Citrix ADC 13.1-4.44版本发布说明
本版本说明文档描述了Citrix ADC发行版Build 13.1-4.44的增强和更改、修复和已知问题。
笔记
- 此版本说明文档不包括与安全性相关的修复程序。有关与安全相关的修复程序和建议的列表,请参阅Citrix安全公告。
- Citrix安全访问代理(以前称为Citrix网关插件用于Windows)版本21.9.1.2和更高版本包含修复https://support.citrix.com/article/CTX341455.用于Windows版本21.9.1.2的Citrix Gateway插件包含在Citrix ADC版本13.1-4.44中。
- 版本13.1-4.44和后续版本解决了中描述的安全漏洞https://support.citrix.com/article/CTX330728.
- Build 4.44取代了Build 4.43。
- 此版本还包括对以下问题的修复:NSHELP-29519。
有什么新鲜事
Build 13.1-4.44中可用的增强和更改。
身份验证、授权和审计
支持Kerberos SSO身份验证从根域到树域的遍历
在从Citrix ADC设备对后端服务器进行Kerberos SSO身份验证时,现在支持从根域到树域的遍历。有关更多信息,请参见https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/single-sign-on-types/kerberos-single-sign-on/setup-citrix-adc-single-sign-on.html.
[nsauth-9836]
机器人管理
Citrix ADC bot管理的详细日志记录
如果传入的通信被标识为bot, Citrix ADC设备现在允许您配置bot详细日志记录功能,以记录附加的HTTP报头详细信息,例如域地址、URL、用户代理报头和cookie报头。然后将日志详细信息发送到ADM服务器,用于监控和排除故障。详细日志信息不保存在ns.log文件中。
有关更多信息,请参见https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html
[nsbot-273]
Citrix ADC SDX设备
对Citrix ADC SDX设备上的集群形成页面的增强
的GUI中进行了以下更改将节点加入集群
页面。当向集群中添加新节点时,系统会提示用户添加SNIP地址。这些增强解决了严格的源IP地址检查方面的安全问题。
- 现在为SNIP提供了一个可选字段。
- 一个
添加
按钮还用于在向集群IP地址(CLIP)添加节点时动态创建SNIPs。
[nssvm-4170]
Citrix ADC SDX管理员现在可以在锁定时间到期前解锁用户。如果用户通过控制台登录管理服务,则不适用锁定。锁定间隔也从秒更改为分钟。最小值= 1分钟。最大值= 30分钟。
使用图形化方式解锁用户。
- 导航到配置>系统>用户管理>用户.
- 选择要解锁的用户。
- 点击解锁.使用实例通过CLI命令解锁用户。
在命令提示符处,输入:
set systemuser id= ' < id > ' unlock=true
[nssvm-4144]
Citrix网关
额外的语言支持
Citrix Gateway用户门户现在支持俄语、韩语和中文(传统)语言。
[cgp -17095]
OAuth-OpenID对Gateway Insight的连接认证支持
Citrix Gateway Insight现在报告OAuth-OpenID Connect身份验证相关事件(成功和失败的用户登录)。
[cgp -16907]
Citrix Web应用防火墙
使用高级策略表达式提取客户端IP地址
Citrix ADC设备使用高级策略表达式从HTTP请求头、请求主体和请求URL中提取客户端IP地址。然后将提取的值发送到ADM服务器,用于审计日志记录、安全观察和计算客户机的地理位置。
有关更多信息,请参见https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html
[nsswaf -7260]
启用BOT TPS检测机制选项
现在,bot概要文件配置中的每个TPS bot检测规则都有启用选项。缺省情况下,该值为ON。
有关更多信息,请参见https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html
[nshelp-25777]
负载平衡
在内容切换虚拟服务器上支持HTTP到HTTPS重定向
服务类型SSL的内容交换虚拟服务器现在支持HTTP流量重定向。两个新参数:HttpsRedirectUrl
而且RedirectFromPort
添加到添加cs vserver
命令。中指定的端口到达的所有HTTP流量RedirectFromPort
参数中指定的URL重定向到HttpsRedirectUrl
参数。如果HttpsRedirectUrl
,那么HTTP流量将被重定向到传入HTTP请求中的主机头的值。
[nslb-8224]
支持将save config命令同步到远程GSLB站点
您现在可以同步保存ns config
命令到远程GSLB站点。要启用此功能,请使用一个新参数GSLBSyncSaveConfigCommand
添加到设置GSLB参数
命令。启用GSLBSyncSaveConfigCommand
,保存ns config
命令被视为另一个GSLB命令,并同步到远程GSLB站点。您必须启用AutomaticConfigSync
选项同步保存ns config
命令。
[nslb-7831]
支持用户监视器的安全脚本参数
一个新参数,-secureargs
,被添加到添加lb监视器
命令。此参数以加密格式而不是纯文本格式存储脚本参数。可以使用此参数保护与用户监视器脚本相关的敏感数据,例如用户名和密码。Citrix建议您使用-secureargs
参数代替-scriptargs
参数用于与脚本相关的任何敏感数据。中指定的脚本如果选择同时使用两个参数-scriptname
必须按以下顺序接受参数:< scriptargs > < secureargs >
.也就是说,您需要指定的前几个参数< scriptargs >
剩下的参数< secureargs >
通过维护为参数定义的顺序。安全参数仅适用于内部调度程序。
[nslb-6314]
网络
号码类型数据集支持扩展acl
Citrix ADC设备现在支持扩展acl的数字类型数据集。对于扩展ACL规则,可以使用数字类型数据集指定源端口或目标端口,也可以同时指定源端口和目标端口。
[nsnet-20235]
对绑定到IP集的VIP地址的RHI支持
如果满足以下所有条件,Citrix ADC设备将发布绑定到IP集的VIP地址作为内核路由:
- VIP地址有
主机路由
选择启用。 - IPset与配置绑定,如多ip负载均衡虚拟服务器。
[nsnet-20209]
支持Citrix ADC CPX注册ADM使用卷挂载
Citrix ADC CPX现在支持通过Kubernetes ConfigMaps和Secret使用卷挂载注册Citrix ADM。Citrix ADC CPX使用从位于Citrix ADC CPX文件系统中的卷挂载派生的配置详细信息向ADM代理发起注册。
[nsnet-19058]
平台
VMware ESX 7.0更新2a支持Citrix ADC VPX实例
Citrix ADC VPX实例现在支持VMware ESX version 7.0 update 2a (Build 17867351)。
[nsplata -20104]
在ESXi上支持Citrix ADC VPX实例的AMD处理器
VMware ESXi hypervisor上的Citrix ADC VPX实例现在支持AMD处理器。有关更多信息,请参见https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/install-vpx-on-esx.html
[nsplate -17853]
支持在Azure Marketplace上订阅Citrix ADC VPX 5000
Azure Marketplace现在支持Citrix ADC VPX 5000订阅计划。此基于订阅的计划提供以下许可证:
- 标准
- 先进的
- 溢价
[ns普拉特-13663]
政策
支持高级策略表达式中的IP报头字段
高级策略表达式现在使您能够从IP包中获取以下报头字段。
- DSCP
- ECN
- TTL
- 版本
- 识别
- 头的长度
- 头校验和
- 选项
- 有效载荷
[npolicy -2441]
移除Citrix ADC版本13.1以后已弃用的特性
许多已弃用的特性现在已被删除,并且在Citrix ADC设备上不再可配置。
这些包括:
- 过滤器功能(也称为内容过滤或CF)—操作、策略和绑定。
- SPDY、确定连接(SC)、优先级排队(PQ)、HTTP拒绝服务(DoS)和HTML注入特性。
- 用于SSL、内容切换、缓存重定向、压缩和应用程序防火墙的经典策略。
- 的
url
而且域
内容切换策略参数。 - 负载平衡持久性规则中的经典表达式。
- 的
模式
参数在重写操作。 - 的
bypassSafetyCheck
参数在重写操作。 SYS。EVAL_CLASSIC_EXPR
在高级表达式中。- 的
patclass
配置实体。 - 的
HTTP.REQ.BODY
在高级表达式中没有参数。 - 高级表达式中的Q和S前缀。
- 的
policyType
CMP参数设置。(CLI命令设置CMP参数
.)
如前所述,您可以使用nspepi
转换工具。您必须在Citrix ADC设备版本13.0或12.1上运行该工具。
此外,要使用最新版本的工具从经典配置迁移到高级配置,并从流量域迁移到管理分区,请参见https://github.com/citrix/ADC-scripts
[npolicy -186]
系统
查看QUIC网桥的统计信息
QUIC桥统计
命令现在提供了QUIC网桥统计信息的详细摘要。
[nsbase-13883]
移除Citrix ADC 13.1之后的过时特性
以下已弃用的特性及其配置已不再受支持,并已从Citrix ADC设备中删除:
- 确定连接(SC)
- 优先排队(PQ)
- HTTP DoS保护(HDOSP)
HTMLInjection
作为一种替代方案,Citrix建议您在确定连接、优先级排队和HTTP DoS保护方面使用AppQoE,并在以下方面使用客户端度量HTMLInjection
.
[nsbase-13780]
用户界面
批处理API支持NITRO调用
Citrix ADC设备现在支持batchapi
API。的batchapi
API可以在一个请求中处理多个NITRO调用,从而最小化网络流量。您可以使用batchapi
:
- 您可以使用批处理API同时创建、更新和删除多个异构资源。
- 您可以使用批处理API来获取多个异构资源。
[nsconfig-4061]
固定的问题
Build 13.1-4.44中处理的问题。
身份验证、授权和审计
当您将LDAP监控器绑定到服务时,由于Citrix ADC设备向活动目录发送了错误的密码,监控器将停止运行。
[nshelp-27961]
在多级联AD中,如果用户没有在最后一个级联中找到,则用户的帐户不会被锁定。
[nshelp-27948]
当为SAML身份验证配置Citrix ADC设备时,该设备在使用RSA以外的证书时转储核心。
[nshelp-27813]
在某些情况下,当配置基于角色的访问时,Citrix ADC设备在处理某些用户的身份验证请求时可能会崩溃。
[nshelp-27655]
如果Azure AD在Citrix ADC认证虚拟服务器上被配置为OAuth IdP,用户将无法通过Citrix Workspace应用程序登录。
[nshelp-27462]
在某些情况下,如果使用StoreFront访问Workspace应用程序,SAML身份验证会失败。
[nshelp-27338]
在某些情况下,如果请求没有身份验证cookie,则对身份验证、授权和审计- tm虚拟服务器的HTTP POST请求会被错误处理。POST主体在处理过程中丢失。
[nshelp-27227]
Citrix ADC设备在处理身份验证、授权和审计- tm和基于401 lb的流量时经常崩溃。
[nshelp-27094]
在某些情况下,Citrix ADC设备在为Citrix网关和身份验证、授权和审计流量管理部署执行用户身份验证时崩溃。
[nshelp-26555]
当输入错误的OTP时,会出现错误消息邮件认证失败。没有进一步的行动继续
会显示出来。
[nshelp-26400]
在某些场景下,如果策略名称大于内网应用名称,则绑定认证、授权和审计组命令可能会失败。
[nshelp-25971]
配置为SAML标识提供程序(IdP)的Citrix ADC设备将截断来自服务提供程序(SP)的中继状态,如果它包含引号。
[nshelp-20131]
由于密码解密问题,网络连通性测试检查失败。不过,身份验证功能工作正常。
[nsauth-10216]
机器人管理
在每秒事务(Transaction Per Second, TPS)机器人检测机制中,后端应用程序服务器在响应检索后的CAPTCHA挑战期间返回304响应。
[nsbot-626]
缓存
在高可用性设置中,对于memLimit
HA failover时设置cache参数。
[nshelp-28428]
在高可用性设置中,主节点在访问NULL指针而不是缓存对象后崩溃。
[nshelp-26967]
Citrix ADC SDX设备
在Citrix ADC SDX设备上,如果实例是用软件版本13.0-76创建的,则实例恢复可能会失败。X或更早。
[nshelp-28429]
在Citrix ADC SDX设备中,管理服务报告ADC实例的错误数据使用情况。
[nshelp-28208]
在Citrix ADC SDX设备上,不能更改Management Service控制台中的CLI提示符。
[nshelp-28030]
在Citrix ADC SDX设备上,由于库存中运行的作业和调度器增加,管理服务可能报告内存使用量高达80%左右。
[nshelp-27805]
在Citrix ADC SDX设备上,如果系统文件(snmpd.conf和ntp.conf)包含回车字符,则升级可能失败。
[nshelp-27713]
在Citrix ADC SDX设备上,由于库存中运行的作业和调度器增加,管理服务可能报告内存使用量高达80%左右。
[nshelp-27396]
Citrix网关
当升级到最新版本时,用户可能会观察到RDP会话启动失败。
[nshelp-29519]
当您尝试编辑自定义主题中的CSS属性时,出现错误消息。
[nshelp-28648]
如果在评估期间可能进入阻塞状态的响应器策略被绑定到虚拟服务器,则登录到Citrix Workspace将失败。
[nshelp-27819]
当使用无客户端VPN访问Citrix Gateway设备时,可能会生成一个核心转储。
[nshelp-27653]
Citrix Gateway设备在处理服务器发起的UDP流量时可能会崩溃。
[nshelp-27611]
当用户登录Microsoft Outlook时,可以看到其他用户的邮箱。作为解决办法,禁用多路复用。
[nshelp-27538]
如果EDT相关命令,Citrix ADC设备可能会崩溃,例如clearconfig
,关闭ica连接
,或停止DTLS监听器
都是由设备处理的。
[nshelp-27398]
Citrix Gateway设备在处理UDP流量时可能会崩溃。
[nshelp-27317]
当syslog策略绑定到虚拟服务器并修改相应的syslog操作时,Citrix Gateway设备将崩溃。
[nshelp-27171]
Citrix ADC日志可能被日志消息淹没Appflow策略评估失败
当Gateway Insight启用时。
[nshelp-26750]
当您试图清除配置时,如果同时满足以下两个条件,Citrix Gateway设备将崩溃:
- SSL配置文件和证书-密钥对被绑定到默认的TCP监控器。
- 同一个缺省TCP监视器被绑定到一个syslog动作。
[nshelp-26685]
在“创建Citrix网关流量Profile”界面中,输入代理FQDN时,系统提示无效的代理值
出现了。
[nshelp-26613]
在使用Citrix ADC GUI创建RDP客户端配置文件时,当满足以下条件时出现错误消息:
- 已配置缺省PSK (pre-shared key)。
- 尝试在“RDP cookie有效性(秒)”字段中修改RDP cookie有效性计时器。
[nshelp-25694]
SNMP OID向VPN虚拟服务器发送错误的当前连接集。
[nshelp-25596]
当多个VPN插件客户端使用大小为1800字节或更多的X.509证书建立隧道时,Citric ADC设备会崩溃。
[nshelp-25195]
当VPN虚拟服务器与STA服务器绑定后,如果重命名该VPN虚拟服务器,执行show命令时,该VPN虚拟服务器的状态为DOWN。
[nshelp-24714]
在极少数情况下,如果启用了内网IP (IIP)地址,并且存在到该IIP地址的服务器发起的连接,Citrix Gateway设备可能会崩溃。
[nshelp-23819]
的显示隧道全局
命令回显信息中包含高级策略名称。以前,输出不显示高级策略名称。
例子:
新的输出:
> show tunnel global策略名称:ns_tunnel_nocmp优先级:0策略名称:ns_adv_tunnel_nocmp类型:高级策略优先级:1全局绑定点:REQ_DEFAULT策略名称:ns_adv_tunnel_msdocs类型:高级策略优先级:100全局绑定点:RES_DEFAULT完成>
之前的输出:
> show tunnel global Policy名称:ns_tunnel_nocmp优先级:0 Disabled Advanced Policies: global bindpoint: REQ_DEFAULT绑定策略数量:1 Done
[nshelp-23496]
如果配置了ICA启动/停止事件的RADIUS计费,则ICA启动RADIUS计费请求中的会话ID显示为全0。
[nshelp-22576]
Citrix Web应用防火墙
在Citrix ADC集群设置中,如果一个或多个节点从Citrix ADC版本12.0、12.1或13.0 build 52升级,则会导致其中一个节点崩溃。X或更早的版本。发生崩溃是因为Web App Firewall cookie格式和大小不兼容。
[nsswaf -7689]
在Web应用程序防火墙中Cookie-transformation
参数如果使用逗号作为分隔符,则分割响应端cookie值。
[nshelp-28411]
如果按照特定顺序观察到命令注入违规,并且满足以下条件,Citrix ADC设备可能会崩溃:
- 请求中有多个cookie
URLDecodeRequestCookies
功能已关闭
[nshelp-28365]
当解析启用了相同属性和Web应用程序防火墙特性的HTTP响应时,Citrix ADC设备可能会显示较高的内存使用量。
[nshelp-27722]
cookie劫持特性对Internet Explorer浏览器的支持有限,因为Internet Explorer浏览器不重用SSL连接。由于限制,一个请求会被发送多个重定向,最终导致一个超过最大重定向
ie浏览器出现错误。
[nshelp-27193]
升级到Citrix ADC版本13.0 build 76.29并在设备上启用文件上传功能后,观察到以下问题:
- SQL和跨站点脚本保护检查会阻止所有web应用程序的文件上传过程。
[nshelp-27140]
负载平衡
在GSLB设置中,在GSLB站点上清除统计信息后,远程服务的状态不会更新。作为一个解决办法,再次清除相同GSLB站点上的统计信息。然后更新远程服务的状态。
[nshelp-28169]
在高可用性设置中,如果满足以下条件,辅助节点可能会崩溃:
- 两个节点上的物理内存量是不同的。
- 数据会话没有正常同步。
[nshelp-26503]
在集群环境下,通过GSLB虚拟服务器绑定访问GSLB服务IP地址时,界面上不显示GSLB服务IP地址。这只是一个显示问题,对功能没有影响。
[nshelp-20406]
杂项
当创建隧道或服务类型(TOS)虚拟服务器时,Citrix ADC设备会添加额外的L2信息。
[nshelp-27825]
网络
在基于Debian的Linux主机上运行的Citrix ADC BLX设备(版本13.0 build 82.x)升级后,SSH在共享模式下无法正常工作。
[nsnet-23020]
Citrix ADC BLX设备升级到版本13.1后,构建4。X, web应用程序防火墙可能会错误地阻止没有内容类型头的请求。
[nsnet-21415]
在Citrix ADC BLX设备中,NSVLAN与tagged绑定non-dpdk
接口可能不能按预期工作。NSVLAN与untagged绑定non-dpdk
接口工作正常。
[nsnet-18586]
在Citrix ADC设备中,内部驱动程序层可能使用错误的数据缓冲区,导致数据损坏,从而导致设备崩溃。
[nshelp-27858]
固定的问题:
Citrix ADC CPX作为侧车部署并连接多个网络,无法为目标子网选择正确的源IP地址。
[nshelp-27810]
在高可用性设置中,WAF概要文件和位置文件配置的HA同步可能会失败。
[nshelp-27546]
在负载均衡配置中,如果同时满足以下所有条件,则会观察到报文循环:
- 虚拟服务器被配置为监听端口80和连接故障转移(
connfailover
)参数设置为无状态。 虚拟服务器收到两个请求包,它们有:
- 源端口= 80
- 目的端口号= 80以外的数字
- 目的IP地址=虚拟服务器的IP地址(VIP)
[nshelp-22431]
平台
事件解释创建目标实例失败
即使您没有创建任何目标实例,也会在GCP控制台上看到错误消息。当您没有compute.targetInstances.get
GCP服务帐户的IAM权限。从这个版本开始,Citrix ADC VPX仅为使用VIP Scaling特性的vm创建目标实例。
[nsplatp -20952]
Citrix ADC设备甚至在Citrix ADC设备达到其许可证的PPS限制之前,就会生成每秒假包数(PPS)速率限制警报。
[nshelp-26935]
政策
具有全局作用域的NS变量不适用于HTTP/2流量。
[nshelp-27095]
SSL
在集群设置中,当安装的两个证书是一个具有OCSP AIA扩展名的服务器证书的颁发者时,如果删除服务器证书,则设备将不可访问。
[nshelp-28058]
在高可用性环境中,如果同时满足以下两个条件,CRL会间歇性地自动刷新失败:
- 文件正在从主节点同步到备节点。
- CRL正在从CRL服务器下载。
[nshelp-27435]
在Citrix ADC设备上,当添加了启用了-expiryMonitor的证书密钥对时,第二天会记录一个虚假的证书过期通知。
[nshelp-27348]
在集群数据库中,如果您在客户端hello绑定点以不同的优先级多次将SSL策略绑定到虚拟服务器,则绑定不会正确更新。因此,即使在将策略从虚拟服务器解除绑定后,在删除策略时也会出现错误。
[nshelp-27301]
如果更改内置证书的名称,Citrix ADC设备将在重新引导期间崩溃(ns-server-certificate
)。
[nshelp-26858]
在集群设置中,您可能会观察到以下问题:
- 与CLIP上的SSL内部服务绑定的默认证书-密钥对缺少命令。但是,如果从旧版本升级,则可能必须将默认证书密钥对绑定到CLIP上受影响的SSL内部服务。
- 内部服务的默认set命令的CLIP和节点之间的配置差异。
- 在节点上运行的show running config命令的输出中缺少SSL实体的缺省cipher bind命令。这个遗漏只是显示问题,对功能没有影响。控件可以查看绑定
显示SSL <实体> <名称>
命令。
[nshelp-25764]
系统
Citrix ADC设备可能会因ICAP OPTIONS响应而崩溃。当允许的头值包含的值不是204时,就会发生此问题。
[nshelp-27879]
在AppFlow中,流记录的第4层字节数与HTTP虚拟服务器事务不匹配。该计数值低于第7层虚拟服务器字节计数值。
[nshelp-27495]
如果Citrix ADC设备注册在Citrix ADM上,则tcpCurClientConn计数器显示较大的值。
[nshelp-27463]
当禁用AppFlow特性并重新启用时,Citrix ADC设备可能会崩溃。
[nshelp-27236]
在极少的情况下,Citrix ADC设备在从后端服务器转发它时可能会向客户机发送错误的TCP SACK序列号。如果TCP配置文件中启用了TCP选择性ACK (SACK)选项,则会出现此问题。
[nshelp-24875]
类的策略可能导致Citrix ADC设备崩溃HTTP.REQ。*
的RESPONSE绑定点HTTP_QUIC
虚拟服务器。如果将相同的策略绑定到HTTP或SSL类型的虚拟服务器,则不会出现此问题HTTP_QUIC
虚拟服务器。
[nsbase-14612]
用户界面
在压缩策略管理器GUI中,无法通过指定相关的绑定点和连接类型将压缩策略绑定到HTTP协议。
[nsui-17682]
当您使用该命令从ADC实例获取任何文件的内容时显示systemfile
,下载失败的错误提示会出现在ADC控制台上。如果文件内容以NULL字节开头,就会出现这个问题。
[nshelp-28227]
的admautoregd
由于系统内部问题(Python二进制文件丢失),SYSLOG flood会导致客户资源定义(Customer Resource Definition, CRD)错误分类和误诊。
修复:停止监控admautoregd
如果python二进制文件仍然丢失,则在30分钟后处理。
[nshelp-28185]
如果AWS上配置了KEK的VPX实例升级到Citrix ADC发行版13.0 build 76,则可能会出现配置丢失。X或以上。如果重启后加载配置,则所有使用KEK加密的敏感数据都将失败。
[nshelp-28010]
如果在某些SSL命令的参数中使用了特殊字符,则会错误地引入额外的反斜杠字符,例如创建SSL rsakey
而且创建SSL证书
.
[nshelp-27378]
在高可用性设置中,如果满足以下任何一个条件,HA同步或HA传播可能会失败:
- RPC节点密码具有特殊字符。
- RPC节点密码有127个字符(允许的最大字符)。
[nshelp-27375]
的nsconfigaudit
如果输入配置文件的大小非常大,工具可能会崩溃。
[nshelp-27263]
不能使用Citrix ADC GUI将服务或服务组绑定到优先级负载均衡虚拟服务器。
[nshelp-27252]
如果Citrix ADC设备上的系统时钟更新,报告功能可能会停止工作。
[nshelp-25435]
在Citrix ADC VPX设备中,在添加许可证服务器后,设置容量操作可能会失败。出现这个问题是因为Flexera相关的组件需要较长的时间来初始化,因为支持大量类型签入和签出(CICO)的许可证。
[nshelp-23310]
的botprofile_logexpression_binding
如果日志表达式绑定到bot概要文件,则NITRO API GET调用不返回响应。
[nsconfig-5490]
在集群配置中,当您将Web App Firewall配置文件与细粒度规则绑定,然后与non-fine-graned
规则到相同的URL,细粒度的规则将从数据库中删除。因此,集群IP地址上只显示非细粒度的规则。
[nsconfig-5389]
已知的问题
版本13.1-4.44中存在的问题。
演示applow
HDX Insight不会报告由于用户试图启动其没有访问权限的应用程序或桌面而导致的应用程序启动失败。
[nsinsight-943]
身份验证、授权和审计
错误的登出(/ cgi / tmlogout
当VPN虚拟服务器配置为SAML SP时,返回的是SAML元数据中的注销URL错误。
[nshelp-28726]
在某些情况下,如果将SSO功能与代理服务器一起使用,则会在Citrix ADC设备中观察到内存泄漏。
[nshelp-27744]
在极少数情况下,如果满足以下条件,高可用性设置中的辅助节点可能会崩溃。
- 的
aaa级组
或aaa级用户
或者两者都在Citrix ADC设备上配置。
[nshelp-26732]
Citrix ADC设备不验证重复的密码登录尝试,并防止帐户锁定。
[nshelp-563]
Citrix ADC GUI的登录模式编辑器屏幕上没有正确显示DualAuthPushOrOTP.xml LoginSchema。
[nsauth-6106]
可以在集群部署中配置ADFS代理配置文件。在执行以下命令时,代理配置文件的状态错误地显示为空白。显示adfsproxyprofile <配置文件名称>
处理:
连接到集群中的主活动Citrix ADC并运行显示adfsproxyprofile <配置文件名称>
命令。它将显示代理配置文件状态。
[nsauth-5916]
如果执行以下步骤,Citrix ADC图形界面上的“配置认证LDAP服务器”页面将失去响应:
- 打开“Test LDAP Reachability”选项。
- 填充并提交无效的登录凭据。
- 填充并提交有效的登录凭证。
处理:
关闭并打开Test LDAP Reachability选项。
[nsauth-2147]
缓存
如果启用了集成缓存特性,并且Citrix ADC设备的内存不足,则该设备可能会崩溃。
[nshelp-22942]
Citrix ADC SDX设备
在Citrix ADC SDX设备上,使用软件版本12.0 XVA映像创建ADC实例失败。因此,实例不可访问。
[nshelp-28408]
Citrix网关
有时,断开VPN连接后,DNS解析器无法解析主机名,这是因为VPN连接断开时,DNS后缀被删除了。
[nshelp-28848]
在将Citrix Gateway设备升级到版本13.0之后,会话概要文件中的代理配置不能按预期工作。配置非http NS代理时,会忽略代理连接。
例如:add vpn sessionAction -proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24
在本例中,-httpProxy按预期工作,但-sslProxy不起作用。
[nshelp-28640]
如果macOS Keychain中没有客户端证书,则Citrix SSO for macOS的客户端证书认证失败。
[nshelp-28551]
有时,当设置了客户端空闲超时时间后,用户会在几秒钟内退出Citrix Gateway。
[nshelp-28404]
Windows插件可能在身份验证期间崩溃。
[nshelp-28394]
如果发生以下任何一种情况,Citrix ADC设备将崩溃:
- syslog动作配置了域名,通过GUI或CLI清除配置。
- 高可用性同步发生在辅助节点上。
处理:
使用syslog服务器的IP地址而不是syslog服务器的域名创建syslog动作。
[nshelp-25944]
用于Windows的EPA插件不使用本地计算机配置的代理,而是直接连接到网关服务器。
[nshelp-24848]
Gateway Insight无法准确显示VPN用户信息。
[nshelp-23937]
Windows登录后,VPN插件不建立隧道,同时满足以下条件:
- Citrix网关设备配置为Always On特性
- 该设备配置为使用双因素身份验证的基于证书的身份验证
从
[nshelp-23584]
有时在浏览模式时,错误消息无法读取未定义的属性“type”
出现了。
[nshelp-21897]
网关洞察不会报告由于STA票证无效而导致的应用程序启动失败。
[cgp -13621]
Gateway Insight报告显示该值错误当地的
而不是SAML
在验证类型字段表示SAML错误失败。
[cgp -13584]
在高可用性设置中,在Citrix ADC故障转移期间,SR计数增加,而不是Citrix ADM中的故障转移计数增加。
[cgp -13511]
在接受来自浏览器的本地主机连接时,接受连接对话框显示英文内容,而不考虑所选语言。
[cgp -13050]
文本主页
在Citrix SSO app > Home某些语言的页面被截断。
[cgp -13049]
当您从Citrix ADC GUI中添加或编辑会话策略时,会出现一条错误消息。
[cgp -11830]
在Outlook Web App (OWA) 2013中,单击选项下设置菜单显示关键的错误对话框。此外,页面将变得无响应。
[cgp -7269]
在集群部署中,如果运行强制集群同步
在非cco节点上执行命令时,ns.log文件中包含重复的日志项。
[cgp -6794]
Citrix Web应用防火墙
Web App Firewall签名ID 1048会阻止Citrix Gateway页面的加载。
[nshelp-29113]
负载平衡
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这是一个罕见的病例。
[nslb-7679]
由于失败的命令中缺少ENUM值,GSLB服务组无法处理监视器更新。
[nshelp-29050]
如果GSLB虚拟服务器的配置如下,Citrix ADC设备可能无法响应带有预期GSLB业务IP地址的GSLB域查询:持久类型:源IP地址负载均衡算法:静态接近备份负载均衡方法:往返时间(RTT)
[nshelp-28668]
配置GSLB服务组开启自动伸缩功能后,VPX主备站点崩溃。处理步骤
解决方案:在添加GSLB业务或绑定IP端口给GSLB服务组时,不能添加虚拟服务器,例如内容切换虚拟服务器。
[nshelp-28530]
HA设置中的Citrix ADC设备失去连接,因为在HTTP探测监视期间发送HTTP响应后没有释放NSB内存。
[nshelp-28466]
格式中的serviceGroupName格式entityofs
服务组Trap如下:> <服务(集团)名字? < ip / DBS > ?<口>
在trap格式中,服务组通过IP地址或DBS名称和端口进行标识。问号(?
)用作分隔符。Citrix ADC发送带有问号的陷阱(?
).格式在Citrix ADM GUI中显示相同。这是预期的行为。
[nshelp-28080]
杂项
当在高可用性设置中发生强制同步时,设备将运行设置urlfiltering参数
命令。方法中提到的下一个计划时间之前,辅助节点将跳过任何计划更新TimeOfDayToUpdateDB
参数。
[nsswg-849]
IDNA2008标准域的URL集模式匹配失败。
[nshelp-28902]
日志含义VXLAN启用MBF功能时,TCP有状态会话没有建立。
[nshelp-27125]
如果与URL过滤第三方供应商发生连接问题,Citrix ADC设备可能会由于管理CPU停滞而重新启动。
[nshelp-22409]
网络
如果Web应用程序防火墙配置文件配置了高级安全保护检查,DPDK模式下的Citrix ADC BLX设备可能会崩溃。
处理:
删除WAF的高级安全保护配置。
[nsnet-22654]
从Citrix ADC BLX设备13.0 61升级后。X编译到13.0 64。x构建,settings on the BLX configuration file are lost. The BLX configuration file is then reset to default.
[nsnet-17625]
Intel不支持以下接口操作X710 10G (i40e)
使用DPDK的Citrix ADC BLX设备的接口:
- 禁用
- 启用
- 重置
[nsnet-16559]
在基于Debian的Linux主机上(Ubuntu版本18及更高版本),Citrix ADC BLX设备总是以共享模式部署,而不管BLX配置文件(/etc/blx/blx.conf
)设置。出现这个问题是因为mawk
,它在基于Debian的Linux系统上默认存在,但不能运行某些awk
中出现的命令blx.conf
文件。
处理:
安装腼腆的人
在安装Citrix ADC BLX设备之前。可在Linux主机命令行中执行如下命令进行安装腼腆的人
:
- Apt-get安装gawk
[nsnet-14603]
Citrix ADC BLX设备可能会在基于Debian的Linux主机(Ubuntu版本18及更高版本)上安装失败,出现以下依赖错误:
以下包有未满足的依赖:blx-core-libs:i386: PreDepends: libc6:i386(>= 2.19),但它是不可安装的
处理:
在安装Citrix ADC BLX设备之前,请在Linux主机命令行中执行以下命令:
- DPKG——add-architecture i386 - apt-get update - apt-get dis -upgrade - apt-get install libc6:i386
[nsnet-14602]
在FTP数据连接的某些情况下,Citrix ADC设备只对用于TCP MSS协商的数据包执行NAT操作,而不执行TCP处理。因此,没有为该连接设置最佳的接口MTU。MTU设置不正确,会导致报文分片,影响CPU性能。
[nsnet-5233]
在高可用性设置中使用两个Citrix ADC设备的大规模NAT部署中,如果高可用性配置已经存在,IPsec ALG可能无法正常工作stayprimary
或staysecondary
选项设置。
[nsnet-1646]
当在Citrix ADC设备中更改管理分区内存限制时,TCP缓冲内存限制将自动设置为管理分区新内存限制。
[nshelp-21082]
在高可用性(HA)环境中,如果禁用了GARP (Gratuitous ARP),在HA故障切换后,上游路由器可能不会将流量导向新的主路由器。
[nshelp-20796]
平台
当从13.0/12.1/11.1版本升级到13.1版本或从13.1版本降级到13.0/12.1/11.1版本时,Citrix ADC设备上没有安装一些python包。此问题已修复以下Citrix ADC版本:
- 13.1 - -4. x
- 13.0 ~ 82.31及以上版本
- 12.1-62.21及以上
当您将Citrix ADC版本从13.1-4降级时,没有安装python包。X升级到以下版本:
- 任何11.1版本
- 12.1-62.21及更早
- 13.0 -81年。X或更早
[ns普拉特-21691]
在运行版本13.1的Citrix ADC SDX设备上,使用版本12.0 XVA发放VPX实例失败。
仅支持VPX 12.1及以上版本。在升级SBI到13.1版本之前,请先升级VPX版本。
[ns普拉特-21442]
当您从Azure资源组中删除自动伸缩设置或虚拟机规模设置时,请从Citrix ADC实例中删除相应的云配置文件配置。使用rm cloudprofile
命令,删除配置文件。
[ns普拉特-4520]
在Azure上的高可用性设置中,通过GUI登录到辅助节点时,会出现用于自动伸缩云配置文件配置的首次用户(FTU)屏幕。解决方法:跳过屏幕,登录到主节点创建云配置文件。应该始终在主节点上配置云配置文件。
[nsplatp -4451]
使用VMXNET3驱动程序的Citrix ADC VPX实例如果运行在以下Citrix ADC版本之一上,可能会随机崩溃:
- Citrix ADC 13.1 build 4.x
- Citrix ADC 13.1 build 9.x
[nshelp-29120]
政策
如果处理数据的大小大于配置的默认TCP缓冲区大小,则连接可能挂起。解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。
[npolicy -1267]
SSL
在包含Citrix ADC SDX 22000和Citrix ADC SDX 26000设备的异构集群上,如果重新启动SDX 26000设备,则会丢失SSL实体的配置。
处理:
- 在CLIP上,禁用所有现有和新的SSL实体(如虚拟服务器、服务、服务组和内部服务)上的SSLv3。例如,
设置ssl vserver
.-SSL3 DISABLED - 保存配置。
[nssl -9572]
Update命令对于以下add命令不可用:
添加azure keyvault -添加SSL certkey与hsmkey选项
[nssl -6484]
如果已添加身份验证Azure Key Vault对象,则不能添加Azure Key Vault对象。
[nssl -6478]
您可以使用相同的客户端ID和客户端机密创建多个Azure Application实体。Citrix ADC设备不返回错误。
[nssl -6213]
当您不指定删除HSM键时,出现以下错误错误消息KEYVAULT
作为HSM类型。错误:禁用CRL刷新功能
[nssl -6106]
在集群IP地址上,会话密钥自动刷新错误地显示为禁用。(此选项不能被禁用。)
[nssl -4427]
一个错误的警告信息,警告:SSL vserver/服务上没有配置可用的密码,
出现,如果您试图更改SSL配置文件中的SSL协议或密码。
[nssl -4001]
在HA故障转移后,在非cco节点和HA节点上执行过期的会话票据。
[nssl -3184]
如果将策略操作设置为,则Citrix ADC设备在处理HTTP请求时崩溃向前
对于已在请求绑定点绑定的策略。
[nshelp-29115]
系统
当Citrix ADC设备处理HTTP/2报头帧时,会观察到TCP窗口泄漏。
[nshelp-28475]
当客户端用多个TCP流重置连接时,服务器端事务记录不会被发送,这将导致那些数据流的L4记录丢失。
[nshelp-28281]
在集群设置中,设置ratecontrol
命令只在重新启动Citrix ADC设备后生效。
处理:
使用Nsapimgr_wr.sh -ys icmp_rate_threshold=<新值>
命令。
[nshelp-21811]
如果设备没有从客户端接收到max_concurrent_stream设置帧,则MAX_CONCURRENT_STREAMS值默认设置为100。
[nshelp-21240]
mptcp_cur_session_without_subflow计数器不正确地递减为负值而不是零。
[nshelp-10972]
当为Insight配置LogStream传输类型时,HDX Insight skiipflow记录中的“Client IP”和“Server IP”颠倒。
[nsbase-8506]
用户界面
在Citrix ADC GUI中,帮助
链接载于指示板
TAB损坏。
[nsui-14752]
创建/监视CloudBridge连接器向导可能失去响应或配置CloudBridge连接器失败。
处理:
通过使用Citrix ADC GUI或CLI添加IPsec安全框架、IP隧道和策略路由规则来配置cloudbridge连接器。
[nsui-13024]
如果使用GUI方式创建ECDSA密钥,则不会显示曲线类型。
[nsui-6838]
对象的任何操作都将执行以下问题ns.conf
文件。例如,显示ns已保存配置
.
- HTTPD进程可能会冻结,导致GUI和NITRO API变得不可访问。
[nshelp-28249]
在高可用性环境下,当满足以下条件时,VPN用户会话断开:
- 在HA同步过程中,连续两次或两次以上手动HA故障切换。
处理:
待HA同步完成(两个节点的状态均为“Sync success”)后,再进行后续手动HA故障切换。
[nshelp-25598]
在管理分区设置过程中,上传和添加证书吊销列表(CRL)文件失败。
[nshelp-20988]
当您降级Citrix ADC设备版本13.0-71时。由于文件权限更改,一些NITRO api可能无法工作。
处理:
更改权限/ nsconfig ns.conf
到644年。
[nsconfig-4628]
如果您(系统管理员)在Citrix ADC设备上执行以下所有步骤,系统用户可能无法登录降级的Citrix ADC设备。
将Citrix ADC设备升级到以下版本之一:
- 13.0 52.24构建
- 12.1 57.18 build
- 11.1 65.10 build
- 添加系统用户或修改已有系统用户的密码,并保存配置
- 将Citrix ADC设备降级为任何旧版本。
使用CLI命令显示这些系统用户的列表。在命令提示符处,输入:
查询ns config -changedpassword [-config <配置文件的完整路径(ns.conf)>]
处理:
要修复此问题,请使用以下独立选项之一:
- 如果Citrix ADC设备还没有降级(前面提到的步骤中的第3步),请使用以前备份的相同版本版本的配置文件(ns.conf)降级Citrix ADC设备。
- 在升级版本中没有更改密码的任何系统管理员都可以登录到降级版本,并为其他系统用户更新密码。
- 如果以上选项都不起作用,系统管理员可以重置系统用户密码。
有关更多信息,请参见如何重置根管理员密码.
[nsconfig-3188]
以下任何Citrix ADC升级操作都可能导致本地系统用户帐号无法登录:
- 从Citrix ADC 13.0-83。x构建to Citrix ADC 13.1-4.x build
- 从Citrix ADC 12.1-63。x构建to Citrix ADC 13.1-4.x build
- 从Citrix ADC 12.1-63。x构建to Citrix ADC 13.0-82.x build
只有满足以下条件之一的本地系统用户帐户才会出现此问题:
- 在Citrix ADC版本上更改了本地系统帐户的用户密码。X或12.1-63.x)。
- 在Citrix ADC版本中添加了本地系统用户帐户(13.0-83)。X或12.1-63.x)。
处理:
系统管理员可以为登录失败的本地系统用户重置密码。
有关更多信息,请参见如何重置根管理员密码.
[nsconfig-5650]