Citrix ADC 13.0-52.24版本发布说明

身份验证、授权和审计

• 题目:针对nFactor认证的Citrix网关登录信息加密
  
  采用nFactor认证的Citrix网关可以在认证过程中对客户端(浏览器或SSO应用)提交的登录请求字段进行加密。加密的登录请求字段提供了额外的安全层，以保护用户的敏感数据不被泄露。
  
  有关详情，请参阅https://docs.citrix.com/en-us/citrix-adc/12-1/aaa-tm/multi-factor-nfactor-authentication.html
  
  [nhelp -19554]

• 标题:支持SameSite属性
  对于Citrix Gateway和Citrix ADC身份验证、授权和审计部署，现在添加了支持来配置SameSite cookie属性。此属性有助于防止由于某些浏览器升级(如谷歌Chrome 80)可能出现的问题。SameSite属性现在可以根据需要设置为None, Lax或Strict。
  
  有关详情，请参阅https://docs.citrix.com/en-us/citrix-gateway/12-1/configure-samesite-attribute-for-citrix-gateway.html
  https://docs.citrix.com/en-us/citrix-adc/12-1/aaa-tm/configure-samesite-for-aaa-deployments.html
  
  
  [nsauth-7531]

• 标题:支持在OAuth IdP分区设置中绑定VPN全局证书
  
  在分区设置中，您现在可以将证书绑定到VPN全局，用于OAuth IdP部署。
  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/13/admin-partition/admin-partition-access-and-configure.html
  
  [nsauth-7084]

• 题目:支持在Citrix Gateway IdP上部署双活GSLB
  
  使用OpenID Connect协议配置为身份提供者(IdP)的Citrix网关现在可以支持双活GSLB部署。Citrix Gateway IdP上的双活GSLB部署提供了跨多个地理位置负载平衡传入用户登录请求的功能。
  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/configuring-openid-connect-protocol.html
  
  [nsauth-6276]

Citrix ADC SDX Appliance

• 标题:启用不重启实例的VPX always-on特性
  
  以前，在VPX实例上启用或禁用通过内部网络管理功能后，会导致实例重启。此功能支持SDX管理服务和VPX实例之间独立的内部始终在线连接。现在，实例在启用或禁用该特性后不会重新启动。
  
  但是，如果在已升级为13.052的SDX设备上配置的VPX实例(版本13.0任何构建)上启用通过内部网络进行管理。x，则VPX实例重新启动。如果在SDX升级之前VPX上已经禁用了“通过内部网络管理”选项，就会发生这种情况。
  
  有关通过内部网络管理的更多信息，请参见https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.html
  
  
  [nssvm-2803]

• 标题:支持SD-WAN实例的池容量许可
  当在SDX设备上配置了池容量许可后，您现在可以提供SD-WAN实例。有关池容量许可的详细信息，请参见https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html
  
  [nssvm-2737]

Citrix网关

• 标题:CredSSP协议版本6支持RDP代理
  RDP代理现在支持CredSSP协议版本6。
  
  [nhelp -8732]

• 题目:支持Citrix虚拟应用程序和桌面7 1912 LTSR
  
  思杰网关现在支持思杰虚拟应用程序和桌面7 1912 LTSR。
  
  [cgop-11796]

• 标题:出站ICA代理设置中局域网代理上的SSL支持
  
  如果您在Citrix网关上配置出站ICA代理，Citrix Workspace应用程序现在通过SSL加密它发送到Citrix ADC LAN代理的所有流量。以前，只有Citrix ADC LAN Proxy和Citrix Gateway之间的流量是通过SSL的。
  
  [cgop-9977]

Citrix Web应用防火墙

• 标题:POST正文限制设置为10gb
  
  帖子主体限制的最大值现在从4 GB更改为10 GB。
  
  [nswaf-3815]

• 标题:Appspider_7_2_83_1漏洞扫描器集成
  
  对于主动漏洞扫描，Citrix ADC设备现在集成了Appspider_7_2_83_1扫描程序。因此，您现在可以导入Appspider扫描报告来防止漏洞并生成签名。
  
  [nswaf-2912]

负载平衡

• 标题:支持配置ADC生成的cookie属性
  
  对于Citrix ADC部署，现在添加了将额外的cookie属性插入到Citrix ADC设备生成的cookie中的支持。这些额外的cookie属性有助于根据应用程序访问模式为ADC生成的cookie强制执行所需的策略。
  
  此功能可用于防止因谷歌Chrome升级(谷歌Chrome 80)而出现的问题。
  
  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/insert-cookie-attributes.html
  
  [nslb-6068]

• Title:备份虚拟服务器的SNMP OID
  
  SNMP对象标识符(OID)值为1.3.6.1.4.1.5951.4.1.3.1.1.81的“vsvrBackupVserver”新增到Citrix ADC管理信息库中。该OID提供为现有虚拟服务器配置的备份虚拟服务器的详细信息。
  
  [nslb-5365]

• 标题:Kubernetes中轻量级版本的Citrix ADC CPX作为DNS缓存
  
  由于微服务架构的广泛采用，Kubernetes集群内的DNS请求率正在增加。因此，Kubernetes DNS (kube-dns)负担过重。在Kubernetes集群中，现在可以在每个节点上部署Citrix ADC CPX作为DNS缓存，并将来自节点中的应用程序pod的DNS请求转发给Citrix ADC CPX。因此，您可以更快地解析DNS请求，并显着减少Kubernetes DNS的负载。
  
  [nslb-5325]

• 标题:主备节点间GSLB配置的并行同步
  
  现在，通过启用主节点和从节点之间GSLB配置的并行自动同步，GSLB性能得到了增强。并行同步减少了完成GSLB同步所需的总时间。此过程消除了由于以下原因可能出现的同步延迟:
  
  —从节点不可达。
  -主节点有巨大的配置同步。
  -主配置频繁更改。
  
  [nslb-4808]

• 标题:用户monitor探测失败，显示详细的错误提示
  
  用户监控探针失败的原因记录在/var/nslog/nsumond.log文件中。现在可以通过命令show service/service group查看monitor探测失败的原因。之前，“show service/service group”命令的输出显示了一个通用的错误消息，说“probe failed”。
  
  [nslb-4804]

• 标题:记录DBS监视器探测失败的正确错误消息
  
  对于DBS monitor探测失败，当域名解析成功但IP地址不可达时，最后一次响应消息将显示探测失败的原因。之前，“最后一次响应”错误地将原因显示为“域名未解析”。
  
  [nslb-4626]

• 标题:支持MongoDB协议
  
  Citrix ADC设备现在支持MongoDB和MongoDB- tls协议来实现负载平衡。
  
  [nslb-4137]

网络

• 标题:支持INAT规则的连接故障转移
  
  Citrix ADC设备高可用性设置支持INAT连接的连接故障转移。主节点定期向从节点发送INAT映射和其他与INAT相关的连接信息。辅助设备仅在发生故障转移时使用此信息。
  
  发生故障转移时，新的主节点拥有在故障转移之前建立的INAT连接的信息，因此即使在故障转移之后也继续为这些连接提供服务。
  
  从客户机的角度来看，这种故障转移是透明的。在过渡期间，客户机和服务器可能会经历短暂的中断和重传。每个INAT规则都可以启用连接故障转移。
  
  要在INAT规则上启用连接故障转移，可以使用CLI或GUI启用该特定INAT规则的“connFailover”(“连接故障转移”)参数。
  
  [nsnet-11168]

• 标题:连接故障转移支持从FTP服务器随机端口的FTP连接
  
  连接故障转移使主节点能够在高可用性设置中将连接和持久性信息复制到辅助节点。启用连接镜像后，连接状态信息会定期与从节点共享。
  
  Citrix ADC设备高可用性设置支持FTP服务器使用随机数据端口的FTP连接的连接故障转移。
  
  主节点定时向备节点发送FTP相关连接信息。辅助设备仅在发生故障转移时使用此信息。
  
  要在FTP类型的负载平衡配置上启用连接故障转移，可以使用CLI或GUI启用负载平衡虚拟服务器的“connFailover”(“连接故障转移”)参数。
  
  此外，为了使Citrix ADC设备能够处理FTP服务器使用随机端口的FTP连接，您必须启用Citrix ADC全局参数:aftpAllowRandomSourcePort(为Active FTP启用随机源端口选择)。
  
  
  [nsnet-7685]

• 标题:支持IEEE标准LLDP MIB
  
  Citrix ADC设备现在包含符合IEEE标准的LLDP SNMP MIB。
  
  
  [nsnet-6213]

平台

• 标题:配置UDP虚拟服务器的TCP健康探测
  
  Citrix ADC设备支持对UDP虚拟服务器进行基于tcp的外部健康检查。该特性在虚拟服务器的VIP和配置的端口上引入TCP侦听器。该TCP侦听器反映虚拟服务器的状态。
  
  为了实现上述目的，将tcpProbePort参数添加到以下vserver类型中:
  —负载均衡虚拟服务器
  —缓存重定向虚拟服务器
  —内容交换虚拟服务器
  
  该特性仅支持分配了IPaddress或ipset的虚拟服务器。
  
  [nsplatt -12345]

• Title:启用或禁用dom0访问的选项
  现在可以启用或禁用对SDX控制域(dom0)的访问。通过dom0访问，用户可以直接访问SDX设备并更改配置。以前，默认启用dom0访问。当从以前的版本升级到12.1 56/13.0 xx时，dom0访问将被禁用。
  要启用dom0访问，可以从SDX GUI导航到System > Network Configuration。在“设备可支持性”下，选中“配置设备可支持性”框。
  
  [nsplatt -11065]

• 标题:在Microsoft Azure Stack上部署VPX实例
  
  现在可以在Azure Stack上部署VPX实例。
  
  [nsplatt -9737]

政策

• 标题:支持为绑定到字符串映射的键值条目提供注释
  
  “bind policy stringmap”命令现在允许您为绑定到字符串映射的每个键值条目提供注释。
  CLI命令:
  绑定策略字符串映射 (评论 ］
  在那里,
  注释提供对stringmap中的键值项的注释
  
  [nspolicy-3297]

• Title:支持字符串或字符字面量中的二进制字符
  
  Citrix ADC设备现在支持ASCII(默认)字符集的字符串或字符字面量中的ASCII和二进制值。
  例子
  CLIENT.TCP.PAYLOAD (100) .CONTAINS(“\ xff \ x02”)
  
  [npolicy -3283]

SSL

• 标题:新增ECDHE汇率SNMP告警
  基于ecdhe的密钥交换可能导致设备上每秒的事务数下降。现在可以为基于ecdhe的事务配置SNMP告警。在此告警中，可以设置ECDHE汇率的阈值和正常限制。增加一个新的计数器' nsssl_tot_sslInfo_ECDHE_Tx '。此计数器是设备前端和后端所有基于ecdhe的事务计数器的总和。当基于ecdhe的密钥交换超过配置的限制时，发送SNMP trap。当该值恢复到配置的正常值时，发送另一个trap。
  
  [nsssl-7450]

• 题目:在包含Intel Coleto SSL芯片的Citrix ADC设备前端支持DTLSv1.2协议
  包含英特尔Coleto SSL芯片的Citrix ADC设备的前端现在支持DTLS 1.2协议。在配置DTLS虚拟服务器时，现在必须指定DTLS1或DTLS12。
  以下设备配备英特尔Coleto芯片:
  - MPX 59xx
  - MPX/SDX 89xx
  - MPX/SDX MPX 26xxx
  - MPX/SDX 26xxx-50S
  - MPX/SDX 26xxx-100G
  - MPX/SDX 15xxx-50G
  
  [nsssl-7189]

• 标题:支持使用基于sha2的证书ID处理OCSP响应
  Citrix ADC设备现在可以处理包含基于证书ID的SHA2或其变体(SHA-224、SHA-256、SHA-384、SHA-512)的OCSP响应。以前，如果收到的OCSP响应使用基于sha2的证书ID，则OCSP请求超时，因为响应的证书ID与发送OCSP请求时使用的基于sha1的证书ID不匹配。根据客户端认证状态和虚拟服务器上的OCSP检查设置，导致SSL握手失败。
  
  [nhelp -20399]

系统

• 标题:配置HTTP/2帧的最大限制
  
  现在可以修改HTTP/2连接中接收的最大帧数(如PING、RESET、SETTING和EMPTY)的默认配置。如果设备接收到的帧数超过最大限制，则设备静默地关闭连接。
  
  [nsbase-9447]

• 标题:请求重试ADC入口流量
  
  当客户端发送HTTP或HTTPS请求并且后端服务器重置TCP连接时，请求重试特性允许Citrix ADC设备选择下一个可用服务并转发请求，而不是向客户端发送重置。通过重试，当设备向下一个可用服务发起相同的请求时，客户机保存RTT。
  请求重试特性适用于以下错误场景:
  -当设备发送请求数据包时，从后端服务器重置。
  
  注:目前只支持HTTP和SSL协议的请求重试。
  
  [nsbase-8288]

• 标题:支持代理协议
  Citrix ADC设备现在使用代理协议在代理层的所有设备之间安全地将连接信息从客户机传输到服务器。设备添加一个代理协议头，该头插入客户端连接详细信息，并将其转发到其他设备，然后再转发到后端服务器。以下是Citrix ADC设备中Proxy协议的一些使用场景。
  —学习原客户端IP地址
  —选择网站语言
  —将选中的IP地址加入黑名单
  —记录和统计
  
  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/13/system/proxy-protocol.html
  
  [nsbase-4984]

用户界面

• 在Citrix ADC GUI下载页面上，SCOM链接目前不可用。
  
  [nsui-14323]

• 标题:TCP选项中的客户端IP地址
  TCP Profile GUI页面现在允许您配置clientiptcpoption和clientiptcpoptionnumber参数，以便将客户端IP地址发送到后端服务器。
  
  [nsui-13991]

演示applow

• 在HDX Insight中，终止会话的正常运行时间显示实际会话正常运行时间，无论选择的间隔如何。
  
  [nhelp -21380]

身份验证、授权和审计

• 在以下情况下，Citrix ADC设备跳过用户来考虑其他组:
  —用户是嵌套组的直接成员。
  —用户已经是前一个级别组的成员。
  
  [nhelp -21945]

• 在Citrix ADC高可用性和集群设置中，延迟释放内存空间会导致内存堆积。
  
  [nhelp -21917]

• 如果用户身份验证提示额外的登录请求(如密码更改或RADIUS挑战)，Citrix ADC设备可能会在审计日志记录期间崩溃。
  
  [nhelp -21703]

• 配置为用于Workspace登录的SAML IdP的Citrix Gateway设备可能在注销期间偶尔返回HTTP 404错误。
  
  [nhelp -21650]

• 如果满足以下条件，Citrix ADC设备可能会在连接清理中崩溃:
  —流量从VPN路由。
  —单点登录正在进行。
  -罕见的关闭客户端连接的时间问题。
  
  [nhelp -21504]

• 如果使用keytab文件配置kcdAccount参数，为跨域Kerberos部署的Citrix ADC设备可能无法执行SSO。
  
  [nhelp -21406]

• 配置为转发代理的Citrix ADC设备不允许使用HTTP 1.0客户端进行NTLM身份验证。
  
  [nhelp -21349]

• 在极少数情况下，Citrix Gateway设备可能会在接收到无效HTTP数据包时崩溃。
  
  [nhelp -21342]

• 使用NTLM协议的Citrix ADC设备不能为消息传递应用程序编程接口(Messaging Application Programming Interface, MAPI)客户端执行SSO。
  
  [nhelp -21270]

• 当数据包引擎生成重复会话删除响应时，Citrix ADC设备可能会在身份验证、授权和审计期间崩溃。
  
  [nhelp -21172]

• 如果将Citrix ADC配置为基于表单的SSO，并且在配置中指定了名称-值对，则如果表单中没有这些值，则忽略这些值。
  
  [nhelp -21139]

• 在极少数情况下，如果同时满足以下两个条件，nFactor登录失败:
  —Citrix ADC设备配置为证书身份验证，并回退到LDAP。
  —证书认证失败。
  
  [nhelp -21118]

• 作为SAML部署的Citrix ADC设备有时可能无法执行基于SAML的注销。
  
  [nhelp -21093]

• 使用ie浏览器无法打开Citrix ADC GUI上的nFactor Flows页面。
  
  [nhelp -21065]

• 在Citrix ADC设备重新启动后，SAML元数据url参数不起作用。
  
  [nhelp -21006]

• 在极少数情况下，当用户被要求输入一次性代码时，Citrix Gateway设备可能会失败。
  
  [nhelp -20967]

• 当Citrix ADC设备部署在多域环境(父子域)中，并且用户在父域中，服务在子域中时，Kerberos SSO可能会失败。
  
  [nhelp -20910]

• Citrix ADC设备在以下情况下可能会失败:
  - Citrix ADC设备配置了OAuth或SAML IdP操作以及从外部源刷新元数据信息。
  —在从外部源获取数据或正在进行身份验证时更改配置。当你运行“clear config”命令时，也会观察到同样的问题。
  
  [nhelp -20646]

• 在极少数情况下，通过HTTPS连接LDAP服务器会导致身份验证失败。
  
  [nhelp -20181]

• 当活动同步客户端发送HEAD请求时，Citrix ADC设备不验证200 OK响应。
  
  [nhelp -20125]

• 由于DHT操作问题，RBA对集群节点的访问中断。添加了额外的计数器来处理此场景。
  
  [nhelp -20028]

• 在个别情况下，在超时后清除损坏的SSL VPN身份验证、授权和审计会话条目时，可能会出现内存损坏导致核心转储。
  
  [nhelp -19775]

• 如果属性长度大于128字节，则从AD获取到Citrix ADC设备的LDAP DN属性将被截断。
  
  [nssoth -7210]

• 在Citrix ADC高可用性和集群设置中，当您将设备从12.1构建55.13升级到12.1构建55.18时，设备可能会崩溃。如果设备上启用了Citrix Gateway或身份验证、授权和审计特性，就会发生崩溃。
  
  [nssoth -7153]

• 当在Citrix ADC设备上配置SSO时，从HTTP切换到WebSockets的协议将失败。
  
  [nsauth6354]

• 如果您在Citrix ADC GUI的创建身份验证LDAP服务器页面中使用“端到端登录测试”或“测试终端用户连接”选项编辑身份验证虚拟服务器，则会出现错误消息。
  
  [nsauth6339]

Citrix ADC SDX Appliance

• 在SDX GUI下添加LDAP服务器> Configuration > System > Authentication > LDAP时，表单输入文本框中使用的特殊字符不解码后显示。并且，将Base DN字段中的“&”字符替换为“&”。
  
  [nhelp -21488]

• 将SDX设备升级到13.0任意版本后，没有管理接口(0/1、0/2)的Citrix ADC实例将无法访问。
  
  [nhelp -21412]

• 如果尝试同时重启在SDX设备上运行的多个VPX实例，则VPX实例的通道和数据接口将从SDX管理服务中消失。
  
  [nhelp -21124]

• 升级SDX设备后，SDX管理服务可能没有列出以太网接口。如果升级的后安装过程部分不成功，就会发生这种情况。
  
  [nhelp -21068]

• 在SDX设备上，您可能偶尔会看到CPU使用率很高的事件。之所以会出现这个峰值，是因为设备备份是一个CPU密集型的过程。CPU占用率高是暂时现象。
  
  [nhelp -21063]

• 当选择三个以上实例进行重新启动或关闭时，设备将丢失接口详细信息。
  
  [nhelp -21040]

Citrix网关

• 如果客户端语言设置为中文，会导致Windows VPN插件崩溃。
  
  [nhelp -21946]

• 当配置为高级无客户端VPN时，Citrix ADC设备可能会崩溃。
  
  [nhelp -21819]

• Citrix网关升级到13.0 build 47.24版本后，通过VPN隧道解析DNS失败，本地DNS服务器响应为假阳性。
  
  [nhelp -21794]

• 如果设置了cookie并同时过期，Enterprise Web应用程序可能会显示错误。
  
  [nhelp -21772]

• 如果使用基于rfweb的自定义主题或带有自定义主题的nFactor，则Citrix Gateway登录页面将变得无响应。
  
  [nhelp -21763]

• 当升级到13.0 build 47.x版本后重新启动Citrix ADC设备时，内网应用程序到身份验证、授权和审计组的绑定将丢失。
  
  [nhelp -21733]

• 您不能访问以“1https”或“0https”开头的链接。
  
  [nhelp -21469]

• 如果无客户端VPN应用程序的POST主体包含编码为'(单引号)或"(双引号)的html，则无法通过书签启动使用高级无客户端VPN的应用程序。
  
  [nhelp -21361]

• 如果代理PAC文件不可达，Citrix Gateway VPN插件可能需要很长时间才能建立到机器的隧道。
  
  [nhelp -21355]

• 在某些情况下，如果满足以下条件，Citrix Gateway会转储core:
  
  -为Citrix网关设备启用EDT Insight功能。
  —设备从VDA接收到一个无序的CGP BINDRESP包。
  
  [nhelp -21296]

• 在某些机器上，EPA提示窗口按钮(YES, NO, ALWAYS)不会出现在EPA插件屏幕上。
  
  [nhelp -21276]

• 在Citrix Gateway高可用性设置中，如果在Citrix Web App Firewall全局上启用了日志记录，则辅助节点在高可用性同步期间崩溃。
  
  [nhelp -21254]

• 如果在Citrix Gateway上配置了无客户端VPN (CVPN)，则设备可能会因为错误的重写处理而崩溃。
  
  [nhelp -21244]

• 在Citrix Gateway高可用性设置中，如果启用Gateway Insight，辅助节点可能会崩溃。
  
  [nhelp -21184]

• 如果两台或更多客户机尝试建立到同一网关的VPN隧道连接，则从一台客户机到另一台机器的ping连接将失败。
  
  [nhelp -21169]

• 有时，Citrix ADC设备可能在传输登录期间崩溃。
  
  [nhelp -21134]

• 如果VPN虚拟服务器主机名中包含“cvpn”，则用户无法登录Citrix网关。
  
  
  [nhelp -21119]

• 如果您已经配置了高级无客户端VPN访问，那么如果在企业Web应用程序中使用编码，例如('\x3a'或'&x3a' for ':')，则无法正确查看SAP应用程序书签。
  
  [nhelp -21072]

• 如果客户端和服务器进程控制块的内存分配失败，Citrix ADC设备可能会崩溃并转储核心。
  
  [nhelp -20961]

• 当设备存储库中存在多个设备证书时，带有用户角色的AlwaysOn服务无法建立用户隧道。
  
  [nhelp -20897]

• 即使VPN连接成功，用户也无法访问内部资源，但Citrix虚拟适配器的DNS服务器配置错误。
  
  [nhelp -20892]

• 如果满足以下所有条件，则在StoreFront上配置的应用不会出现在Citrix Gateway主页上:
  —已配置“WiHome”。
  —已开启高级无客户端VPN接入功能。
  —用户使用ie或Firefox浏览器登录。
  
  [nhelp -20888]

• 如果启用OCSP (Online Certificate Status Protocol)对设备证书进行检查，则nFactor认证失败。
  
  [nhelp -20855]

• 如果开启了反向分裂隧道功能，内网路由的前缀值可能错误，或者根本不添加。
  
  [nhelp -20825]

• 在Citrix Gateway高可用性设置中，如果没有配置策略并且将节点从版本12.0升级到版本13.0，则辅助节点可能会崩溃。
  
  [nhelp -20790]

• 如果满足以下两个条件，则在转账登录期间出现空白屏幕并且未枚举StoreFront应用程序:
  —“SplitTunnel”设置为“ON”。
  —“IP地址池(内网IP)选项”设置为“NoSpillOver”。
  
  [nhelp -20584]

• 在高可用性设置中，在Citrix ADC故障转移期间，/var/netscaler/logon文件夹中的一些应用程序的图标不可见。
  
  [nhelp -20573]

• 当后端服务器不可访问时，客户机将耗尽连接，并且到后端的新连接不会成功。
  
  [nhelp -20535]

• 在高可用性设置中，只要将包含SAML相关信息的身份验证、授权和审计会话或VPN会话传播到主节点，辅助节点就会崩溃。
  
  [nhelp -20230]

• 在某些情况下，在启用了ICA Insight的双跳部署中，面向外部的Citrix网关会为特定的网络流量模式转储核心。
  
  [nhelp -19487]

• 现在可以通过编辑plugins.xml配置rfweb参数，如loginFormTimeout和Session timeout。
  
  [nhelp -19221]

• 如果认证、授权和审计会话数量较多，则终止用户会话所需的时间较长。
  
  [nhelp -19131]

• Citrix将ADC和网关插件升级到13.0 build 41.20版本后，用户在尝试建立VPN隧道时出现持续蓝屏错误。
  
  [cgop-12099]

Citrix Web应用防火墙

• 如果启用了URL关闭保护，Citrix ADC设备会在两分钟后阻止关闭URL。
  
  [nswaf-3292]

• 如果Web应用防火墙配置文件使用APPFW_DROP和APPFW_RESET策略操作，Citrix ADC设备可能会崩溃。
  
  [nhelp -21283]

• 当使用APPFW_DROP和APPFW_RESET作为Web应用防火墙策略操作时，Citrix ADC设备可能会崩溃。
  
  [nhelp -21220]

• 如果启用了Citrix Web应用程序防火墙功能，Citrix ADC设备可能会因为内存故障而崩溃。
  
  [nhelp -21201]

• Citrix ADC设备可能因为内存分配失败而崩溃。
  
  [nhelp -21071]

• 如果启用了签名特性并且检测到特定的请求模式，Citrix ADC设备可能会崩溃。
  
  [nhelp -20884]

• 如果传入的GWT请求在URL中有查询字符串，Citrix ADC设备将重置连接。
  
  [nhelp -20564]

• 在从构建12.0-58.15升级到12.0-62.8之后，URL转换功能对某些URL不起作用。这个问题是由重写url时不正确的规范化引起的。
  
  [nhelp -20460]

• 在高可用性设置中，启用IP信誉特性可能导致高可用性命令传播失败。
  
  [nhelp -20010]

• 如果使用慢速FTP/HTTP服务器下载签名，并且下载时间超过10分钟，Citrix ADC设备可能会崩溃。
  
  [nhelp -18331]

聚类

• 在执行show techsupport -scope cluster命令时，所有Citrix ADC SDX设备显示如下错误:
  
  "这是一个低带宽实例"
  
  [nhelp -20666]

负载平衡

• Citrix ADC设备可能在GSLB同步期间崩溃。当对不存在的gslb服务执行“set gslb service”命令时，会出现此问题。
  
  [nhelp -21304]

• 在连接故障转移之后，当辅助设备成为新的主要设备时，将观察到数据包丢失。
  
  [nhelp -21155]

• 在执行“set服务”时 命令，则返回如下错误提示:
  “IP地址不能在基于域的服务器上设置。”
  
  当配置的服务器名称大于32个字符时，会显示此错误信息。
  
  [nhelp -20939]

• 如果设备看门狗请求，Citrix ADC设备可能会间歇性崩溃
  PCRF (Policy and Charging Rules Function)启用DWR探测，PCRF不可达。处理步骤
  
  
  [nhelp -20827]

• 对于集群中的GSLB设置，当您运行“set rpcnode”命令时，RPC节点中的源IP地址将更改为NSIP地址。因此，GSLB在发起MEP连接时使用NSIP地址而不是SNIP地址。
  
  [nhelp -20552]

• 在集群设置中，当您执行“unset lb vserver test -redirectFromPort”命令时，负载平衡虚拟服务器的HTTP重定向端口不会从数据库中清除。
  
  [nhelp -20518]

• 当在IPv6高可用性设置中启用持久性时，Citrix ADC设备可能会崩溃。
  
  [nhelp -20219]

网络

• Citrix ADC设备的CLI在设备处理IPv6分片数据包时显示不需要的调试消息。
  
  [nsnet-12704]

• 支持DPDK的Citrix ADC BLX设备如果在Linux主机上DPDK配置错误(例如，如果没有配置巨大的页面)，则无法启动和转储核心。
  
  有关在linux主机上为Citrix ADC BLX设备配置DPDK的更多信息，请参见https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx-dpdk.html
  
  [nsnet-11349]

• 由于Linux主机上DPDK配置错误(例如，如果没有配置大页面)，Citrix ADC BLX设备无法启动。您需要运行两次启动命令(systemctl start blx)来启动Citrix ADC blx设备。
  
  
  [nsnet-11107]

• 在VTYSH命令行执行sh IP BGP summary命令，错误地将32位ASN值显示为负值。
  
  [nhelp -21234]

• 在Citrix ADC设备上，当执行清除配置基本操作时，可能会重置到IPv6子网IP地址的管理连接。
  
  [nhelp -21206]

• 在设置分区操作期间，分区的最大内存现在只增加到NS_SYS_MEM_FREE()。早些时候，它被增加到可用的最大内存，以便在重新启动Citrix ADC设备后不会丢失配置的分区。
  
  [nhelp -21159]

• 事件解释Citrix ADC接收到的大lsp中AUTH信息缺失，导致安装IS-IS下一跳失败。
  
  [nhelp -21062]

• 对于从Citrix ADC路由表中删除的路由，BGP守护进程可能会显示重复的警告消息。
  
  [nhelp -20906]

• 在系统重启之后，Citrix ADC设备会在180秒内发布降低度量值的路由。
  
  [nhelp -20842]

• 当多个BGP时，Citrix ADC设备可能无法正确更新ECMP路由
  会话同时进入DOWN状态。
  
  [nhelp -20664]

• Citrix ADC设备可能会跳过UDP和ICMP类型的传出监视器数据包的基于策略的路由(PBR)规则。
  
  [nhelp -20545]

NSSWG

• 在复合URLSet表达式中，例如 . urlset_matches_any (URLSET1 || URLSET2)， appflow记录中的“Urlset Matched”字段仅反映最后一次评估Urlset的状态。例如，如果请求的URL只属于URLSET1，则URLSet Matched字段设置为0，尽管该URL属于其中一个URLSet。因此，URLSET1将URLSet Matched字段更改为1，但URLSET2将其设置回0
  
  [nsswg-1100]

• 如果传入URL的域名后面有双斜杠，则URL过滤分类将失败。前缀是“http://”模式。例如:www.example.com//index.html
  
  [nsswg-1082]

• 在Citrix ADC设备和Citrix网关中观察到以下行为:
  当作为代理部署并且为后端应用程序启用SSO时，Citrix ADC设备可能变得无响应。
  —配置出站代理的Citrix网关也有相同的行为。
  
  [nhelp -21437]

平台

• 
  当您热重启Citrix ADC VPX设备时，在以下情况下可能会丢失订阅许可证:
  
  —使用基于ENA的AWS实例类型:C5、C5n、M4、M5。
  —在现有支持的AWS实例上启用ENA接口。
  
  [nsplatt -13467]

• 在使用10G IXGBE端口的Citrix ADC MPX设备和使用10G IXGBEVF端口的Citrix ADC SDX设备上都可能发生延迟。
  
  [nsplatt -13338]

• 题目:支持新的思杰ADC SDX硬件平台
  此版本现在支持以下新平台:
  -思杰ADC SDX 15000。有关更多信息，请参见https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-15000.html
  - Citrix ADC SDX 26000。有关更多信息，请参见https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-26000.html
  -思杰ADC SDX 26000-50S。有关更多信息，请参见https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-26000-50s.html
  [来自Build 51.10]
  
  [nsplata -12815]

• Citrix ADC SDX 8900和SDX 15000 50G设备升级到11.1 63.9版本后，设备上没有出现10G网卡。这个问题会导致VPX实例无法启动。结果，实例变得不可访问。
  
  [nsplatt -12093]

• 在集群设置中，当MPX 15000设备的50G端口被配置为背板的一部分时，50G端口的MTU被设置为零而不是1578。
  
  [nhelp -21113]

• 在某些情况下，当您在包含Fortville网卡的Citrix ADC SDX设备上重启一个或多个VPX实例时，接口上的LACP可能会进入“默认”状态。
  
  [nhelp -21091]

• 在某些情况下，SDX 14000设备可能变得无响应，需要重新启动。
  
  [nhelp -21017]

• 
  在Cisco CSP 2100平台上的VPX部署中，当从物理网络接口卡(pNIC)创建多个虚拟功能(VF)时，偶尔可能会丢失数据包。
  
  [nhelp -20991]

• 如果一个数据包跨越超过8个描述符，可能会在包含Fortville接口的设备上观察到Tx延迟。该停顿可能导致接口进入错误禁用状态。
  
  [nhelp -20800]

政策

• Citrix ADC设备现在允许包括二进制字符在内的所有字符串和字符字面量。但是，UTF-8字符集仍然要求字符串和字符字面量是有效的UTF-8。
  
  以前，该设备只允许有效的UTF-8字符串和字符字面量。对于UTF-8和二进制(ASCII)字符集都是如此。然而，这并不允许一些二进制字符串和字符字面量，这意味着一些与二进制内容相关的有效表达式不能被写入。
  
  例子:
  
  CLIENT.TCP.PAYLOAD (100) .CONTAINS(“\ xff \ x02”)
  
  [npolicy -2362]

• 如果重写数据块时网络缓冲区很少，Citrix ADC设备可能会崩溃。
  
  [nhelp -20847]

SSL

• 在某些情况下，以下设备在运行SSL通信时可能会崩溃:
  - MPX 59xx
  - MPX/SDX 89xx
  - MPX/SDX MPX 26xxx
  - MPX/SDX 26xxx-50S
  - MPX/SDX 26xxx-100G
  - MPX/SDX 15xxx-50G
  
  [nsssl-7606]

• 如果虚拟服务器上还配置了带有可选客户端证书的客户端认证，那么带有强制证书验证的基于策略的客户端认证将失败。
  
  [nhelp -21190]

• 对于支持SNI的会话，ADC设备可以控制如何验证主机报头。在SSL配置文件和SSL全局参数中添加了一个新的参数SNIHTTPHostMatch，以便更好地控制此验证。这个参数可以有三个值;CERT, STRICT和NONE。SSL虚拟服务器或与虚拟服务器绑定的配置文件上必须启用SNI，并且HTTP请求必须包含主机头。
  
  [nhelp -13370]

系统

• 如果您:分析报告不会出现在Citrix ADM GUI上:
  1.安装ADM 12.1.52.15及以上版本。
  2.选择Logstream传输模式来配置实例上的分析。
  
  [nhelp -21618]

• Citrix ADC设备不会在空闲超时后用HTTP/2 RST_STREAM重置客户端连接上的HTTP/2流。
  
  
  [nhelp -21537]

• 如果您在Citrix ADC设备上的HTTP/2配置文件中启用多路复用，则客户端连接将变得无响应。
  
  [nhelp -21434]

• Citrix ADC设备不会向客户端转发响应，如果它同时包含预告头和内容长度的头。
  
  [nhelp -21427]

• 如果HTTP/2安全监视器的内存分配失败，Citrix ADC设备可能会崩溃。
  
  [nhelp -21400]

• 如果appQoE操作失败，Citrix ADC设备可能会崩溃。
  
  [nhelp -21393]

• 如果Citrix ADC设备向后端服务器发送带有多个cookie名称-值对的HTTP/2请求，则HTTP事务可能会失败。
  
  [nhelp -21373]

• 如果Citrix ADC设备接收到带有HTTP/2.0版本的HTTP/1.1请求，它可能会崩溃。对于HTTP/2.0版本的任何客户机请求，设备将其视为HTTP/2.0请求并处理它。这会导致崩溃。
  
  [nhelp -21187]

• 如果在提供大型HTTP响应时启用Appflow客户端测量，Citrix ADC设备可能会崩溃。
  
  [nhelp -21099]

• 在集群设置中，如果在Citrix ADC设备上的原始连接超时之前使用不同的MPTCP密钥重用4个元组，则Citrix ADC设备可能会因为新的MPTCP连接而崩溃。
  
  [nhelp -20844]

• MAC模式透明虚拟服务器部署过程中，被动模式FTP数据连接无响应。
  
  [nhelp -20698]

• 如果启用代理协议，并且由于网络拥塞而发生重传，则内存使用量会增加。
  
  [nhelp -20613]

• show connectiontable命令在以下条件下显示一些不满足上述过滤条件的表项:
  —在高流量下执行命令。
  —该命令与IP或端口过滤器配合使用。
  
  [nsbase-9509]

用户界面

• 如果ADC和adm之间的延迟过大，Citrix ADC池容量许可可能会失败。如果延迟大于200ms，则会出现此问题。
  
  Citrix ADC许可客户端反复尝试从adm检出许可。在高可用性和集群设置中，只要触发同步，就不必要地重新应用许可配置。禁用许可命令池的传播和同步功能。每个节点需要通过登录该节点的NSIP协议独立获取license。只能在集群IP上执行show命令。
  
  [nsui-14868]

• 升级到12.1-55后。如果配置了池许可，则设备可能在未授权的情况下启动。因此，所有的特性都被禁用，并且任何依赖于许可证的配置都将在运行的配置中丢失。执行热重启以恢复池的license和配置。
  警告:不要在未经许可的设备上运行“save config”或强制HA故障转移。
  
  [nsui-7869]

• 现在可以使用GUI在虚拟服务器的SSL参数中将客户机身份验证设置为可选。以前，如果使用GUI更改任何SSL参数，客户机身份验证将变为强制性的。
  
  [nhelp -21060]

• 如果计数查询在Citrix ADC设备中不起作用，则会观察到KeyError异常。
  
  [nhelp -20979]

• 如果实体名称包含空格，则不能使用ADC GUI中的搜索过滤器搜索实体。
  
  [nhelp -20506]

• 基于角色的身份验证(RBA)不允许组名以“#”字符开头。
  
  [nhelp -20266]

• 在分区部署期间，如果在默认分区中运行“uiinternal”命令，然后运行“clear config”命令，则分区设备可能会崩溃。
  
  [nhelp -20247]

• 在某些情况下，提示字符串中的用户名(用“%u”字符指定)不能正确显示。
  
  [nhelp -19991]

• 对于少数SNMP告警，Citrix ADC命令界面和GUI没有显示系统时间参数设置。
  
  [nhelp -19958]

• 如果文件名长度在61到63个字符之间，则无法使用NetScaler GUI检索备份文件，尽管最大限制为63个字符。
  
  [nhelp -11667]

• 每次登录到该设备时，Citrix网关设备都会向RADIUS身份验证服务发送重复的RADIUS访问请求。
  
  [nhelp -11148]

身份验证、授权和审计

• Citrix ADC设备不会对重复的密码登录尝试进行身份验证，并防止帐户锁定。
  
  [nhelp -563]

• 在Citrix ADC GUI的登录模式编辑器屏幕上没有正确显示DualAuthPushOrOTP.xml LoginSchema。
  
  [nssoth -6106]

• ADFS代理配置文件支持在集群部署中配置。执行以下命令时，代理配置文件的状态错误地显示为空白。
  “显示adfsproxyprofile ”
  
  解决方法:连接到集群中的主活动Citrix ADC并发出“show adfsproxyprofile” ”命令。它将显示代理配置文件状态。
  
  [nsauth-5916]

Citrix网关

• 在Citrix Gateway双跳高可用性设置中，HA故障转移后可能会丢失ICA连接。
  解决方法:修改FQDN为下一跳服务器的IP地址。
  
  [nhelp -22444]

• 在Citrix Gateway高可用性设置中，如果配置了syslog，则辅助节点可能会在故障转移期间崩溃。
  
  [nhelp -22438]

• 如果配置了syslog策略，Citrix Gateway设备可能会间歇性地崩溃。
  
  [nhelp -22304]

• 有时在浏览模式时，会出现错误消息“无法读取属性'type' of undefined”。
  
  [nhelp -21897]

• 如果将Citrix ADC设备配置为nFactor身份验证，则在RADIUS身份验证失败时，Citrix ADM设备错误地将失败的身份验证类型显示为“LDAP”。
  
  [nhelp -20440]

• Gateway Insight报告错误地在SAML错误失败的身份验证类型字段中显示值“Local”而不是“SAML”。
  
  [cgop-13584]

• 如果用户正在使用MAC接收器以及Citrix Virtual App和台式机(以前的Citrix XenApp和XenDesktop)的6.5版本，则ICA连接会导致ICA解析期间的跳过解析。
  解决方法:将接收器升级到最新版本的Citrix Workspace应用程序。
  
  [cgop-13532]

• 在高可用性设置中，在Citrix ADC故障转移期间，SR计数增加，而不是Citrix ADM中的故障转移计数。
  
  [cgop-13511]

• 在Outlook Web App (OWA) 2013中，单击“设置”菜单下的“选项”，会出现“严重错误”对话框。此外，页面变得无响应。
  
  [cgop-7269]

网络

• 在重新启动Citrix ADC设备之后，内部传输层服务可能会被注销。因此，设备上的任何传输协议服务请求都会失败。
  [nsnet-15252]

• 如果您在Citrix ADC实例的接口上配置的trunkallowedVlan列表中超过100个vlan，可能会出现以下错误消息:
  错误:操作超时
  ERROR:与包引擎的通信错误
  
  [nsnet-4312]

• 在高可用性设置中，如果执行从Citrix ADC软件版本13.0 47.24或更早版本到更高版本的服务软件升级(ISSU)，则其中一个Citrix ADC设备可能会崩溃。
  
  [nhelp -21701]

• 在启用了retainConnectionsOnCluster选项的集群设置中，当集群节点接收到分段数据包后又接收到非分段数据包时，它可能会崩溃。
  
  [nhelp -21674]

• 当Citrix ADC设备作为remove命令的一部分清理大量服务器连接时，Pitboss进程可能会重新启动。这个Pitboss重启可能会导致ADC设备崩溃。
  
  [nhelp -136]

平台

• 运行状况监控告警错误表示PSU编号。当PSU - 1的电源线断开时，运行状况监控会发送错误的PSU - 2故障告警。
  
  [nsplatt -4985]

政策

• 如果处理数据的大小超过配置的默认TCP缓冲区大小，则连接可能会挂起。
  解决方法:修改FQDN为下一跳服务器的IP地址。
  
  [nhelp -22444]

• 在Citrix Gateway高可用性设置中，如果配置了syslog，则辅助节点可能会在故障转移期间崩溃。
  
  [nhelp -22438]

• 如果配置了syslog策略，Citrix Gateway设备可能会间歇性地崩溃。
  
  [nhelp -22304]

• 有时在浏览模式时，会出现错误消息“无法读取属性'type' of undefined”。
  
  [nhelp -21897]

• 如果将Citrix ADC设备配置为nFactor身份验证，则在RADIUS身份验证失败时，Citrix ADM设备错误地将失败的身份验证类型显示为“LDAP”。
  
  [nhelp -20440]

• Gateway Insight报告错误地在SAML错误失败的身份验证类型字段中显示值“Local”而不是“SAML”。
  
  [cgop-13584]

• 如果用户正在使用MAC接收器以及Citrix Virtual App和台式机(以前的Citrix XenApp和XenDesktop)的6.5版本，则ICA连接会导致ICA解析期间的跳过解析。
  解决方法:将接收器升级到最新版本的Citrix Workspace应用程序。
  
  [cgop-13532]

• 在高可用性设置中，在Citrix ADC故障转移期间，SR计数增加，而不是Citrix ADM中的故障转移计数。
  
  [cgop-13511]

• 在Outlook Web App (OWA) 2013中，单击“设置”菜单下的“选项”，会出现“严重错误”对话框。此外，页面变得无响应。
  
  [cgop-7269]

网络

• 在重新启动Citrix ADC设备之后，内部传输层服务可能会被注销。因此，设备上的任何传输协议服务请求都会失败。
  [nsnet-15252]

• 如果您在Citrix ADC实例的接口上配置的trunkallowedVlan列表中超过100个vlan，可能会出现以下错误消息:
  错误:操作超时
  ERROR:与包引擎的通信错误
  
  [nsnet-4312]

• 在高可用性设置中，如果执行从Citrix ADC软件版本13.0 47.24或更早版本到更高版本的服务软件升级(ISSU)，则其中一个Citrix ADC设备可能会崩溃。
  
  [nhelp -21701]

• 在启用了retainConnectionsOnCluster选项的集群设置中，当集群节点接收到分段数据包后又接收到非分段数据包时，它可能会崩溃。
  
  [nhelp -21674]

• 当Citrix ADC设备作为remove命令的一部分清理大量服务器连接时，Pitboss进程可能会重新启动。这个Pitboss重启可能会导致ADC设备崩溃。
  
  [nhelp -136]

平台

• 运行状况监控告警错误表示PSU编号。当PSU - 1的电源线断开时，运行状况监控会发送错误的PSU - 2故障告警。
  
  [nsplatt -4985]

政策

• 如果处理数据的大小超过配置的默认TCP缓冲区大小，则连接可能会挂起。
  
  解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。
  
  [nspolicy-1267]

• insert_after类型的重写操作可能不适用于HTTP块或FIN终止的响应。
  
  [nhelp -22743]

SSL

• 以下add命令不支持Update命令:
  -添加azure应用程序
  -添加azure keyvault
  -添加带有hsmkey选项的SSL证书
  
  [nsssl-6484]

• 如果已经添加了身份验证Azure密钥库对象，则无法添加Azure密钥库对象。
  
  [nsssl-6478]

• 您可以使用相同的客户端ID和客户端密钥创建多个Azure应用程序实体。Citrix ADC设备不返回错误。
  
  [nsssl-6213]

• 当您删除HSM密钥而没有指定KEYVAULT作为HSM类型时，会出现以下不正确的错误消息。
  错误:crl刷新被禁用
  
  [nsssl-6106]

• 在集群IP地址上，会话密钥自动刷新错误地显示为已禁用。(此选项不能被禁用。)
  
  [nsssl-4427]

• 如果您尝试更改SSL配置文件中的SSL协议或密码，将出现错误的警告消息“警告:SSL vserver/service上没有配置可用的密码”。
  
  [nsssl-4001]

• 在极少数情况下，Citrix ADC设备可能会由于错过心跳而崩溃。
  
  [nhelp -21593]

• 在集群设置中，集群IP (CLIP)地址上的运行配置显示绑定到实体的DEFAULT_BACKEND密码组，而在节点上则没有。这是一个显示问题。
  
  [nhelp -13466]

系统

• 如果出现以下情况，Citrix ADC设备可能会在部署期间崩溃:
  —MPTCP (Multipath TCP)通过MBF和PMTUD使能
  —收到MPTCP流量，响应ICMP Fragmentation Needed错误。
  
  [nhelp -22418]

• 如果出现以下情况，Citrix ADC设备可能会崩溃:
  —已开启Flash Cache。
  —客户端连接被重置。
  -将队列中的客户端请求作为缓存进程的一部分进行服务。
  
  [nhelp -21872]

• 如果启用HTTP/2特性并且有大文件下载(如果文件大小大于或等于1gb)，则会观察到高内存使用率。如果下载的数据缓冲区导致资源利用率过高，则会出现缓慢的客户端问题。
  
  [nhelp -20531]

用户界面

• 创建/监控CloudBridge连接器向导可能变得无响应或配置CloudBridge连接器失败。
  
  解决方法:通过使用Citrix ADC GUI或CLI添加IPSec配置文件、IP隧道和策略路由规则来配置云桥连接器。
  
  [nsui-13024]

• 当您在Citrix ADC GUI中使用Syslog指示板中的滚动条时，页面要么快速滚动，要么显示空白。
  
  [nhelp -21267]

• 如果您(系统管理员)在降级后的Citrix ADC设备上执行以下所有操作，系统用户可能无法登录降级后的Citrix ADC设备。
  
  1.将Citrix ADC设备升级到13.0 52.24版本，
  2.新增系统用户或修改已有系统用户密码，并保存配置
  3.将Citrix ADC设备降级到任何较旧的版本。
  
  使用CLI查询系统用户列表。
  在命令提示符下，输入:
  
  查询ns config -changedpassword [-config . config] ］
  
  处理:
  
  要解决此问题，请使用以下独立选项之一:
  
  -如果Citrix ADC设备尚未降级(上述步骤中的第3步)，请使用先前备份的相同版本的配置文件(ns.conf)降级Citrix ADC设备。
  
  —任何在升级版本中没有修改过密码的系统管理员都可以登录降级版本，并可以更新其他系统用户的密码。
  
  —如果以上选项均无效，系统管理员可以重置系统用户密码。有关更多信息，请参见:https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html
  
  
  [nsconfig-3188]