间证书创建文件。两个证书包现在可以共享中间证书链的一部分。您还可以使用相同的服务器证书和密钥(也是证书包的一部分)添加证书-密钥对。证书包的删除也简化了。
在前面,添加证书包会在配置中添加多个命令。如果两个证书包共享一个公共中间证书,则不能添加另一个证书包。移除也是一个手工的过程。
[nssl -9425]
系统
在13.1版本中删除了与html注入相关的命令。此更改删除了所有后端代码。
[nsbase-14742]
固定的问题
Build 13.1-12.51中解决的问题。
身份验证、授权和审计
如果配置了电子邮件OTP, Citrix ADC设备将崩溃。
[nshelp-29312]
本机OTP加密工具不允许在设备名称中使用特殊字符。
[nshelp-28795]
当您登录到Citrix ADC设备时,当满足以下两个条件时,将出现一个空白的密码字段。
- 配置Duo双因素认证
- 使用RfWebuI门户主题
[nshelp-27868]
如果满足以下条件,则拒绝访问服务:
- 服务绑定到认证虚拟服务器。
- 在服务和服务绑定的虚拟服务器上配置401身份验证。
[nshelp-26903]
在极少数情况下,如果满足以下条件,高可用性设置中的辅助节点可能会崩溃。
- 的
aaa级组和/或aaa级用户在Citrix ADC设备上配置。
[nshelp-26732]
如果LDAP、RADIUS或TACACS服务的admin密码包含双引号(")字符,Citrix ADC设备将在测试连接检查,导致连接失败。
[nshelp-23630]
Citrix ADC SDX设备
现象描述在Citrix ADC SDX 14000-40G、15000和15000- 50g平台上,通过CLI设置接口速率失败。
[nshelp-29388]
更改Citrix ADC SDX平台上托管的ADC实例上的配置文件时,可能会注意到一些额外的条目保存配置命令。
[nshelp-29343]
在Citrix ADC SDX设备上,在管理服务中运行的SNMP代理为不存在的oid返回错误的错误代码。
[nshelp-29209]
如果数据记录总数小于5000,ADC事件表中的数据现在可以跨页排序。
[nshelp-29170]
Citrix网关
如果配置了EPA并且没有足够的内存可用,Citrix ADC设备可能会崩溃。
[nshelp-28329]
如果最初不存在/var/netscaler/logon/LogonPoint/custom/目录,则升级后不会创建该目录。
[nshelp-28223]
你可能会在ns_aaa_json.c文件中看到NS_AUDITLOG_STR*日志的额外一行。
[nshelp-28160]
VPN连接成功后不进行DNS注册。
要解决这个问题,您必须启用nsapimgr旋钮,nsapimgr_wr.sh -ys call=toggle_vpn_configured_dns_disable_override。
[nshelp-27760]
传输登录时,客户端有时会出现内网IP子网显示不正确的情况。
[nshelp-26904]
当启用L7延迟时,会话的ICA延迟在Citrix Director中被错误地记录为64,000 ms。启用L7延迟nsapimgr旋钮enable_ica_l7_latency设置为1。
[nshelp-23459]
当用户登录到Citrix Gateway设备并访问ICA应用程序时,Gateway Insight日志文件中充斥着以下消息。
GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero Oct 25 23:01:31
[ccg -19685]
Citrix Gateway门户企业书签特性仅支持以下协议。所有其他书签都被阻止。http://,https://,rdp: / /,ftp://.
[ccg -19543]
Citrix Web应用防火墙
如果您正在使用WAF签名,在升级构建之后,您必须将所有WAF签名(包括默认签名)更新到最新版本。然后重新启用需要的签名规则。
[nsswaf -8668]
在某些情况下,当bot管理系统自动生成陷阱url时,Citrix ADC设备可能会崩溃。
[nshelp-29339]
负载平衡
由于失败的命令中缺少ENUM值,GSLB服务组无法处理监视器更新。
[nshelp-29050]
Citrix ADC设备在试图释放与正在释放它的分区不同的分区中分配的内存时崩溃。
[nshelp-29038]
如果父域有ZONE类型的DNS记录,则使用已有NS记录查询子域会得到父域SOA记录而不是子域NS记录。
[nshelp-28793]
如果GSLB虚拟服务器的配置如下,Citrix ADC设备可能无法响应带有预期GSLB业务IP地址的GSLB域查询:持久化类型:源IP地址负载均衡算法:静态接近备份负载均衡方法:RTT (Round trip time)
[nshelp-28668]
如果使用通配符端口,负载均衡或基于GSLB域的自动缩放服务组状态仍为DOWN。
[nshelp-28548]
对于绑定到GSLB服务组的监视器,最后一个响应消息显示错误。
[nshelp-28393]
GET操作时cookieTimeout值设置错误,导致CS虚拟服务器更新操作失败。处理步骤
[nshelp-27979]
Citrix ADC设备在处理mysql类型的监视器探测时可能会失败,最终导致系统重新启动。
[nshelp-27953]
杂项
Citrix ADC CPX实例,运行在64位架构和1tb文件存储的Linux系统上,现在可以加载证书和密钥文件。
[nshelp-28986]
IDNA2008标准域的URL集模式匹配失败。
[nshelp-28902]
日志含义VXLAN启用MBF功能时,有状态TCP会话未建立。
[nshelp-27125]
网络
如果满足以下条件,升级具有管理分区的Citrix ADC设备可能会导致一些配置丢失:
- 如果将整个可用系统内存分配给管理分区。
[nsnet-23031]
的限制,
VLAN ID 2预留给内部使用
VLAN ID 2保留给内部使用,用于桥接和none模式的部署。Citrix ADC CPX将除0/1外的所有接口绑定到VLAN ID 2,并将VLAN ID 2的MTU (Maximum Transmission Units)设置为eth0接口的MTU。如果需要配置VLAN并绑定接口,如果接口的MTU小于1500字节,则VLAN上的MTU必须配置为Linux操作系统中接口的MTU值。
[nsnet-22807]
如果Web应用程序防火墙配置文件配置了高级安全保护检查,则处于DPDK模式的Citrix ADC BLX设备可能会崩溃。
[nsnet-22654]
如果满足以下条件,Citrix ADC设备在为相关服务创建监视探针时可能崩溃:
- 一个网络配置文件,其IP集至少有一个IPv4地址,没有IPv6地址。net配置文件绑定到监视器,监视器设置为IPv6服务。
- 一个网络配置文件,其IP集至少有一个IPv6地址,没有IPv4地址。net配置文件绑定到监视器,监视器设置为IPv4服务。
[nshelp-29382]
在Citrix ADC设备中,在内存分配失败后,被动FTP数据连接可能会丢失。
[nshelp-26522]
平台
使用VMXNET3驱动程序的Citrix ADC VPX实例可能会随机崩溃,如果该实例运行在以下Citrix ADC构建之一上:
- Citrix ADC 13.1 build 4.x
- Citrix ADC 13.1 build 9.x
[nshelp-29120]
政策
Citrix ADC设备在以下情况下可能崩溃:
- 审计消息操作使用应用于请求正文的一个或多个REGEX函数的字符串构建器表达式进行配置。
- 配置了启用流选项的应用程序防火墙配置文件。
例如,HTTP.REQ.BODY (10000000) .REGEX_SELECT (re / name = [^ \ r \ n] * [\ r \ n] + /)。
[nshelp-27895]
SSL
如果策略操作设置为,则Citrix ADC设备在处理HTTP请求时崩溃向前对于已经在请求绑定点绑定的策略。
[nshelp-29115]
如果遵循以下步骤,Citrix ADC设备将崩溃:
- 添加SSL类型的监视器。
- 监控器绑定证书密钥对。
- 显示器被拔出。
- 添加另一个具有相同名称的监视器。
- 完成证书密钥对的更新。
[nshelp-28666]
显示SAN证书中的所有IP地址。之前的SAN证书中只显示最后一个SAN IP地址。
[nshelp-27336]
如果在外部HSM中使用DH密码,则SSL握手失败。
[nshelp-25307]
系统
当Citrix ADC设备从客户端接收到HTTP/2 GOWAY帧时,它会错误地重置所有流ID大于承诺ID(上一个对等端发起的流标识符)的流。
[nshelp-29328]
在Citrix ADM上,由于ADM- agent中的问题,ADM- agent可能会报告较高的内存使用量。
[nshelp-29285]
当满足以下所有条件时,Citrix ADC设备崩溃:
- 具有服务器IP地址的内容检查操作(如果已经配置)使用服务的内部数据。
- 因此,在删除CI操作时,也会删除服务的内部数据。
- 当删除实际服务时,Citrix ADC设备将尝试访问并删除已经删除的内部数据。
[nshelp-28293]
在带有管理分区的Citrix ADC设备中,nstrace实用程序可能无法在非默认分区中正常运行
[nsbase-15738]
在集群配置中,具有CCO优先级的节点由于网络问题与Open vSwitch (OVS)断开连接。节点重新加入集群配置后,不会收到最新的SYN cookie。
[nsbase-14419]
用户界面
配置了池容量的集群模式下的ADC实例将关闭。当在集群节点中配置主机名时,如果节点在启动时花费更多时间连接到ADM许可服务器,则会发生此问题。
[nshelp-28613]
Citrix ADC GUI可能会错误地生成仅包含一个节点而不是所有集群节点的集群技术支持包。
[nshelp-28606]
使用Citrix ADC GUI生成集群技术支持包可能会失败并报错。
[nshelp-28586]
在Citrix ADC CLI界面中,如果按下按钮,绑定命令的选项不会自动填充<选项卡>同时在命令提示符中输入命令。
例如,键入以下命令,并在使用<选项卡>键,对象不是自动填充的。
bind authentication vserver .
在这里,身份验证虚拟服务器可以绑定到多种对象类型,如radius策略、Idappolicy、cert策略、TACAS策略、高级身份验证策略等。
[nsconfig-6340]
已知的问题
13.1-12.51版本中存在的问题。
演示applow
HDX Insight不会报告由于用户试图启动用户没有访问权限的应用程序或桌面而导致的应用程序启动失败。
[nsight -943]
身份验证、授权和审计
在某些情况下,如果将SSO功能与代理服务器一起使用,则会在Citrix ADC设备中观察到内存泄漏。
[nshelp-27744]
Citrix ADC设备不会验证重复的密码登录尝试,并防止帐户锁定。
[nshelp-563]
Citrix ADC GUI的登录模式编辑器界面中DualAuthPushOrOTP.xml LoginSchema没有正确显示。
[nsauth-6106]
ADFS代理概要文件可以在集群部署中配置。在发出以下命令时,代理配置文件的状态错误地显示为空白。显示adfsproxyprofile <配置文件名称>
处理:
连接到集群中的主要活动Citrix ADC,并运行显示adfsproxyprofile <配置文件名称>命令。它将显示代理概要文件状态。
[nsauth-5916]
在Citrix ADC界面中执行以下操作,“配置认证LDAP服务器”界面将无法响应。
- 打开“Test LDAP Reachability”选项。
- 填充并提交无效的登录凭据。
- 填写并提交有效的登录凭据。
处理:
关闭并打开Test LDAP Reachability选项。
[nsauth-2147]
缓存
如果启用了集成缓存特性,并且设备内存不足,则Citrix ADC设备可能会崩溃。
[nshelp-22942]
Citrix ADC SDX设备
在Citrix ADC SDX设备上,如果CLAG是在Mellanox网卡上创建的,则当VPX实例重新启动时CLAG MAC将被更改。由于MAC表中存在旧的CLAG MAC表项,重新启动后VPX实例流量停止。
[nssvm-4333]
Citrix网关
在某些情况下,当服务器证书受信任时,服务器验证代码会失败。最终用户无法访问网关。
[nshelp-28942]
有时,在断开VPN连接后,DNS解析器无法解析主机名,这是由于VPN连接断开时,DNS后缀被删除了。
[nshelp-28848]
如果macOS Keychain中没有客户端证书,则Citrix SSO for macOS客户端证书认证失败。
[nshelp-28551]
有时,当设置客户端空闲超时时,用户会在几秒钟内注销Citrix Gateway。
[nshelp-28404]
Windows插件可能在身份验证期间崩溃。
[nshelp-28394]
用于Windows的EPA插件不使用本地计算机配置的代理,而是直接连接到网关服务器。
[nshelp-24848]
Gateway Insight无法准确显示VPN用户信息。
[nshelp-23937]
如果满足以下条件,VPN插件在Windows登录后不会建立隧道:
- Citrix Gateway设备已配置为始终开启功能
- 该设备配置为使用双因素身份验证的基于证书的身份验证
从
[nshelp-23584]
有时在浏览模式时,错误消息无法读取未定义的属性“类型”出现了。
[nshelp-21897]
如果您想在Windows登录功能之前使用Always On VPN,建议升级到Citrix Gateway 13.0或更高版本。这使您能够利用发行版13.0中引入的额外增强,而这些增强在12.1发行版中是不可用的。
[ccg -19355]
由于无效的STA票证而导致的应用程序启动失败在Gateway Insight中没有报告。
[ccg -13621]
Gateway Insight报表中该值显示错误当地的而不是SAML在SAML错误失败的认证类型字段。
[cgop-13584]
在高可用性设置中,在Citrix ADC故障转移期间,SR计数递增,而不是Citrix ADM中的故障转移计数递增。
[cgop-13511]
在接受来自浏览器的本地主机连接时,macOS的“接受连接”对话框将以英语显示内容,与所选语言无关。
[cop -13050]
文本主页在Citrix SSO应用中,>首页被某些语言截断。
[cop -13049]
当您从Citrix ADC GUI添加或编辑会话策略时,将出现错误消息。
[cop -11830]
在Outlook Web App (OWA) 2013中,单击选项在“设置”菜单下显示关键的错误对话框。此外,页面将变得无响应。
[ccg -7269]
在集群部署中,如果运行强制集群同步命令时,ns.log文件中包含重复的日志项。
[cgop-6794]
负载平衡
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这是一个罕见的案例。
[nslb-7679]
中的serviceGroupName格式entityofs服务组Trap如下:> <服务(集团)名字? < ip / DBS > ?<口>
在trap格式中,服务组以IP地址或DBS名称和端口来标识。问号(?)用作分隔符。Citrix ADC发送带有问号的陷阱(?).在Citrix ADM GUI中显示的格式是相同的。这是预期的行为。
[nshelp-28080]
杂项
在高可用性设置中发生强制同步时,设备将执行设置url过滤参数命令。方法中提到的下一个计划时间之前,辅助节点将跳过任何计划更新TimeOfDayToUpdateDB参数。
[nsswg-849]
如果与URL过滤第三方供应商发生连接问题,则Citrix ADC设备可能会由于管理CPU停滞而重新启动。
[nshelp-22409]
网络
升级后从Citrix ADC BLX器具13.0 61。X构建到13.0 64。在BLX构建时,BLX配置文件上的设置将丢失。然后将BLX配置文件重置为默认值。
[nsnet-17625]
Intel不支持以下接口操作X710 10G (i40e)使用DPDK的Citrix ADC BLX设备上的接口:
- 禁用
- 启用
- 重置
[nsnet-16559]
在基于Debian的Linux主机(Ubuntu版本18及更高版本)上,Citrix ADC BLX设备始终以共享模式部署,而不管BLX配置文件(/etc/blx/blx.conf)设置。出现此问题是因为mawk在基于Debian的Linux系统上默认存在的awk命令不能运行blx.conf文件。
处理:
安装腼腆的人在安装Citrix ADC BLX设备之前。在Linux主机的命令行中执行如下命令进行安装腼腆的人:
- 安装gawk
[nsnet-14603]
Citrix ADC BLX设备可能会在基于Debian的Linux主机(Ubuntu版本18及更高版本)上安装失败,并出现以下依赖项错误:
以下包有未满足的依赖关系:blx-core-libs:i386: PreDepends: libc6:i386(>= 2.19),但它是不可安装的
处理:
在安装Citrix ADC BLX一体机之前,需要在Linux主机的命令行中执行以下命令:
- DPKG -add-architecture i386
- apt-get更新
- apt-get dist-upgrade
- 安装libc6:i386
[nsnet-14602]
在FTP数据连接的某些情况下,Citrix ADC设备仅对TCP MSS协商的数据包执行NAT操作而不执行TCP处理。因此,没有为该连接设置最优的接口MTU。不正确的MTU设置会导致报文分片,影响CPU性能。
[nsnet-5233]
在高可用性设置中,如果两个节点之间的HA版本不匹配,则不会将动态路由同步到辅助节点。如果辅助节点的可达性依赖于动态路由,则辅助节点不可达。
即使HA版本不匹配,也会将动态路由同步到备用节点。
[nshelp-28326]
当Citrix ADC设备中的管理分区内存限制被更改时,TCP缓冲内存限制将自动设置为管理分区的新内存限制。
[nshelp-21082]
平台
高可用性故障转移在AWS和GCP云中不起作用。管理CPU可能在AWS和GCP云中达到100%的容量,而思杰ADC VPX内部部署。这两个问题都是在满足以下条件时引起的:
- 在Citrix ADC设备的第一次引导期间,不保存提示的密码。
- 随后,重新启动Citrix ADC设备。
[nsplata -22013]
当您从13.0/12.1/11.1版本升级到13.1版本或从13.1版本降级到13.0/12.1/11.1版本时,Citrix ADC设备上没有安装某些python包。以下Citrix ADC版本已修复此问题:
- 13.1 - -4. x
- 13.0-82.31及以上版本
- 12.1-62.21及以上版本
当您将Citrix ADC版本从13.1-4降级时,不会安装python包。X到以下任何版本:
- 任何11.1版本
- 12.1-62.21及之前版本
- 13.0 -81年。X及更早
[nsplat-21691]
在运行版本13.1的Citrix ADC SDX设备上,提供版本12.0 XVA的VPX实例失败。
仅支持VPX 12.1及以上版本。升级SBI到13.1之前,请先升级VPX版本。
[nsplat-21442]
在Citrix ADC SDX设备上的集群设置中,如果满足以下条件,则在第二个节点和CLIP上存在CLAG MAC不匹配:
- CLAG创建在Mellanox网卡上。
- 将另一个VPX实例添加到集群和CLAG设置中。
因此,到VPX实例的流量将停止。
[nsplata -21049]
在Citrix ADC SDX设备上的集群设置中,如果满足以下条件,则由于CLIP和MAC表上的MAC地址不匹配,第一个节点会DOWN:
- CLAG创建在Mellanox网卡上。
- 从集群中删除第二个节点。
[nsplata -21042]
当您从Azure资源组中删除自动缩放设置或虚拟机规模设置时,请从Citrix ADC实例中删除相应的云配置文件配置。使用rm cloudprofile命令,删除配置文件。
[nsplatp -4520]
在Azure上的高可用性设置中,通过GUI登录到辅助节点时,会出现用于自动伸缩云配置文件配置的首次用户(FTU)屏幕。解决方案:跳过屏幕,登录到主节点以创建云配置文件。应该始终在主节点上配置云概要文件。
[nsplata -4451]
政策
如果处理数据的大小超过配置的默认TCP缓冲区大小,则连接可能挂起。解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。
[npolicy -1267]
SSL
在Citrix ADC SDX 22000和Citrix ADC SDX 26000设备的异构集群上,如果SDX 26000设备重新启动,将会丢失SSL实体的配置。
处理:
- 在CLIP上,禁用所有现有和新的SSL实体(如虚拟服务器、服务、服务组和内部服务)上的SSLv3。例如,
设置ssl vserver.-SSL3 DISABLED - 保存配置。
[nssl -9572]
以下add命令不能使用Update命令:
- 添加azure应用程序
- 添加azure密钥库
- 添加SSL certkey与hsmkey选项
[nssl -6484]
如果已经添加了身份验证Azure密钥库对象,则无法添加Azure密钥库对象。
[nssl -6478]
您可以使用相同的客户端ID和客户端秘密创建多个Azure Application实体。Citrix ADC设备不返回错误。
[nssl -6213]
在未指定KEYVAULT作为HSM类型的情况下删除HSM密钥时,将出现以下错误错误消息。ERROR: crl refresh disabled
[nssl -6106]
“会话密钥自动刷新”在集群IP地址上错误地显示为禁用。(此选项不可禁用。)
[nssl -4427]
错误的警告信息,警告:SSL vserver/服务上没有配置可用的密码,如果您试图更改SSL配置文件中的SSL协议或密码,则会出现。
[nssl -4001]
在非cco节点和HA故障转移后的HA节点上,过期的会话票据将被兑现。
[nssl -3184]
系统
如果设备没有从客户端接收到max_concurrent_stream设置帧,则MAX_CONCURRENT_STREAMS值默认设置为100。
[nshelp-21240]
mptcp_cur_session_without_subflow计数器不正确地递减为负值而不是零。
[nshelp-10972]
在处理大型gRPC流量流时,TCP通告窗口呈指数级增长,导致内存占用率高。
[nsbase-15447]
当Insight配置LogStream传输类型时,HDX Insight SkipFlow记录中的“Client IP”和“Server IP”倒置。
[nsbase-8506]
用户界面
对于MQTT Rewrite特性,您不能使用GUI中的expression Editor删除表达式。
处理:
通过CLI使用MQTT类型的添加或编辑操作命令。
[nsui-18049]
在Citrix ADC GUI中帮助链接载于指示板TAB坏了。
[nsui-14752]
创建/监控CloudBridge连接器向导可能会变得无响应或配置CloudBridge连接器失败。
处理:
通过Citrix ADC GUI或CLI配置cloudbridge连接器,添加IPSec安全框架、IP隧道和策略路由规则。
[nsui-13024]
通过图形化界面创建ECDSA密钥时,不显示曲线类型。
[nsui-6838]
在高可用性设置中,如果满足以下条件,VPN用户会话将断开:
- 在HA同步过程中,如果连续两次或两次以上手动进行HA failover操作。
处理:
待HA同步完成(节点状态均为“Sync success”)后,再手动进行HA倒换操作。
[nshelp-25598]
当您降级Citrix ADC设备13.0-71版本时。x到早期版本,一些Nitro api可能无法工作,因为文件权限更改。
处理:
更改权限/ nsconfig ns.conf到644年。
[nsconfig-4628]
如果您(系统管理员)在Citrix ADC设备上执行以下所有步骤,系统用户可能无法登录降级的Citrix ADC设备。
- 将Citrix ADC设备升级到其中一个版本:
- 13.0 52.24构建
- 12.1 57.18 build
- 11.1 65.10 build
- 新增系统用户或修改已有系统用户密码,并保存配置
- 将Citrix ADC设备降级为任何旧版本。
使用命令行显示系统用户列表:在命令提示符下输入:
查询ns config -changedpassword [-config <配置文件(ns.conf)全路径>]
处理:
若要修复此问题,请使用以下独立选项之一:
- 如果Citrix ADC设备尚未降级(上述步骤中的步骤3),请使用以前备份的相同版本的配置文件(ns.conf)降级Citrix ADC设备。
- 任何在升级版本上没有修改密码的系统管理员都可以登录到降级版本,并更新其他系统用户的密码。
- 如果以上选项都无效,系统管理员可以重置系统用户密码。
[nsconfig-3188]