Citrix ADC 13.1-33.47发行说明
本版本说明文档描述了Citrix ADC发行版Build 13.1-33.47的增强和更改、修复和已知问题。
笔记
此版本说明文档不包括与安全性相关的修复程序。有关与安全相关的修复程序和建议的列表,请参阅Citrix安全公告。
有什么新鲜事
Build 13.1-33.47中提供的增强和更改。
机器人管理
新的BOT相关表达式
添加了以下表达式,可以在日志模式下配置BOT配置文件时使用:
- HTTP.REQ.BOT。is_suspect -如果客户端被怀疑为BOT,返回true。
- HTTP.REQ.BOT.TYPE.EQ (
) -如果客户端BOT类型与参数相同,则返回true。BOT类型可能的值:GOOD、BAD和UNKNOWN。 - HTTP.REQ.BOT.TYPE.NE (
) -如果客户端BOT类型与参数不相同,则返回true。BOT类型可能的值:GOOD、BAD和UNKNOWN。 - HTTP.REQ.BOT.TYPE。在UM_NAME - Returns the BOT type as a string. For example, GOOD, BAD, UNKNOWN.
- HTTP.REQ.BOT。德TECTION_METHODS - List of the detection techniques using which a client is detected as a BOT.
[nsbot - 842]
Citrix网关
配置SmartControl时,即使对应的Authentication、authorization、audit会话不存在,也支持会话可靠性。即使相应的身份验证、授权和审计会话不存在,Citrix ADC设备在从网络中断恢复后从客户端设备接收的重新连接请求也会得到服务。
[cgop - 21040]
Citrix Web应用防火墙
新的默认Web应用程序防火墙配置文件
现在有一个新的默认配置文件core,它具有核心WAF保护。核心配置文件中启用了以下检查:
- 基于语法的SQL注入
- 基于语法的CMD注入
- XSS
- 转炉
- 块表达式
[nswaf - 9133]
自定义关键字支持JSON有效负载
您可以添加您选择的关键字,并检查这些配置的关键字是否出现在JSON有效负载中。如果在传入的请求中检测到配置的关键字,则可以配置Citrix ADC设备来阻止请求、更新日志或增加日志计数器。
这样做的好处是可以添加SQL注入和命令注入检查中没有涉及的关键字,从而减少误报。
[nswaf - 9076]
平台
在Azure加速网络中处理动态网卡移除
Citrix ADC VPX实例现在可以在Azure加速网络中无缝地处理动态网卡移除和被移除网卡的重新连接。
Azure可以移除加速联网的单根I/O虚拟化(SR-IOV)虚拟功能(VF)网卡,用于其主机维护活动。当从Azure VM中移除网卡时,Citrix ADC VPX实例的接口状态显示为Link Down,流量只通过虚拟接口。重新连接网卡后,VPX实例使用重新连接的SR-IOV VF网卡。这个过程无缝地进行,不需要任何配置。
[nsplat - 23300]
支持Python 3.7
Citrix ADC设备现在支持Python 3.7,因为Python 2.7已弃用。
您必须升级当前的Python脚本以与Python 3.7兼容。
[nsplat - 20832]
SSL
增加了创建证书请求中电子邮件地址的长度
在Citrix ADC设备上,创建证书请求中的电子邮件地址的限制现在增加到255个字符。之前的限制是39个字符。
[nsssl - 10917]
支持基于Intel Coleto和Intel Lewisburg平台的泰雷兹Luna HSM
泰雷兹Luna HSM现在支持Citrix ADC、Intel Coleto和Intel Lewisburg基于芯片的平台。
以下设备随Intel Coleto芯片发货:
- MPX 5900
- MPX /有关8900
- MPX /有关15000
- MPX /有关15000 - 50 g
- MPX /有关26000
- MPX / 26000 - 50年代有关
- MPX /有关26000 - 100 g
以下平台搭载Intel Lewisburg芯片:
- MPX 9100
- 有关9100年
[nsssl - 9707]
系统
多个时间序列概要文件支持
Citrix ADC设备现在最多支持三种时间序列配置文件配置。您可以配置每个时间序列配置文件,使其具有以下特性:
- 它的收藏家
- 模式文件,其中包含度量收集器要导出的所需计数器集
- 可以导出指标的数据格式。
- 启用或禁用度量、审计日志和事件的选项。
有了多时间序列配置文件支持,度量收集器可以以不同格式(AVRO、Prometheus、inflow)将不同的度量集(基于配置的模式文件)同时导出到不同的收集器。
有关更多信息,请参见配置AppFlow特性.
[nsbase - 16809]
对QUIC的加密卸载支持
Citrix ADC设备现在支持将加密处理从软件卸载到硬件,从而加速QUIC事务。Citrix ADC设备配备SSL硬件芯片,可以透明地进行加密加速。
有关更多信息,请参见QUIC.
[nsbase - 12046]
用户界面
基于内部服务的TLS 1.2设置的安全RPC通信
在将Citrix ADC设备升级到版本13.1之后,构建33。X或更高版本的安全选项为RPC节点启用或禁用,基于为内部RPC和KRPCS服务提供的TLS 1.2设置(启用或禁用)。
- 版本13.0 build 64.35或更早版本
- 版本12.1构建61.18或更早版本
RPC通信在以下设置的Citrix ADC节点之间加密安全选项启用:
- 高可用性
- 集群
- GSLB
的安全选项为Citrix ADC节点之间的RPC连接使用安全协议TLS1.2和端口号3008和3009。
为了确保安全的RPC通信,Citrix建议在升级这些设置之前执行以下操作:
- 内部rpc和KRPCS服务必须启用TLS 1.2:
- nsrpcs - 127.0.0.1 - 3008
- nskrpcs - 127.0.0.1 - 3009
- nsrpcs -:: 1 l - 3008
- 在Citrix ADC节点之间的防火墙中,必须解除3008和3009的阻塞。
您可以使用Citrix ADC CLI或GUI启用或禁用安全选项。
[nsconfig - 6485]
监视报告工具中所选实体的灵活性
Citrix ADC设备现在支持在数据库中存储所需的实体。这种增强为您提供了监视报告工具中所选实体的灵活性。可以使用以下命令在数据库中添加或删除所需的实体:
添加reportingconfig <实体> <名称>Rm reportingconfig
有关更多信息,请参见报告工具。
[nsconfig - 6432]
支持Citrix ADC CPX许可证聚合器
现在,您可以使用Citrix ADC CPX许可证聚合器(Citrix提供的一种新的Kubernetes微服务)来获得Citrix ADC CPX的许可证。启动Citrix ADC CPX时,应该使用Citrix ADC CPX许可证聚合器的IP地址或域名配置环境变量CLA。如果配置了环境变量,Citrix ADC CPX license聚合器将检查所有连接的Citrix ADC CPX的聚合license。
[nsconfig - 6394]
固定的问题
Build 13.1-33.47中处理的问题。
身份验证、授权和审计
由于MEM_SSLVPN模块中的内存泄漏,Citrix ADC设备停止处理请求。
[nshelp - 32646]
Citrix Gateway Duo身份验证登录页面不加载非rfweb主题。
[nshelp - 32463]
在向Citrix Gateway设备注册设备时,推动注册失败消息显示Citrix安全访问(Citrix SSO)。
[nshelp - 32461]
如果LDAP和SAML认证级联配置,登录时将弹出错误页面。
[nshelp - 32378]
有时,使用Citrix Workspace应用程序对网关的身份验证不成功。
[nshelp - 32333]
如果Citrix ADC设备上启用了内容安全策略(CSP)特性,则SAML身份验证失败。
[nshelp - 32203]
缓存
如果启用了集成缓存特性,并且Citrix ADC设备的内存不足,则该设备可能会崩溃。
[nshelp - 22942]
Citrix ADC SDX设备
在Citrix ADC SDX设备中,当您从版本13.1版本30.52降级到任何更低的版本或版本时,清洁安装选项将不起作用。
[nssvm - 5419]
当使用SDX和ADM备份Citrix ADC VPX实例时,也会备份一些冗余的硬件安全模块(HSM)配置文件。
[nshelp - 32539]
Citrix ADC SDX设备中的管理服务syslog错误地显示两次日期。
[nshelp - 32311]
Citrix网关
基于Patset的MAC地址EPA扫描与设备证书扫描在同一因素下无法协同工作。
[nshelp - 32760]
的转移登录对话框中没有显示转移按钮。
[nshelp - 32614]
Citrix ADC设备在处理注销请求POST /CitrixAuthService/AuthService时崩溃。当在StoreFront上配置回调URL时,从StoreFront服务器asmx。
[nshelp - 32207]
Citrix Gateway登录页面标题和门户主题显示不正确。
[nshelp - 29202]
在配置IIP池(IP地址和掩码)时,如果IP地址不匹配范围内的第一个IP地址,Citrix ADC CLI和GUI只显示一个块,而不是所有块。
例如:bind vpn vserver vpn_ssl -intranetIP 172.168.1.1 255.255.255.0 bind vpn vserver vpn_ssl -intranetIP 172.168.2.1 255.255.255.0
在这种情况下,CLI或GUI显示vpn vserver vpn_ssl时,只显示172.168.2.1 pool,而不显示172.168.2.2。
[nshelp - 29084]
Citrix Web应用防火墙
配置代理服务器和代理端口时,WAF签名升级失败。在每小时运行一次的签名自动更新过程中,ADC设备联系自动更新主机下载更新的文件,而不是通过配置的代理服务器和代理端口。因此,当自动更新主机不可达时,就会看到更新失败。
[nshelp - 32613]
如果满足以下条件,Citrix ADC设备可能会崩溃:
- 设备上有很高的负载。
- 正在进行配置更改。
- 删除签名耗时较长。
[nshelp - 32454]
Bot设备指纹会话重放攻击被记录下来,而不是被丢弃。
[nshelp - 31949]
负载平衡
在极少数情况下,当在内容切换虚拟服务器上启用基于SSL会话ID的持久性和基于SSL会话票据的处理时,Citrix ADC设备可能会崩溃并生成核心转储。
[nshelp - 32228]
即使服务器上没有配置的属性,LDAP监控器状态也保持为up。
[nshelp - 32025]
网络
当使用基于文件的启动配置和ConfigMaps时,Citrix ADC CPX在崩溃后无法恢复默认路由配置。这种行为会导致失去连通性。
[nsnet - 27124]
Citrix ADC设备可能会向UDP包的IP头添加错误的IP校验和。
[nshelp - 32587]
在Citrix ADC BLX集群设置中,如果满足以下条件,VTYSH可能无法启动:
- Linux主机重新启动,导致Citrix ADC BLX路由健康注入(RHI)进程的订单循环。
[nshelp - 32473]
当您删除虚拟服务器时,如果满足以下条件,Citrix ADC设备会错误地将相关的VIP RHI状态设置为DOWN:
- 虚拟服务器有备份的虚拟服务器。
- 虚拟服务器处于DOWN状态,至少一个备份虚拟服务器处于UP状态。
[nshelp - 29972]
平台
当您将软件版本升级到版本13.1 build 30.x时,运行在AMD处理器上的Citrix ADC设备可能在启动过程中崩溃。
[nsplatp -24968, nshelp-32808]
高可用性故障转移在AWS和GCP云中不起作用。在AWS和GCP云中,管理CPU可能达到100%的容量,Citrix ADC VPX就地部署。这两个问题都是在满足以下条件的情况下产生的:
- 在Citrix ADC设备的第一次引导期间,不保存提示的密码。
- 随后,重新启动Citrix ADC设备。
[nsplat - 22013]
当包含Mellanox网卡的Citrix ADC SDX设备从一个禁用VLAN过滤的版本升级,而管理服务试图将禁用VLAN过滤作为升级的一部分时,操作会失败。这样,所有的接口和通道都将启用VLAN过滤。
[nshelp - 32759]
政策
当满足以下条件时,Citrix ADC设备可能在patset策略添加过程中崩溃:
- 在重写TCP场景中,与NSB关联的标志以错误的顺序设置。
[nshelp - 31064]
SSL
当虚拟服务器接收到带有无效填充的TLS 1.3记录时,它会发送一个致命的decode_errorAlert而不是unexpected_message警报。
[nsssl - 11890]
包含Cavium SSL卡的Citrix ADC设备在向客户端发送DTLS ALERT消息时可能会崩溃。
[nshelp - 32031]
如果对同一个请求计算并触发两次证书身份验证规则,Citrix ADC设备可能会崩溃。
[nshelp - 31785]
系统
只有在默认分区开启了ULFD模式后,才能在admin分区开启AppFlow特性。
[nshelp - 32670]
当满足以下条件时,Citrix ADC设备可以将HTTP请求视为无效请求:
- 部分HTTP请求方法出现在传入的TCP段中。
[nshelp - 32462]
如果满足以下条件,Citrix ADC设备可能会崩溃:
- 在HTTP2和SSL的高内存使用组合中,Citrix ADC设备无法分配内存。
[nshelp - 32255]
当满足以下条件时,gRPC客户端解析gRPC状态头信息失败:
- gRPC状态头同时添加在开头头和结尾头中,而不是只添加在结尾头中。
[nshelp - 31640]
启用SACK后,Citrix ADC设备不会重传重传列表中的最后一个字节TCP段,原因如下:设备使用最后一个字节TCP段作为虚段,以标记重传列表的结束。
[nshelp - 28778]
用户界面
不能使用Citrix ADC GUI将GSLB服务绑定到GSLB虚拟服务器下的GSLB服务列表GSLB服务组绑定> GSLB服务绑定> GSLB服务显示空的。
[nshelp - 32236]
使用Citrix ADC GUI修改静态路由(系统>网络>路由)可能会错误地失败,并提示以下错误信息:
缺少必要的参数[gateway]
[nshelp - 32024]
在HA / Cluster设置中,如果配置的是RSA以外的SSH密钥,则配置同步失败。例如,ECDSA或DSA密钥。
[nshelp - 31675]
在Citrix ADC GUI中,如果在系统> SNMP >陷阱,编辑该目标失败,并出现以下错误消息:
检索SNMP trap时出错
[nshelp - 31661]
在Citrix ADC HA设置中,在保存配置并单击刷新按钮后,在Citrix ADC GUI中观察到以下问题:
- 即使在设备上没有未保存的配置更改时,GUI也会错误地显示Save按钮上的橙色圆点。
[nshelp - 30031]
GSLB虚拟服务器统计数据在管理分区模式下不可用。
[nshelp - 28524]
已知的问题
版本13.1-33.47中存在的问题。
演示applow
HDX Insight不会报告由于用户试图启动其没有访问权限的应用程序或桌面而导致的应用程序启动失败。
[nsinsight - 943]
身份验证、授权和审计
Citrix ADC设备不验证重复的密码登录尝试,并防止帐户锁定。
[nshelp - 563]
如果Citrix ADC设备上启用了内容安全策略(CSP)特性,DUO身份验证将失败。
[nsauth - 12687]
可以在集群部署中配置ADFS代理配置文件。在执行以下命令时,代理配置文件的状态错误地显示为空白。显示adfsproxyprofile <配置文件名称>
处理:
连接到集群中的主活动Citrix ADC并运行显示adfsproxyprofile <配置文件名称>命令。它将显示代理配置文件状态。
[nsauth - 5916]
如果执行以下步骤,Citrix ADC图形界面上的“配置认证LDAP服务器”页面将失去响应:
- 打开“Test LDAP Reachability”选项。
- 填充并提交无效的登录凭据。
- 填充并提交有效的登录凭证。
处理:
关闭并打开Test LDAP Reachability选项。
[nsauth - 2147]
缓存
在Citrix ADC设备中,当URL长度超过2000个字符时,可能会发生以下问题。
- 具有较高url长度的请求不会被缓存。
[nshelp - 29590]
Citrix ADC SDX设备
在Citrix ADC SDX设备上,如果CLAG是在Mellanox NIC上创建的,则当VPX实例重新启动时,CLAG MAC将被更改。由于MAC表中有旧的CLAG MAC表项,所以VPX实例的流量在重启后停止。
[nssvm - 4333]
如果满足以下条件,则在Citrix ADC SDX设备上托管的VPX实例上看到包丢失:
- 吞吐量分配模式爆发。
- 吞吐量和最大突发容量之间有很大的差异。
[nshelp - 21992]
Citrix网关
在使用Chrome的Mac设备上,VPN扩展在访问两个FQDNs时崩溃。
[nshelp - 32144]
如果存在严重的延迟或拥塞,到由Citrix Secure Access建立的隧道外部的资源的直接连接可能会失败。
[nshelp - 31598]
有时,当用户以Always-On服务模式登录到Windows计算机时,Windows自动登录无法工作。机器隧道不转换到用户隧道和消息连接……在VPN插件界面中显示。
[nshelp-31357, cgp -21192]
当配置Always on时,由于aoservice.exe文件中的版本号(1.1.1.1)不正确,用户隧道失败。
[nshelp - 30662]
在将“networkAccessOnVPNFailure”always on配置文件参数从“fullAccess”更改为“onlyToGateway”后,用户将无法连接到Citrix网关设备。
[nshelp - 30236]
网关插件成功建立VPN隧道后,不会立即显示网关首页。要修复此问题,引入以下注册表值。
\HKLM\软件\Citrix\安全访问客户端\SecureChannelResetTimeoutSeconds类型:DWORD
默认情况下,不设置或添加此注册表值。的值SecureChannelResetTimeoutSeconds为0或未添加,则处理延迟的修复将不起作用,这是默认行为。管理员必须在客户端上设置此注册表以启用修复(即在网关插件成功建立VPN隧道后立即显示主页)。
[nshelp - 30189]
Windows VPN客户端不接受来自服务器的' SSL关闭通知'警报,并在同一连接上发送传输登录请求。
[nshelp - 29675]
您可能会注意到rdx.js文件中的一些Citrix内部IP地址。
[nshelp - 28682]
如果macOS Keychain中没有客户端证书,则Citrix SSO for macOS的客户端证书认证失败。
[nshelp - 28551]
有时,当设置了客户端空闲超时时间后,用户会在几秒钟内退出Citrix Gateway。
[nshelp - 28404]
用于Windows的EPA插件不使用本地计算机配置的代理,而是直接连接到网关服务器。
[nshelp - 24848]
Windows登录后VPN插件不建立隧道,同时满足以下条件:
- Citrix网关设备配置为Always On特性
- 该设备配置为使用双因素身份验证的基于证书的身份验证
从
[nshelp - 23584]
有时在浏览模式时,错误消息无法读取未定义的属性“type”出现了。
[nshelp - 21897]
如果您想在Windows登录之前使用Always On VPN功能,建议升级到Citrix Gateway 13.0或更高版本。这使您能够利用13.0版本中引入的额外增强,而12.1版本中没有这些增强。
[cgop - 19355]
网关洞察没有报告由于STA票证无效导致的应用程序启动失败。
[cgop - 13621]
Gateway Insight报告显示该值错误当地的而不是SAML在Authentication Type字段中为SAML错误失败。
[cgop - 13584]
在高可用性设置中,在Citrix ADC故障转移期间,SR计数增加,而不是Citrix ADM中的故障转移计数。
[cgop - 13511]
当从19.6.0.32版本的MAC接收器或7.18版本的Citrix Virtual Apps and desktop启动ICA连接时,HDX Insight功能将被禁用。
[cgop - 13494]
当启用EDT Insight功能时,有时音频通道可能会在网络差异期间失败。
[cgop - 13493]
在接受来自浏览器的本地主机连接时,macOS的“接受连接”对话框将显示英文内容,而不考虑所选语言。
[cgop - 13050]
文本主页在Citrix SSO应用程序>主页被截断了一些语言。
[cgop - 13049]
当您从Citrix ADC GUI中添加或编辑会话策略时,会出现一条错误消息。
[cgop - 11830]
在Outlook Web App (OWA) 2013中,单击选项在“设置”菜单下显示一个关键的错误对话框。此外,页面将变得无响应。
[cgop - 7269]
负载平衡
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这是一个罕见的病例。
[nslb - 7679]
格式中的serviceGroupName格式entityofs服务组Trap如下:> <服务(集团)名字? < ip / DBS > ?<口>
在trap格式中,服务组通过IP地址或DBS名称和端口进行标识。问号(?)用作分隔符。Citrix ADC发送带有问号的陷阱(?).格式在Citrix ADM GUI中显示相同。这是预期的行为。
[nshelp - 28080]
杂项
在高可用性设置中发生强制同步时,设备执行urlfiltering参数设置命令。方法中提到的下一个计划时间之前,辅助节点将跳过任何计划更新TimeOfDayToUpdateDB参数。
[nsswg - 849]
如果注册表值大于2000字节,AlwaysOnAllow列表注册表将不能正常工作。
[nshelp - 31836]
如果与URL过滤第三方供应商发生连接问题,Citrix ADC设备可能会由于管理CPU停滞而重新启动。
[nshelp - 22409]
网络
在Citrix BLX集群设置中,以下操作失败,没有任何错误提示:
- 清除强制基本级别的配置(
清除config -force basic) - 在强制扩展级别清除配置(
清除config -force extended) - 清除强制扩展+级别的配置(
清除config -force extended+)
处理:
从每个集群节点的NSIP地址而不是CLIP地址运行这些清晰的配置操作。
[nsnet - 27132]
在支持DPDK的Citrix ADC BLX设备中,DPDK Intel i350 NIC端口不支持带标记的vlan。这是观察到的,因为这是在DPDK驱动程序上存在的已知问题。
[nsnet - 25299]
如果满足以下所有条件,带有DPDK的Citrix ADC BLX设备可能无法重新启动:
- Citrix ADC BLX设备的分配数量很低
hugepages.例如,1 g。 - Citrix ADC BLX设备分配了大量的工作进程。例如,28。
该问题被记录为错误消息/var/log/ns.log:
BLX-DPDK:DPDK Mempool无法初始化
注意:x是一个<= worker-processes的数目。
处理:
分配大量的hugepages然后重新启动该设备。
[nsnet - 25173]
Citrix ADC BLX设备在DPDK模式下可能需要稍长时间重新启动,因为DPDK的易用性功能。
[nsnet - 24449]
Intel不支持以下接口操作X710 10 g (i40e)使用DPDK的Citrix ADC BLX设备的接口:
- 禁用
- 启用
- 重置
[nsnet - 16559]
Citrix ADC BLX设备可能会在基于Debian的Linux主机(Ubuntu版本18及更高版本)上安装失败,出现以下依赖错误:
以下包有未满足的依赖:blx-core-libs:i386: PreDepends: libc6:i386(>= 2.19),但它是不可安装的
处理:
在安装Citrix ADC BLX设备之前,请在Linux主机命令行中执行以下命令:
- dpkg -add-architecture i386
- apt-get更新
- apt-get dist-upgrade
- apt-get安装libc6: i386
[nsnet - 14602]
在FTP数据连接的某些情况下,Citrix ADC设备只对用于TCP MSS协商的数据包执行NAT操作,而不执行TCP处理。因此,没有为该连接设置最佳的接口MTU。MTU设置不正确,会导致报文分片,影响CPU性能。
[nsnet - 5233]
当在Citrix ADC设备中更改管理分区内存限制时,TCP缓冲内存限制将自动设置为管理分区新内存限制。
[nshelp - 21082]
平台
当从13.0/12.1/11.1版本升级到13.1版本或从13.1版本降级到13.0/12.1/11.1版本时,Citrix ADC设备上没有安装一些python包。此问题已修复以下Citrix ADC版本:
- 13.1 - -4. x
- 13.0 - -82.31,后来
- 12.1 - -62.21,后来
当您将Citrix ADC版本从13.1-4降级时,没有安装python包。X升级到以下版本:
- 任何11.1构建
- 12.1 - -62.21和更早的
- 13.0 -81年。x和早些时候
[nsplat - 21691]
在Citrix ADC SDX设备上的集群设置中,如果满足以下条件,则在第二个节点和CLIP上存在CLAG MAC不匹配:
- CLAG创建在Mellanox网卡上。
- 将另一个VPX实例添加到集群和CLAG设置中。
导致访问VPX实例的流量停止。
[nsplat - 21049]
在Citrix ADC SDX设备上的集群设置中,如果满足以下条件,第一个节点会因为CLIP和MAC表上的MAC地址不匹配而DOWN:
- CLAG创建在Mellanox网卡上。
- 从集群中删除第二个节点。
[nsplat - 21042]
当您从Azure资源组中删除自动伸缩设置或虚拟机规模设置时,请从Citrix ADC实例中删除相应的云配置文件配置。使用rm cloudprofile命令,删除配置文件。
[nsplat - 4520]
在Azure上的高可用性设置中,通过GUI登录到辅助节点时,会出现用于自动伸缩云配置文件配置的首次用户(FTU)屏幕。解决方法:跳过屏幕,登录到主节点创建云配置文件。应该始终在主节点上配置云配置文件。
[nsplat - 4451]
在Citrix ADC SDX 8015/8400/8600平台上,您可能会看到Xen Server上的内存消耗增加。
处理:
在Xen Server上运行以下命令,然后重新启动设备。/ opt / xensource / libexec xen-cmdline -set-xendom0_mem = 1024,马克斯:1024米
[nshelp - 32260]
政策
如果处理数据的大小大于配置的默认TCP缓冲区大小,则连接可能挂起。解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。
[nspolicy - 1267]
SSL
在包含Citrix ADC SDX 22000和Citrix ADC SDX 26000设备的异构集群上,如果重新启动SDX 26000设备,则会丢失SSL实体的配置。
处理:
- 在CLIP上,禁用所有现有和新的SSL实体(如虚拟服务器、服务、服务组和内部服务)上的SSLv3。例如,
设置ssl vserver.-SSL3 DISABLED - 保存配置。
[nsssl - 9572]
如果已添加身份验证Azure Key Vault对象,则不能添加Azure Key Vault对象。
[nsssl - 6478]
您可以使用相同的客户端ID和客户端机密创建多个Azure Application实体。Citrix ADC设备不返回错误。
[nsssl - 6213]
在删除高速缓存密钥而没有指定KEYVAULT作为高速缓存类型时,出现以下错误的错误消息。错误:crl refresh disabled
[nsssl - 6106]
在集群IP地址上,会话密钥自动刷新错误地显示为禁用。(此选项不能被禁用。)
[nsssl - 4427]
一个错误的警告信息,警告:SSL vserver/服务上没有配置可用的密码,出现,如果您试图更改SSL配置文件中的SSL协议或密码。
[nsssl - 4001]
在HA故障转移后,在非cco节点和HA节点上执行过期的会话票据。[nssl -3184, nssl -1379, nssl -1394]
将Citrix ADC SDX设备升级到版本13.1 build 21.50或更高版本后,SSL解密和MAC比较可能会失败。因此,您可能会看到SSL握手失败、VPX状态波动、VPX实例GUI不可用以及虚拟服务器和应用程序宕机。
注意:此问题在SDX 8900、SDX 15000、SDX 15000- 50g、SDX 26000和SDX 26000- 50s平台上观察到。
[nshelp - 31672]
系统
当满足以下条件时,TCP连接的RTT会很高:
- 设置了一个高的最大拥塞窗口(>4 MB)
- 启用TCP NILE算法
对于使用NILE算法进行拥塞控制的Citrix ADC设备,条件必须超过慢启动阈值,该阈值与最大拥塞窗口相结合
因此,在达到最大配置的拥塞窗口之前,Citrix ADC将继续接受数据,并以高RTT结束。
[nshelp - 31548]
如果设备没有从客户端接收到max_concurrent_stream设置帧,则MAX_CONCURRENT_STREAMS值默认设置为100。
[nshelp - 21240]
mptcp_cur_session_without_subflow计数器不正确地递减为负值而不是零。
[nshelp - 10972]
在集群部署中,如果运行力集群同步在非cco节点上执行命令时,ns.log文件中包含重复的日志项。[nsbase-16304, nsgi-1293]
当您在Kubernetes集群上安装Citrix ADM时,它不能按预期工作,因为所需的进程可能不会出现。
解决方法:重新启动管理模块。
[nsbase - 15556]
为Insight配置LogStream传输类型时,HDX Insight skiipflow记录的“Client IP”和“Server IP”倒排。
[nsbase - 8506]
用户界面
对于MQTT Rewrite特性,您不能使用GUI中的expression Editor删除表达式。
处理:
通过CLI使用MQTT类型的添加或编辑操作命令。
[nsui - 18049]
在Citrix ADC GUI中,帮助链接载于指示板选项卡坏了。
[nsui - 14752]
创建/监视CloudBridge连接器向导可能失去响应或配置CloudBridge连接器失败。
处理:
通过使用Citrix ADC GUI或CLI添加IPSec安全框架、IP隧道和策略路由规则来配置cloudbridge连接器。
[nsui - 13024]
如果使用GUI方式创建ECDSA密钥,则不会显示曲线类型。
[nsui - 6838]
在高可用性环境下,当满足以下条件时,VPN用户会话断开:
- 在HA同步过程中,连续两次或两次以上手动HA故障切换。
处理:
待HA同步完成(两个节点的状态均为“Sync success”)后,再进行后续手动HA故障切换。
[nshelp - 25598]
从Citrix ADM签出许可证的Citrix ADC设备在从ADM断开连接时将进入宽限期。该设备在ADM中显示为无许可证,即使在重新连接到ADM后仍将在宽限期内继续。
解决方法:要将设备移出宽限期,请重新启动nslped的过程。
[nsconfig - 7098]
在Citrix ADC BLX设备的高可用性设置中,主节点可能会失去响应,从而阻塞任何CLI或API请求。
处理:
重新启动主节点。
[nsconfig - 6601]
如果您(系统管理员)在Citrix ADC设备上执行以下所有步骤,系统用户可能无法登录降级的Citrix ADC设备。
- 将Citrix ADC设备升级到以下版本之一:
- 13.0 - 52.24构建
- 12.1 - 57.18构建
- 11.1 - 65.10构建
- 添加系统用户或修改已有系统用户的密码,并保存配置
- 将Citrix ADC设备降级为任何旧版本。
使用CLI命令显示这些系统用户的列表。在命令提示符处,输入:
查询ns config -changedpassword [-config <配置文件的完整路径(ns.conf)>]
处理:
要修复此问题,请使用以下独立选项之一:
- 如果Citrix ADC设备尚未降级(上述步骤中的第3步),则使用以前备份的相同版本版本的配置文件(ns.conf)降级Citrix ADC设备。
- 在升级版本中没有更改密码的任何系统管理员都可以登录到降级版本,并为其他系统用户更新密码。
- 如果以上选项都不起作用,系统管理员可以重置系统用户密码。
[nsconfig - 3188]