Citrix ADC 13.1-17.42版本发布说明
本发行说明文档描述了Citrix ADC发行版Build 13.1-17.42的增强和更改、固定和已知问题。
笔记
此发布说明文档不包括与安全相关的修复。有关与安全相关的修复程序和建议的列表,请参阅Citrix安全公告。
有什么新鲜事
Build 13.1-17.42中提供的增强和更改。
机器人管理
支持IPv6寻址
Citrix ADC机器人管理现在支持Internet协议版本6 (IPv6)寻址机器人检测技术。
[nsbot-690]
Citrix网关
Citrix网关上用于EDT的DF位传播
Citrix Gateway设备现在支持EDT路径最大传输单元发现(PMTUD)特性的DF位强制。pmtu发现特性有助于在建立EDT会话时动态确定最大传输单元MTU (maximum transmission unit)。DF位强制可以防止可能导致性能下降或无法建立会话的EDT碎片。
在早期版本中,Citrix Gateway支持EDT路径MTUD,但不支持DF位强制。
[ccg -18438]
Citrix Web应用防火墙
增强了对学习多个跨站点脚本(XSS)违规的支持
Citrix Web App Firewall学习过程现已得到增强,以减少跨站点脚本攻击中的误报。
通过启用学习,您可以了解请求中的所有违规行为,并可能一次性对所有标签/属性/模式应用松弛。以前,您一次只能报告一个违规行为,并且对于多个违规行为必须重复该过程。
例如,如果一个有效负载中有15个自定义标记,每个都会导致违规,那么您可以对第一个违规应用松弛,并运行请求将另一个自定义标记标记为违规。必须重复此过程,以便逐个为所有自定义标记应用松弛。
[nsswaf -7545]
负载平衡
选项启用或禁用LB和GSLB自动伸缩服务组的成员
您现在可以直接启用或禁用LB或GSLB(基于dns的)自动伸缩服务组的特定成员。因此,管理LB或GSLB(基于dns的)自动缩放服务组现在变得更容易了。
以前,您必须启用或禁用整个LB或GSLB自动伸缩服务组才能启用或禁用单个成员。只有非自动伸缩服务组才有启用或禁用单个成员的选项。
[nslb-8109]
网络
ISSU统计增强
ISSU统计信息中添加了以下两个增强:
- 一个选项
dumpsession(转储会话)已添加到显示迁移操作显示旧主节点当前正在服务的现有连接的列表。控件显示迁移操作dumpsession选项必须仅在新的主节点上运行。 - show migration操作(没有任何选项)现在显示与ISSU迁移操作相关的以下附加信息:
- 作为ISSU迁移操作一部分处理的连接总数
- 作为ISSU迁移操作的一部分正在处理的剩余连接数
[nsnet-23577]
监视Citrix ADC设备上使用SNMP进行后端连接的端口使用情况
您可以使用PORT-ALLOC-EXCEEDSNMP告警,用于监控Citrix ADC设备的后端连接端口使用情况。
PORT-ALLOC-EXCEEDSNMP告警包括高阈值而且normal-threshold参数,指定Citrix所有IP地址的端口总数的百分比。例如,如果高阈值参数设置为90时,当发生以下事件时,Citrix ADC设备生成并发送trap消息:
- 当任何Citrix ADC拥有的后端连接IP地址上的端口分配百分比超过90%时
如果可用的空闲端口即将耗尽,SNMP警报可以帮助您决定是否需要更多Citrix拥有的IP地址。
[nsnet-21719]
GENEVE协议支持
Citrix ADC设备现在支持RFC 8926中定义的通用网络虚拟化封装(GENEVE)协议。
服务器虚拟化和云计算架构增加了数据中心对隔离的第二层网络的需求。4094的VLAN限制已被证明是不够的,因此引入了VXLAN和NVGRE等封装协议来克服这一限制。
这些协议的主要区别在于控制平面的实现。GENEVE协议没有定义控制平面的规格。协议留给实现来定义控制平面规范。
GENEVE协议是一种封装技术,旨在通过封装UDP数据包中的二层帧,在三层基础设施上创建二层覆盖网络。每个VLAN由一个称为VNID的唯一24位标识符标识。只有在同一段ID (VNID)内才能相互通信。
Citrix ADC设备支持UDP端口6081上的GENEVE封装。
[nsnet-21717]
以专用模式配置对运行Citrix BLX设备的Linux主机的SSH访问
默认情况下,不能通过专用设备的专用接口以专用模式对运行Citrix BLX设备的Linux主机进行SSH访问。
您可以通过Citrix ADC BLX设备的专用接口配置对Linux主机的SSH访问。该特性在以专用模式运行Citrix BLX设备的单接口Linux主机中非常有用。
可以通过以下两种方式配置SSH直接访问Linux主机:
- 在Citrix ADC BLX设备的Citrix ADC IP (NSIP)的9022端口上提供SSH访问。-
:9022 - 在Citrix ADC IP (NSIP)子网中定义一个新的IP地址,并在22端口上提供SSH访问。-
< Citrix ADC IP地址(NSIP)子网>:22中的新IP地址而且,Linux主机上的所有其他端口都可以使用新的IP地址访问。例如,rsyslog运行在Linux主机上端口514/UDP的服务器现在在新IP地址的端口514上可达。
[nsnet-21586]
具有DPDK端口的Citrix ADC BLX设备的简化部署
使用DPDK端口部署Citrix ADC BLX设备的过程已通过以下增强得到简化:
- Citrix ADC BLX设备现在使用用DPDK 20.11.1版本编译的库。设备自动在Linux主机上加载DPDK VFIO内核模块。
- 的
dpdk-config参数已从Citrix ADC BLX配置中删除(blx.conf)文件。现有的工作进程参数现在也适用于带DPDK端口的Citrix ADC BLX设备。的工作进程指定Citrix ADC BLX设备的数据包引擎数量。换句话说,工作进程是Citrix ADC BLX设备的通用参数,而不考虑其模式(共享、专用或DPDK)。如果工作进程,则Citrix ADC BLX设备默认配置1个包引擎。 - 的
接口参数现在指定除了非DPDK网卡端口外,DPDK兼容的网卡端口。Citrix ADC BLX设备自动从指定的端口列表中检测DPDK兼容的网卡端口(如果有的话)接口参数。然后,设备将检测到的DPDK兼容的NIC端口绑定到Linux主机上的DPDK VFIO模块。启动Citrix ADC BLX设备后,DPDK和非DPDK网卡端口将自动添加为设备的一部分。 - 的
dpdk-non-uio-intf参数,用于指定DPDK绑定的Mellanox网卡端口,已从Citrix ADC BLX配置中删除(blx.conf)文件。的接口参数现在指定Mellanox NIC端口在Citrix ADC BLX设备中用作DPDK端口。在为Citrix ADC BLX设备指定Mellanox NIC端口之前,必须在Linux主机上安装Mellanox OFED DPDK库和内核模块。Citrix ADC BLX设备自动检测指定的Mellanox NIC端口并以DPDK模式初始化它们。启动Citrix ADC BLX设备后,将DPDK绑定的Mellanox NIC端口添加为设备的一部分。 - 新参数
total-hugepage-mem已引入Citrix ADC BLX配置(blx.conf)文件,以设置hugepagesLinux主机上的DPDK。的total-hugepage-mem参数指定hugepages大小以MB或GB为单位(例如1024mb和2gb)。 - 在升级具有DPDK端口的Citrix ADC BLX设备时,升级模块自动将现有配置转换为Citrix ADC BLX配置中的新格式(
blx.conf)文件。
[nsnet-20524]
监视Citrix ADC设备上可用的空闲端口,以便建立新的后端连接
对于与物理服务器或其他对等设备的通信,Citrix ADC设备使用Citrix拥有的IP地址作为源IP地址。Citrix ADC设备维护一个IP地址池,并在与服务器连接时动态选择一个IP地址。根据物理服务器所在的子网,设备决定使用哪个IP地址。该地址池用于发送流量探测和监控探测。
您可以显示Citrix ADC拥有的IP地址上用于新的后端连接的空闲端口总数。如果可用的空闲端口即将耗尽,此信息可以帮助您决定是否需要更多Citrix拥有的IP地址。
您可以为Citrix ADC设备提供以下信息,以计算新的后端连接可用的空闲端口总数:
- Citrix拥有的IP地址(可选)
- 目的IP地址
- 目的港
- TCP或非TCP协议
[nsnet-20410]
平台
在KVM管理程序上的Citrix ADC设备的第一次引导时支持Citrix ADC VPX配置
现在,您可以在KVM管理程序上的Citrix ADC设备的首次引导期间应用Citrix ADC VPX配置。因此,可以在更短的时间内配置VPX实例上的客户设置。
[nsplat-21571]
在备份操作期间,从Citrix ADC管理分区中排除nstrace文件夹
在具有admin分区的Citrix ADC设备中,不包括nstrace文件夹的备份操作。这降低了Citrix ADC的整体备份大小,而不会丢失重要数据。
[nsplat-21433]
政策
支持CIDR子网表示法在IPv4和IPv6地址的策略数据集
IPv4和IPv6地址的策略数据集现在允许绑定值为使用CIDR符号的子网(例如,a.b.c.d/n)。CIDR表示子网的地址和范围。以前,在策略数据集中没有添加子网的选项。
[npolicy -3828]
SSL
在Citrix ADC设备上禁用前端SSL服务上的非安全协议
当Citrix ADC设备启动时,标准安全扫描可能会触发前端SSL服务上默认创建的非安全协议警报。为了避免此类警报,现在在设备启动时,前端SSL服务默认禁用了这些协议。不安全协议的例子有SSLv3、TLv1和TLSv1.1。
当启用默认SSL配置文件时,将创建一个新的SSL配置文件,其中禁用这些协议。这个新的配置文件绑定到前端SSL服务(ns_default_ssl_profile_internal_frontend_service)。该配置文件是可编辑的。
[nssl -9985]
支持使用RSASSA-PSS算法签署的证书
所有Citrix ADC平台现在都支持使用RSASSA-PSS算法签名的证书。这些算法在X.509证书路径验证中得到支持。
[nssl -9289]
固定的问题
Build 13.1-17.42中解决的问题。
身份验证、授权和审计
如果ADFSPIP URL被设置为type, Citrix ADC设备将崩溃http://.只支持ADFSPIPhttps://URL类型。
[nshelp-29838]
如果请求处理中有显著延迟,Citrix ADC设备可能会在SAML IdP流期间崩溃。
[nshelp-29789]
重写端点的策略,例如/logon/LogonPoint/Resources/List和/cgi/Resources/List不支持。
[nshelp-29488]
在极少数情况下,Citrix ADC设备可能会由于日志位置不正确而崩溃。
[nshelp-29267]
Citrix ADC设备配置为使用OAuth服务提供程序进行身份验证,不能配置为' client-secrete_post '以使用IDP tokenEndPoint进行身份验证。
通过此修复,身份验证方法client_secret_basic当ADC与IDP的令牌端点通信时,添加到ADC的OAuth服务提供者特性。
[nshelp-28945]
当SAML身份验证正在进行,并且SAML身份验证中使用了大小为1800字节或更大的X.509证书时,Citrix ADC设备可能无法响应。
[nshelp-28608]
当用户密码过期时,在多核Citrix ADC设备中,Authentication、authorization和auditing.USER.ATTRIBUTE表达式可能会给出一个空值。
[nshelp-28419]
Citrix ADC设备在配置为OAuth依赖方时,不会将从ID令牌提取的“电子邮件”和“用户名”字段信息添加到身份验证、授权和审计会话的散列属性中。
[nshelp-28262]
在配置SAML元数据时,使用SSL证书将观察到内存泄漏。
[nshelp-27846]
当用户执行SAML注销时,不会立即注销,并显示以下错误信息:
断言中发现不受支持的机制;请与管理员联系。
之所以出现此错误,是因为客户配置的IDP使用不同的URL编码技术对响应中的签名算法参数进行编码。此修复现在支持使用多种URL编码技术对SAML响应中的签名算法参数进行编码。
[nshelp-27621]
有时,如果配置了nFactor,注销消息中会记录错误的IP地址。
[nshelp-26692]
如果同时满足以下两个条件,Citrix ADC设备将崩溃。
- 配置邮件OTP
- 邮件服务器没有响应或邮件服务器有网络问题
[nshelp-26137]
在高可用性设置中,当强制同步启动时,Citrix ADC设备崩溃。
[nsauth-11876]
Android 11及更高版本不支持Intune NAC v2。
[nsauth-11872]
如果密码包含特定的特殊字符,或者参数中有空格,管理员就不能使用LDAP或RADIUS连接工具。
[nsauth-11322]
机器人管理
当CAPTCHA查问正在进行时,Citrix ADC机器人管理不支持用户为CAPTCHA重试尝试设置的配置值。
[nsbot-801]
CallHome
对于使用池授权的Citrix ADC MPX设备,CallHome注册可能失败。注册失败,因为CallHome在向Citrix支持服务器注册设备时使用了错误的序列号。
[nshelp-28667]
Citrix ADC SDX设备
从备份恢复Citrix ADC SDX设备时,不会恢复CLI提示符字符串。
[nshelp-30238]
在Citrix ADC SDX 115xx设备上,如果设备备份包含三个或更多实例,则恢复分配了大量CPU核(3-5核)的VPX可能会失败。
[nshelp-30135]
在Citrix ADC SDX设备上,在上引起警报的默认值虚拟化环境磁盘使用率高警报增加到98%。
[nshelp-29688]
当接口速率值大于4gbps时,由于整数溢出返回错误值。
[nshelp-29658]
在极少数情况下,Citrix ADC SDX设备上不会出现ADC库存。
[nshelp-29607]
在Citrix ADC SDX设备上,如果电源、电压或磁盘故障发生多次,管理服务不会发送syslog或电子邮件通知。
[nshelp-29443]
Citrix网关
用户升级到Chrome 98或Edge 98浏览器版本后,无法启动EPA插件和VPN插件。要解决此问题,请执行以下操作:
- 对于VPN插件升级,最终用户必须第一次使用VPN客户端进行连接,以便在其计算机上获得修复。在随后的登录尝试中,用户可以选择要连接的浏览器或插件。
对于EPA仅用例,终端用户将没有VPN客户端连接到网关。此时,请执行以下操作:
- 通过浏览器连接到网关。
- 等待下载页面出现并下载nsepa_setup.exe。
- 下载完成后,请关闭浏览器,安装nsepa_setup.exe文件。
- 重新启动客户端。
[nshelp-30641]
在具有TCP SYSLOG配置的高可用性设置中,节点可能在HA故障转移期间或在清除配置操作期间崩溃。
[nshelp-29251]
在Citrix Gateway门户页面中,RDP代理链路图标不会随rfweb门户主题而改变。
[nshelp-28974]
将Citrix Gateway设备升级到13.0版本后,会话概要文件中的代理配置无法正常工作。配置非http NS代理时,会跳过Proxy连接。
示例:add vpn sessionAction-proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24
在本例中,-httpProxy正常工作,但-sslProxy无效。
[nshelp-28640]
Citrix Gateway设备在DTLS Audio中处理STA时崩溃,因为分配的内存没有重置。
[nshelp-28432]
Citrix ADC设备会记录与已弃用的VPND进程相关的过时消息。
[nshelp-28163]
通过备份负载均衡虚拟服务器访问StoreFront时,通过VPN虚拟服务器访问StoreFront失败。
[nshelp-27852]
Citrix Gateway设备在重新连接到现有ICA会话时可能会崩溃。
[nshelp-27441]
不能通过GUI解除经典授权策略的绑定。用户可以通过CLI解除认证授权和审计授权策略的绑定。
有了这个修复,现在可以使用GUI解除授权策略的绑定。
[nshelp-27064]
Citrix Web应用防火墙
升级到XML库版本2.9.12会导致解析过程中与WAF签名相关的XML文件中断。
[nsswaf -8662]
出现JSON命令注入保护不阻塞在ns.log消息中,即使HTTP请求被Web应用程序防火墙模块阻止。
[nshelp-29709]
Web应用程序防火墙日志信息显示:坏的URL对于跨站脚本(XSS) URL属性违反,以及术语坏的URL不清楚它属于哪个类别(如标记、模式或属性)。
[nshelp-29358]
如果在SSL类型的负载均衡虚拟服务器上启用了bot管理策略,则bot设备指纹发布URL可能会失败。
[nshelp-29198]
Web应用程序防火墙签名ID 1048阻止加载Citrix Gateway页面。
[nshelp-29113]
如果启用以下模块,Citrix ADC设备可能会崩溃:
- 具有高级安全检查的Web应用程序防火墙。
- Appqoe。
[nshelp-28251]
负载平衡
当Autoscale类型的DNS服务组中有成员处于TROFS状态时,如果该成员再次加入该组,则该成员的状态不会被传播。
[nshelp-29493]
的增量同步失败添加DNS动作而且添加的位置策略表达式包含通配符的命令。
[nshelp-29301]
当静态绑定的成员与动态解析的DNS记录冲突时,某些服务组成员不会从“自动伸缩”服务组列表中删除。此问题会导致内存损坏。
[nshelp-28949]
使用show和stat命令查看的服务组状态不一致。
[nshelp-28931]
在极少数情况下,配置(ns.conf)文件中可能缺少位置数据库配置。
[nshelp-28570]
当对等端发送重置现有连接的请求时,SQL或Oracle类型的监视器崩溃。
[nshelp-28478]
在启用持久化的部署中,在上下文保存期间存储了不正确的虚拟服务器。
[nshelp-28342]
在HA故障切换后或Citrix ADC设备重新启动时,LB组的持久性配置将丢失。
[nshelp-28071]
即使默认监控器绑定到服务,默认监控器的配置状态也显示为禁用。
[nshelp-27669]
杂项
将设备升级到Citrix ADC version 12.1 build 63.22后,出现以下问题:
- 扩展查找API在升级后可能无法工作。
[nshelp-29860]
网络
如果满足以下所有条件,Citrix ADC设备可能会崩溃:
- 在设备上的流量域中配置负载均衡路由。
- 在设备上执行明确的配置操作。
[nsnet-23847]
在大规模NAT44设置中,Citrix ADC设备在接收SIP流量时可能会崩溃,原因如下:
- LSN模块在减少引用计数或删除服务时找不到该服务。
[nshelp-29134]
在大规模NAT44部署中,Citrix ADC设备可能在接收SIP流量时崩溃,原因如下:
- LSN模块访问了已经删除的服务的内存位置。
[nshelp-28815]
在具有偶数个包引擎(PE)的Citrix ADC设备中,该设备错误地将活动接口的状态显示为冗余接口集(LR通道)的非活动状态。此问题不会影响Citrix ADC设备的任何功能。
[nshelp-28099]
Citrix ADC设备可能无法生成冷起动冷重启后的SNMP trap消息。
[nshelp-27917]
平台
的ntpdate命令崩溃导致核心转储。
[nshelp-29649]
SSL
如果使用EXPORT密码套件,Citrix ADC MPX 7500设备将崩溃。
[nssl -11294]
在极少数情况下,您可能会在以下平台上的DTLS处理过程中看到崩溃:
- MPX 5900
- MPX /有关8900
- MPX /有关15000
- MPX /有关15000 - 50 g
- MPX /有关26000
- MPX / 26000 - 50年代有关
- MPX /有关26000 - 100 g
[nshelp-29538]
在高可用性设置中,主节点和辅助节点之间的证书类型没有正确同步。
[nshelp-27589]
在VPN部署中,Citrix ADC设备从缓存中获取SSL会话,用于会话重用,以便与代理或后端服务器通信。它不会将从客户端接收到的SNI与缓存会话中的SNI进行匹配。
结果,要么不发送SNI,要么根据缓存的数据发送不同的SNI。
[nshelp-27439]
系统
在Citrix ADC设备为入侵防御系统(IPS)资源清理分配的内存时,观察到内存泄漏。
[nshelp-29992]
在Citrix ADC集群部署中,将SSL概要文件和SSL证书密钥与HTTP QUIC虚拟服务器关联的配置操作可能会失败。
[nshelp-29655]
如果满足以下条件,同一客户端连接上的第二次请求将失败:
- 启用clientSideMeasurements。
- 收到HEAD请求。
[nshelp-29353]
在某些情况下,Citrix ADC设备可能在以下条件下崩溃:
- 使用TCP巨帧。
- 持久性是在TCP负载均衡虚拟服务器上配置的。
[nshelp-29162]
如果满足以下条件,Citrix ADC设备将崩溃:
- 在AppFlow操作上启用了客户端测量选项。
- 块报头落在数据包边界上。
[nshelp-29049]
如果HTTP管道(一个或多个请求)大小超过128 KB, Citrix ADC设备将重置连接。出现这个问题是因为管道大小被严格限制为128 KB。
[nshelp-28846]
Citrix ADC入侵防御系统(IPS)在插入或修改数据时,如果满足以下条件,会检测到重写策略有问题:
- Citrix ADC设备在后端服务器连接打开之前将数据包发送到IPS服务器。
[nshelp-28496]
在高可用性设置中,管理分区配置的HA同步在辅助节点上失败,原因如下:
- 次要节点上的巨大配置负载导致的低内存问题
[nshelp-28409]
当客户端使用多个TCP流重置连接时,服务器端事务记录不会发送,这将导致这些数据流的L4记录丢失。
[nshelp-28281]
在TCP连接中,如果满足以下所有条件,Citrix ADC设备可能会丢弃从服务器接收的FIN数据包,而不是将其转发给客户端:
- 开启TCP缓冲功能。
- 服务器分别发送FIN报文和data报文。
[nshelp-27274]
在集群设置中,设置ratecontrol命令仅在重启Citrix ADC设备后生效。
[nshelp-21811]
当Citrix ADC设备接收到一个设置了FIN标志的无序TCP包时,可能会观察到以下问题:
- Citrix ADC设备发送了一个错误的SACK,表示设备收到了一个2字节而不是1字节的无序TCP数据包。
- Citrix ADC设备不通过接收按顺序的TCP数据包来确认TCP FIN数据包。
[nsbase-15735]
用户界面
由于没有提示确认,您可能会意外地断开SSL证书的链接。有了此修复,当用户单击链接的证书时,会在取消链接之前提示确认。
[nsui-17897]
使用Citrix ADC GUI修改基于ACL的RNAT规则,该规则已经启用了连接故障转移,可能会失败,并出现以下错误:
无效参数值[connfailover]
[nshelp-29243]
在使用Citrix ADC GUI配置或检查SSL证书时,出现错误目录不存在可能会出现。当文件名中有两个连续的点(..)存在于SSL文件夹/ nsconfig / ssl.
[nshelp-28589]
在高可用性设置中,如果在主节点上修改了内置策略模式集,则内置策略模式集绑定的HA同步可能会失败。
[nshelp-28460]
当您在ADC GUI中取消为RPC节点选择安全选项时,出现以下错误消息:
参数先决条件缺失[validateCert, secure==YES]
[nshelp-28239]
当用户试图在侧面板视图中更改列表的页面大小时,页面就会失真。
[nshelp-28220]
如果某些SSL命令的参数中使用了特殊字符,则会错误地引入额外的反斜杠字符,例如创建SSL rsakey而且创建SSL证书.
[nshelp-27378]
带interface (-I)选项的ping或ping6命令可能会失败,报错如下:
不支持接口选项
[nshelp-26962]
已知的问题
13.1-17.42版本中存在的问题。
演示applow
HDX Insight不会报告由于用户试图启动用户没有访问权限的应用程序或桌面而导致的应用程序启动失败。
[nsight -943]
身份验证、授权和审计
Citrix ADC设备不会验证重复的密码登录尝试,并防止帐户锁定。
[nshelp-563]
Citrix ADC GUI的登录模式编辑器界面中DualAuthPushOrOTP.xml LoginSchema没有正确显示。
[nsauth-6106]
ADFS代理概要文件可以在集群部署中配置。在发出以下命令时,代理配置文件的状态错误地显示为空白。显示adfsproxyprofile <配置文件名称>
处理:
连接到集群中的主要活动Citrix ADC,并运行显示adfsproxyprofile <配置文件名称>命令。它将显示代理概要文件状态。
[nsauth-5916]
在Citrix ADC界面中执行以下操作,“配置认证LDAP服务器”界面将无法响应。
- 打开“Test LDAP Reachability”选项。
- 填充并提交无效的登录凭据。
- 填写并提交有效的登录凭据。
处理:
关闭并打开Test LDAP Reachability选项。
[nsauth-2147]
缓存
如果启用了集成缓存特性,并且设备内存不足,则Citrix ADC设备可能会崩溃。
[nshelp-22942]
Citrix ADC SDX设备
在Citrix ADC SDX设备上,如果CLAG是在Mellanox网卡上创建的,则当VPX实例重新启动时CLAG MAC将被更改。由于MAC表中存在旧的CLAG MAC表项,重新启动后VPX实例流量停止。
[nssvm-4333]
Citrix网关
在某些情况下,当服务器证书受信任时,服务器验证代码会失败。最终用户无法访问网关。
[nshelp-28942]
在Citrix Gateway高可用性设置中,如果启用了Gateway Insight,辅助节点可能会崩溃。
[nshelp-28856]
如果macOS Keychain中没有客户端证书,则Citrix SSO for macOS客户端证书认证失败。
[nshelp-28551]
有时,当设置客户端空闲超时时,用户会在几秒钟内注销Citrix Gateway。
[nshelp-28404]
在高可用性设置中,如果满足以下条件,VPN用户会话将断开:
- 在HA同步过程中,如果连续两次或两次以上手动进行HA failover操作。
处理:
待HA同步完成(节点状态均为“Sync success”)后,再手动进行HA倒换操作。
[nshelp-25598]
用于Windows的EPA插件不使用本地计算机配置的代理,而是直接连接到网关服务器。
[nshelp-24848]
Gateway Insight无法准确显示VPN用户信息。
[nshelp-23937]
如果满足以下条件,VPN插件在Windows登录后不会建立隧道:
- Citrix Gateway设备已配置为始终开启功能
- 该设备配置为使用双因素身份验证的基于证书的身份验证
从
[nshelp-23584]
有时在浏览模式时,错误消息无法读取未定义的属性“类型”出现了。
[nshelp-21897]
如果您想在Windows登录功能之前使用Always On VPN,建议升级到Citrix Gateway 13.0或更高版本。这使您能够利用发行版13.0中引入的额外增强,而这些增强在12.1发行版中是不可用的。
[ccg -19355]
由于无效的STA票证而导致的应用程序启动失败在Gateway Insight中没有报告。
[ccg -13621]
Gateway Insight报表中该值显示错误当地的而不是SAML在验证类型字段用于SAML错误失败。
[cgop-13584]
在高可用性设置中,在Citrix ADC故障转移期间,SR计数递增,而不是Citrix ADM中的故障转移计数递增。
[cgop-13511]
在接受来自浏览器的本地主机连接时,接受连接对话框(macOS)以英文显示内容,与所选语言无关。
[cop -13050]
文本主页在Citrix SSO应用> Home对于某些语言,页面被截断。
[cop -13049]
当您从Citrix ADC GUI添加或编辑会话策略时,将出现错误消息。
[cop -11830]
在Outlook Web App (OWA) 2013中,单击选项下设置菜单显示关键的错误对话框。此外,页面将变得无响应。
[ccg -7269]
在集群部署中,如果运行强制集群同步命令时,ns.log文件中包含重复的日志项。
[cgop-6794]
负载平衡
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这是一个罕见的案例。
[nslb-7679]
中的serviceGroupName格式entityofs服务组Trap如下:> <服务(集团)名字? < ip / DBS > ?<口>
在trap格式中,服务组以IP地址或DBS名称和端口来标识。问号(?)用作分隔符。Citrix ADC发送带有问号的陷阱(?).在Citrix ADM GUI中显示的格式是相同的。这是预期的行为。
[nshelp-28080]
杂项
在高可用性设置中发生强制同步时,设备将运行设置url过滤参数命令。方法中提到的下一个计划时间之前,辅助节点将跳过任何计划更新TimeOfDayToUpdateDB参数。
[nsswg-849]
如果与URL过滤第三方供应商发生连接问题,则Citrix ADC设备可能会由于管理CPU停滞而重新启动。
[nshelp-22409]
网络
如果满足以下所有条件,具有DPDK的Citrix ADC BLX设备可能无法重新启动:
- Citrix ADC BLX设备分配了少量的
hugepages.例如,1G。 - Citrix ADC BLX设备被分配了大量的工作进程。例如,28。
该问题将作为错误消息记录在日志中/var/log/ns.log:
BLX-DPDK:无法为PE-x初始化DPDK Mempool
注意:x是一个数字<=工作进程的数量。
处理:
分配大量的hugepages然后重新启动设备。
[nsnet-25173]
如果满足以下条件,具有DPDK的Citrix ADC BLX设备可能无法重新启动:
- Citrix ADC BLX设备被分配了大量的
hugepages.例如,16gb。
该问题将作为错误消息记录在日志中/var/log/ns.log:
EAL: rte_mem_virt2phy():无法打开/proc/self/pagemap:打开文件太多
处理:
请使用以下解决方法之一解决此问题:
- 方法来增加Linux主机上的打开文件限制
ulimit命令或编辑limits.conf文件。 - 减少分配的数量
hugepages.
[nsnet-24727]
由于DPDK的易用性功能,Citrix ADC BLX设备在DPDK模式下可能需要较长时间重新启动。
[nsnet-24449]
升级后从Citrix ADC BLX器具13.0 61。X构建到13.0 64。在BLX构建时,BLX配置文件上的设置将丢失。然后将BLX配置文件重置为默认值。
[nsnet-17625]
Intel不支持以下接口操作X710 10G (i40e)使用DPDK的Citrix ADC BLX设备上的接口:
- 禁用
- 启用
- 重置
[nsnet-16559]
在基于Debian的Linux主机(Ubuntu版本18及更高版本)上,Citrix ADC BLX设备始终以共享模式部署,而不管BLX配置文件(/etc/blx/blx.conf)设置。出现此问题是因为mawk,它在基于Debian的Linux系统上默认存在,不能运行某些awk中出现的命令blx.conf文件。
处理:
安装腼腆的人在安装Citrix ADC BLX设备之前。在Linux主机的命令行中执行如下命令进行安装腼腆的人:
- 安装gawk
[nsnet-14603]
Citrix ADC BLX设备可能会在基于Debian的Linux主机(Ubuntu版本18及更高版本)上安装失败,并出现以下依赖项错误:
以下包有未满足的依赖关系:blx-core-libs:i386: PreDepends: libc6:i386(>= 2.19),但它是不可安装的
处理:
在安装Citrix ADC BLX一体机之前,需要在Linux主机的命令行中执行以下命令:
- DPKG -add-architecture i386
- apt-get更新
- apt-get dist-upgrade
- 安装libc6:i386
[nsnet-14602]
在FTP数据连接的某些情况下,Citrix ADC设备仅对TCP MSS协商的数据包执行NAT操作而不执行TCP处理。因此,没有为该连接设置最优的接口MTU。不正确的MTU设置会导致报文分片,影响CPU性能。
[nsnet-5233]
当Citrix ADC设备中的管理分区内存限制被更改时,TCP缓冲内存限制将自动设置为管理分区的新内存限制。
[nshelp-21082]
平台
高可用性故障转移在AWS和GCP云中不起作用。管理CPU可能在AWS和GCP云中达到100%的容量,而思杰ADC VPX内部部署。这两个问题都是在满足以下条件时引起的:
- 在Citrix ADC设备的第一次引导期间,不保存提示的密码。
- 随后,重新启动Citrix ADC设备。
[nsplata -22013]
当您从13.0/12.1/11.1版本升级到13.1版本或从13.1版本降级到13.0/12.1/11.1版本时,Citrix ADC设备上没有安装某些python包。以下Citrix ADC版本已修复此问题:
- 13.1 - -4. x
- 13.0-82.31及以上版本
- 12.1-62.21及以上版本
当您将Citrix ADC版本从13.1-4降级时,不会安装python包。X到以下任何版本:
- 任何11.1版本
- 12.1-62.21及之前版本
- 13.0 -81年。X及更早
[nsplat-21691]
在Citrix ADC SDX设备上的集群设置中,如果满足以下条件,则在第二个节点和CLIP上存在CLAG MAC不匹配:
- CLAG创建在Mellanox网卡上。
- 将另一个VPX实例添加到集群和CLAG设置中。
因此,到VPX实例的流量将停止。
[nsplata -21049]
在Citrix ADC SDX设备上的集群设置中,如果满足以下条件,则由于CLIP和MAC表上的MAC地址不匹配,第一个节点会DOWN:
- CLAG创建在Mellanox网卡上。
- 从集群中删除第二个节点。
[nsplata -21042]
当您从Azure资源组中删除自动缩放设置或VM规模设置时,请从Citrix ADC实例中删除相应的云配置文件配置。使用rm cloudprofile命令,删除配置文件。
[nsplatp -4520]
在Azure上的高可用性设置中,通过GUI登录到辅助节点时,将出现用于自动缩放云配置文件配置的首次用户(FTU)屏幕。解决方案:跳过屏幕,登录到主节点以创建云配置文件。始终在主节点上配置云配置文件。
[nsplata -4451]
现象描述RPC节点密码中包含特殊字符,导致GCP和AWS云上Citrix ADC VPX实例HA故障切换失败。
[nshelp-28600]
政策
如果处理数据的大小超过配置的默认TCP缓冲区大小,则连接可能挂起。解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。
[npolicy -1267]
SSL
在Citrix ADC SDX 22000和Citrix ADC SDX 26000设备的异构集群上,如果SDX 26000设备重新启动,将会丢失SSL实体的配置。
处理:
- 在CLIP上,禁用所有现有和新的SSL实体(如虚拟服务器、服务、服务组和内部服务)上的SSLv3。例如,
设置ssl vserver.-SSL3 DISABLED - 保存配置。
[nssl -9572]
如果已经添加了身份验证Azure密钥库对象,则无法添加Azure密钥库对象。
[nssl -6478]
您可以使用相同的客户端ID和客户端秘密创建多个Azure Application实体。Citrix ADC设备不返回错误。
[nssl -6213]
在未指定密钥库作为HSM类型的情况下删除HSM密钥时,将出现以下错误错误消息。ERROR: crl refresh disabled
[nssl -6106]
“会话密钥自动刷新”在集群IP地址上错误地显示为禁用。(此选项不可禁用。)
[nssl -4427]
错误的警告信息,警告:SSL vserver/服务上没有配置可用的密码,如果您试图更改SSL配置文件中的SSL协议或密码,则会出现。
[nssl -4001]
在非cco节点和HA故障转移后的HA节点上,过期的会话票据将被兑现。
[nssl -3184]
系统
属性时,MAX_CONCURRENT_STREAMS值默认设置为100max_concurrent_stream来自客户端的设置帧。
[nshelp-21240]
mptcp_cur_session_without_subflow计数器不正确地递减为负值而不是零。
[nshelp-10972]
在Citrix ADC GUI上生成PCI DSS报告时观察到一个问题(导航:系统>报表>生成PCI DSS报表).
[nsbase-16225]
当Insight配置LogStream传输类型时,HDX Insight SkipFlow记录中的“Client IP”和“Server IP”倒置。
[nsbase-8506]
Citrix ADC设备丢弃包含自定义HTTP报头的数据包,报头名称字段中有一个点(“。”)字符。发生此操作是因为allowOnlyWordCharactersAndHyphen参数在缺省HTTP配置文件中默认启用。
解决方法:禁用allowOnlyWordCharactersAndHyphen默认HTTP配置文件。但是,Citrix建议您保持启用状态。
[nsbase-16722]
用户界面
对于MQTT Rewrite特性,您不能使用GUI中的expression Editor删除表达式。
处理:
通过CLI使用MQTT类型的添加或编辑操作命令。
[nsui-18049]
在Citrix ADC GUI中帮助链接载于指示板TAB坏了。
[nsui-14752]
创建/监控CloudBridge连接器向导可能会变得无响应或配置CloudBridge连接器失败。
处理:
通过Citrix ADC GUI或CLI配置cloudbridge连接器,添加IPsec安全框架、IP隧道和策略路由规则。
[nsui-13024]
通过图形化界面创建ECDSA密钥时,不显示曲线类型。
[nsui-6838]
在管理分区设置中上传和添加证书吊销列表(CRL)文件失败。
[nshelp-20988]
当您降级Citrix ADC设备13.0-71版本时。x到早期版本,一些NITRO api可能无法工作,因为文件权限更改。
处理:
更改权限/ nsconfig ns.conf到644年。
[nsconfig-4628]
如果您(系统管理员)在Citrix ADC设备上执行以下所有步骤,系统用户可能无法登录降级的Citrix ADC设备。
将Citrix ADC设备升级到其中一个版本:
- 13.0 52.24构建
- 12.1 57.18 build
- 11.1 65.10 build
- 新增系统用户或修改已有系统用户密码,并保存配置
- 将Citrix ADC设备降级为任何旧版本。
使用命令行显示系统用户列表:在命令提示符下输入:
查询ns config -changedpassword [-config <配置文件(ns.conf)全路径>]
处理:
若要修复此问题,请使用以下独立选项之一:
- 如果Citrix ADC设备尚未降级(上述步骤中的步骤3),请使用以前备份的相同版本的配置文件(ns.conf)降级Citrix ADC设备。
- 任何在升级版本上没有修改密码的系统管理员都可以登录到降级版本,并更新其他系统用户的密码。
- 如果以上选项都无效,系统管理员可以重置系统用户密码。
[nsconfig-3188]