Citrix ADC 13.0-58.32发布说明
此发布说明文档描述了Citrix ADC发行版Build 13.0-58.32存在的增强和更改、修复和已知问题。
笔记
- 此版本说明文档不包括与安全相关的修复程序。有关安全相关的修复程序和警告的列表,请参阅Citrix安全公告。
- 构建58.32取代了构建58.30
- 此构建中的其他修复:NSAUTH-8617,NSAUTH-8712
什么是新的
Build 13.0-58.32中提供的增强和更改。
Citrix网关
-
标题:DTLS侦听器增强功能
用户现在可以使用配置的SSL VPN虚拟服务器的相同IP和端口号配置单独的DTLS VPN虚拟服务器。通过配置DTLS VPN虚拟服务器,用户可以绑定高级DTLS密码和证书。此外,除了早期支持的DTLS 1.0协议外,还支持DTLS 1.2协议。
[cgop - 11142]
Citrix Web App防火墙
-
标题:机器人管理统计
Citrix ADC机器人管理GUI现在以表格和图形格式显示机器人流量和机器人违规统计数据。
[nswaf - 5270]
-
标题:集群配置的Bot支持
集群配置现在支持Citrix ADC bot管理。
[nswaf-4227]
-
标题:IP信誉和设备指纹检测技术的验证码验证
Citrix ADC机器人管理现在支持CAPTCHA,以减少机器人攻击。CAPTCHA是一种挑战-响应验证,用于确定传入的流量是来自人类用户还是自动化机器人。这种验证有助于阻止导致web应用程序安全违规的自动机器人。在IP声誉和设备指纹检测技术中,可以将CAPTCHA配置为bot动作。
[nswaf-3982]
-
标题:支持自动更新机器人签名
Citrix ADC BOT管理现在支持与AWS数据库通信的自动更新功能,以获取最新的签名更新。每一小时安排更新。
您还可以配置代理服务器来从AWS获取更新,并定期将签名更新到ADC设备。对于代理配置,必须在bot设置中配置代理IP地址和端口。
[nswaf - 3954]
-
题目:进出口放宽规则
现在可以使用Citrix ADC设备导出和导入基于概要文件的动态放松规则和常规放松规则。您可以从登台环境导出规则,并将它们导入生产环境。
“Augment”操作确保松弛规则的导入是可添加的,不会覆盖现有配置。
[nswaf - 3813]
-
标题:机器人陷阱检测
Citrix ADC机器人管理现在支持机器人陷阱检测技术。该技术在客户端响应中发布一个trap URL。如果客户端是人类用户,则URL看起来不可见且不可访问。但是,如果客户端是一个自动化的机器人,则URL是可访问的,并且在被访问时,攻击者被归类为机器人,来自机器人的任何后续请求都将被阻止。这种检测技术可以有效地阻止来自自动化机器人的攻击。
[nswaf - 3231]
-
标题:Snort规则集成
现在可以将Snort规则与Citrix ADC设备集成,以防止应用程序层的恶意攻击。从Snort网站下载规则,并将其转换为WAF签名。基于snort的WAF签名可以检测DOS攻击、缓冲区溢出、隐身端口扫描、CGI攻击、SMB探测和OS指纹尝试等恶意行为。通过集成Snort规则,可以在接口和应用程序层加强安全解决方案。
[nswaf-3055]
负载平衡
-
标题:增强GEO规则以验证基于位置的策略表达式的通配符匹配
现在,地理规则中添加了对基于位置的策略表达式的支持,以检查通配符匹配。此功能检查通配符限定符是否与任何其他限定符(包括非通配符)匹配。通配符匹配通过使用添加到“set locationParameter”命令的matchWildcardtoany属性来执行。
MatchWildCardToAny属性可以设置为以下值:
- 是:通配符限定符符合任何其他限定符。
—No:通配符限定符不匹配非通配符限定符,但匹配其他通配符限定符。默认选项为No。
—表达式:表达式中的通配符与LDNS位置中的任何限定符匹配,而LDNS位置中的通配符与表达式中的非通配符不匹配。
[nshelp - 11782]
网络
-
标题:邻居发现所有者支持条纹IPv6地址
在集群设置中,您现在可以将一个特定的节点配置为带状IPv6地址的邻居发现(ND)所有者,以确定链路层地址。客户端向集群设置中的所有节点发送邻居请求(NS)消息。ND所有者响应NA (Neighbor Advertisement)消息,提供条带IPv6地址的链路层地址,并为流量提供服务。
您可以通过指定节点ID来使用CLI配置ND所有者:
*添加ns ip6-业主
* set ns ip6-业主
在GUI界面中,选择“System > Network > IPs > IPv6s”。添加或修改IPv6地址时,请选择“集群中的NdOwner”中列出的节点id之一。
[nsnet - 10767]
-
Citrix ADC BLX设备上的全局服务器负载平衡支持
Citrix ADC BLX设备现在支持Citrix ADC全局服务器负载平衡(GSLB)功能。
注意:Citrix ADC BLX设备不支持GSLB自动同步子特性。
[nsnet - 9263]
平台
-
标题:Linux-KVM平台上支持Intel X722 10G网卡
Linux-KVM平台上的Citrix ADC VPX实例现在支持英特尔X722 10G SR-IOV网络接口。
[nsplat - 13197]
-
标题:在谷歌云平台上使用私有IP地址设置Citrix ADC VPX高可用性对
您现在可以使用私有IP地址在GCP上部署VPX高可用性对。您必须禁用INC模式以配置此功能。客户端IP(VIP)和服务器IP(SNIP)必须配置为主节点上的别名IP地址。在故障转移时,客户端IP地址和服务器IP地址都将移动到辅助节点。
[nsplat-12516]
-
标题:GCP的后端自动伸缩支持
Citrix ADC VPX设备现在支持Google Cloud Platform(GCP)的后端自动级功能。此功能在GCP托管实例组(MIG)中检测到后端服务器。GCP根据用户定义的指标自动添加或删除MIG池中的服务器。VPX设备捕获后端服务器池的详细信息,并相应地加载流量。
[nsplat - 7715]
政策
-
标题:策略数据集配置
策略数据集现在允许您为不同的数据类型指定范围。考虑一个例子,
添加DataSet DS1 IPv4
绑定数据集ds1 1.1.1.1–endRange 1.1.1.10
其中,如果value等于绑定到数据集的单个值,或者在绑定到数据集的范围的低值和上值(低值<=值&&值<-上值)之间,则认为value在数据集中。
[nspolicy - 3282]
SSL
-
标题:自适应SSL流量控制
当设备上接收到非常高的流量且加密加速容量已满时,设备开始排队等待稍后处理连接。目前,这个队列的大小固定为64K,如果超过这个值,设备将开始删除连接。通过这种增强,如果队列中的元素数量大于自适应动态计算的限制,设备将删除新的连接。
该限值的计算基于:
—设备实际容量。
—用户配置的容量与实际容量的百分比。默认值为150%。
例如,如果设备的实际容量是在给定时间的1000个操作/秒,并且配置了默认百分比,则设备下降连接的限制为1500(150%的1000)。
[nsssl - 7476]
-
标题:在Citrix ADC Cavium MPX平台的前端支持DTLSv1.2协议
DTLS 1.2协议现在支持在Citrix ADC的Cavium MPX平台的前端。在配置DTLS虚拟服务器时,现在必须指定DTLS1或DTLS12。缺省情况下,DTLSv12将被禁用。
[nsssl - 6097]
-
标题:在Citrix ADC设备的后端支持安全重新协商
Citrix ADC设备的后端现在支持安全重新协商。可以在SSL配置文件和全局SSL参数中启用安全重协商。要启用安全重协商,可以将参数denySSLReneg设置为以下选项之一:
——不安全
- 不
——FRONTEND_CLIENT
——FRONTEND_CLIENTSERVER
例子
>设置ssl配置文件ns_default_ssl_profile_backend -denySSLReneg NONSECURE
>设置SSL参数--DenysSlreneg Noneecure
[nshelp - 14944]
系统
-
标题:用于管理访问的内置HTTP配置文件
Citrix ADC设备现在有一个内置的HTTP配置文件“nshttp_default_internal_apps”用于管理访问。该配置文件被配置为阻止HTTP/0.9请求,并删除管理访问的无效请求。配置文件的设置与现有的“nshttp_default_strict_validation”配置文件相同。但是,建议您不要像在“nshttp_default_strict_validation”配置文件中那样更改配置文件设置。
[nsbase - 9953]
用户界面
-
标题:配置一个matchdid以指定最后评估的URL集
新参数“MatchedId”现在添加到“import policy urlset”命令中。ID可以指定与请求的URL匹配后最后一次计算的URL集。ID还会发送到收集用户会话级别信息的AppFlow收集器。
[nsui - 14674]
-
标题:集群同步状态的严格模式支持
现在,您可以配置集群节点以在应用配置时查看错误。在add和set集群实例命令中引入了一个新参数“syncStatusStrictMode”,用于跟踪集群中每个节点的状态。缺省情况下,syncStatusStrictMode为关闭状态。
[NSCONFIG-2796]
固定的问题
在Build 13.0-58.32中解决的问题。
演示applow
-
如果在启用AppFlow特性时存在活动流量,Citrix ADC设备可能会崩溃。
[nshelp - 22361]
身份验证、授权和审核
-
用户名在Citrix ADC中无法在Citrix ADC中开发。它将表达式显示为$ {http.req.user.name},理想情况下应该由用户名替换。
[NSHELP-22172]
-
部署为SAML SP的Citrix ADC可能会在用户启动注销进程后显示本地注销页面。
[nshelp - 22067]
-
在某些情况下,Citrix ADC设备转储核心,因为发送到TACACS服务器的SYN包中填充了错误的分区值。
[nshelp - 22030]
-
Citrix ADC设备在处理VPN流量请求时,可能会在接收到来自客户端的RESET命令时转储核心。
[NSHELP-21817]
-
如果Formso策略包含用于动态Formso的空名称值对,则基于表单的SSO失败。
[nshelp-21753]
-
如果满足以下条件,Citrix ADC设备可能会使用StoreFront AuthAction崩溃:
—密码过期后会被修改。
—尝试从非nfactor的旧VPN客户端进行认证。
[nshelp-21555]
-
只要启用“NS_SAML_DISABLE_COMMA_SEP_ATTR_RES NSAPIMGR”旋钮,SAML断言缺少“SAML:attributevalue”标记。
[nshelp - 21552]
-
使用Citrix ADC单点登录StoreFront失败,满足以下条件:
—Citrix ADC设备配置为多因素身份验证。
—在检查配置的身份验证因素之前,Citrix ADC会话超时。
[NSHELP-21466]
-
如果满足以下条件,Full VPN不起作用:
—Citrix ADC设备配置为nFactor身份验证,SAML身份验证是身份验证的最后一个因素。
—设备绑定到rfweb门户主题。
[nshelp - 21157]
-
在身份验证虚拟服务器上创建IdP会话期间,对与第一个身份验证因素相关联的登录模式配置文件所做的任何配置都不受尊重。如果将登录架构配置文件配置为使用SSO功能的第一要素凭据,则不接受该配置。
[nsauth - 8712]
-
如果满足以下条件,Citrix Gateway设备将转储核心:
—通过“Citrix Workspace”应用程序访问“Citrix Gateway”设备。
—Citrix Gateway一体机部署nFactor时配置了高级认证。
[nsauth - 8617]
缓存
-
在集群设置中,Citrix ADC设备可能会崩溃;
*从Citrix ADC 13.0 47.x或13.0 52.x构建升级设置到后来的构建
*将设置升级到Citrix ADC 13.0 47.x或13.0 52.x构建
在升级过程中,执行以下步骤:
*禁用所有集群节点,然后升级每个集群节点
*在升级所有节点后启用所有群集节点
[nshelp-21754]
Citrix ADC SDX Appliance
-
在某些情况下,将Citrix ADC SDX设备升级到13.0版本可能会因为内部错误而失败。
[nssvm - 3377]
-
在Citrix ADC SDX设备上,从版本12.1构建56.22升级到版本13.0构建52.24可能会失败。
[nssvm - 3159]
-
当您导航到Citrix ADC > Instances并在SDX GUI中单击实例IP地址时,该实例没有启动。这个问题只有在升级到13.0 build 47.x版本后才会被观察到。
[nshelp - 22152]
-
如果配置了池许可服务器,在Citrix ADC SDX设备上升级可能会失败。
[NSHELP-22064]
-
当分配给VPX的核数大于设备上可用的空闲核数时,不能在以下平台上修改VPX实例名。
-对有关8900
——有关14 xxx-40g
——有关14 xxx-40s
-SDX 14xxx FIPS
- SDX 15xxx-25g
- SDX 15xxx-50g
对有关25 xxx
——有关26 xxx
——有关26 xxx-50s
——有关26 xxx - 100 g
[nshelp - 22048]
-
在Citrix ADC SDX 15xxx和SDX 26xxx平台上,不能在L2模式下提供多个VPX实例。
[NSHELP-21367]
-
升级到软件版本11.1和12.1后,设备可能会发送nsNotifyRestart陷阱。
[nshelp - 18308]
Citrix网关
-
Citrix Gateway设备可能会在VPN设置中复制CPU之间的会话信息时崩溃。
[nshelp - 22665]
-
由于连接链接中的错误,Citrix Gateway设备在处理服务器发起的连接时崩溃。
[nshelp-22598]
-
如果满足以下条件,Citrix Gateway设备可能会间歇性崩溃。
—如果服务器发起UDP连接,给用户分配内网IP地址。
—服务器发送第一个UDP报文后,很长时间不发送UDP报文。
[nshelp - 22583]
-
在传输登录期间,Citrix Gateway设备可能在试图存储无效连接然后解除对无效连接的引用时崩溃。
[nshelp - 22568]
-
配置为经典无客户端VPN时,Citrix ADC设备可能会崩溃。
[nshelp - 22559]
-
在极少数情况下,值为0的“vpnusers”参数的计数器被错误地递减。此减量将计数器重置为非常高的值,导致许可证检查失败。
[nshelp - 22558]
-
有时,即使EPA扫描在客户端机器上失败,Citrix Gateway也允许macOS客户端访问内部资源。
此问题只会在包含以下配置的n核机器中发生:
- 使用“ClientSecurityGroup”参数创建会话策略。
—创建响应器策略对属于该客户端安全组的用户执行某些操作。
[nshelp - 22262]
-
在分配内部网IP地址时,如果试图通过整个VPN隧道打印,Citrix Gateway设备可能会崩溃。
在使用HP -status和WSDAPI协议的HP打印机中可以观察到这个问题。
[nshelp-22191]
-
如果在Citrix Gateway上配置了SAML身份验证,当用户尝试通过VPN插件登录时,浏览器会显示黑屏。
[NSHELP-22185]
-
在Citrix ADC Appliance GUI中,您无法从身份验证,授权和审核组中取消授权授权绑定。
[nshelp - 22167]
-
当您在Citrix Hypervisor或任何其他服务器上使用XVA映像部署新的Citrix ADC VPX设备时,在相应的位置上找不到用于Windows的Citrix Gateway插件包。
[nshelp - 22157]
-
在具有RFWebui的完整隧道设置和经典客户端证书身份验证中,设备登录后,设备响应空白页或“客户端”错误。
[nshelp - 22084]
-
有时,PCoIP应用程序或桌面可能无法启动。
[NSHELP-22041]
-
在Citrix Gateway高可用性设置中,辅助节点可能在核心与核心通信期间崩溃。
[nshelp - 21991]
-
如果Citrix Gateway服务器解析到公司内部网络和外部网络的不同IP地址,则从外部网络到内部网络的漫游或从外部网络到内部网络的漫游都会间歇性失败。结果,总是与Windows功能不工作。
[nshelp - 21956]
-
如果在会话策略中配置了代理设置,则Linux VPN客户端崩溃。
[nshelp - 21955]
-
使用nFactor方式配置EPA时,VPN插件窗口中不会显示安装EPA插件的相关信息。
[nshelp - 21939]
-
如果你使用的是McAfee liveafe, EPA的检查是不成功的。因此,对中国产品名称的检测对OPSWAT不起作用。然而,对于其他语言,它按照预期工作。
[nshelp - 21938]
-
升级Citrix ADC设备后,Web界面功能可能无法正常工作。
[nshelp - 21899]
-
如果有多个核心,并且使用rfweb主题启用了内部网IP地址,Citrix网关设备可能会崩溃。
[nshelp - 21722]
-
Citrix ADC设备可能会在尝试访问损坏的收集器信息时崩溃。
[nshelp-21653]
-
如果启用了Cache强制缓存清理参数,Always On业务将无法建立VPN隧道。
[nshelp - 21645]
-
您可能会间歇性地看到门户文件的403访问禁止错误。
[nshelp-21620]
-
UDP应用的性能有时会因为流量拥塞而受到影响。
[nshelp - 21599]
-
在使用nFactor身份验证的Citrix网关中,EPA作为一个因素有时可能会失败。
[nshelp-21557]
-
有时,Citrix ADC设备可能会在处理服务器启动连接时崩溃。
[nshelp-21532]
-
VPN插件保留通过VPN连接时在Wi-Fi或以太网适配器上添加的DNS后缀。
[nshelp - 21492]
-
为全局服务器负载平衡配置的Citrix Gateway设备不适用于父子拓扑中的预期工作。
[nshelp - 21381]
-
桌面数小于应用数时,不进行应用枚举。
[nshelp - 21377]
-
在多核处理器设置中,如果启用了Gateway Insight特性,并且在非所有者核心上接收到请求,Citrix Gateway设备就会崩溃。
[nshelp - 21089]
-
如果满足以下条件,Citrix Gateway设备可能会崩溃:
- 客户端或服务器连接具有悬挂指针而不是链接。
—链接的连接已经被释放。
- 设备尝试刷新连接以释放链接。
[nshelp - 20901]
-
如果在网关配置中使用经典策略,Citrix ADC设备可能会崩溃。
[nshelp - 20070]
-
Citrix ADC设备可能会在将净配置文件添加到服务时崩溃。
[nshelp - 19569]
-
默认情况下,DTLS参数设置为ON默认设置为通过统一网关向导创建的内容切换虚拟服务器。
[cgop - 13213]
-
在您将Citrix网关设备升级到发布13.0之后,rfweb自定义主题无法工作。
[CGOP-12740]
Citrix Web App防火墙
-
如果在设备上启用TLS 1.3,并在前端网关虚拟服务器上启用SSL会话重用选项,则会发生连接重置。
[nswaf - 5268]
-
如果启用了XML安全检查“xmlmaxnodescheck”选项,NITRO不允许SDK客户配置WAF。
[nshelp - 22111]
-
如果启用StartURL关闭保护检查,就会在Citrix ADC设备上观察到内存泄漏。
[nshelp - 21472]
-
在升级之后,Citrix ADC设备可能会因为高内存使用量而崩溃。
[NSHELP-21410]
-
在Citrix ADC bot管理中,陷阱URL和Javascript没有正确插入块和FIN终止数据。
[nshelp - 21289]
-
如果XML内容嵌套了对“APPFW_XML_VALIDATION_ERR_INVALID_ELEMENT”参数的引用,则XML验证失败。
[nshelp - 21128]
-
如果对信用卡验证过程的错误情况处理不当,Citrix ADC设备可能会崩溃。
[nshelp - 20562]
-
如果在日志模式下启用XML wellformness保护检查,Citrix ADC设备可能会崩溃。
[nshelp-18737]
负载平衡
-
在高可用性设置中,主节点在从服务器重用池获取服务器PCB时崩溃。崩溃的发生是因为循环已经存在,这导致了一个紧循环。
[nshelp - 22149]
-
包引擎(NSPPE)可能会崩溃,当它收到第一个带有不完整报头的RTSP数据包,然后是在收到完整报头之前的ACK。
[nshelp - 22099]
-
在管理分区设置中,当您执行“stat gslb site”命令时,两个gslb站点之间的Metric Exchange或Network Metric Exchange状态显示为DOWN。这只是一个显示问题,对功能没有影响。
[nshelp-21895]
-
在高可用性同步期间,配置池许可时,可能会丢失到辅助设备的连接。
[nshelp-21556]
-
在集群设置中,当节点升级到新版本时,直径标识的配置将丢失。
[nshelp - 21444]
-
对于来自NAT感知客户端的请求,Citrix ADC设备可能会在会话描述协议(SDP)有效载荷中的媒体部分包含NAT IP地址时崩溃。
[nshelp - 21438]
-
在NITRO API中,服务组的“tickssincelaststatechange”字段在服务组的状态改变后不会得到正确的更新。
[nshelp-21425]
-
在高可用性设置中,最大尝试在辅助节点上的特定核心建立连接后,主节点无法找到相关端口。因此,辅助连接表未与主连接表完全同步。
[NSHELP-21420]
-
在带有网关部署的GSLB设置中,Citrix ADC设备在以下情况下可能无法解析GSLB服务的域名:
当主负载分担虚拟服务器状态为DOWN时,即使备份负载分担虚拟服务器状态为UP。
[nshelp-21061]
-
在您将Citrix ADC设备从版本11.1构建56.19升级到版本12.1构建53.12之后,即使负载平衡虚拟服务器是UP的,GSLB服务的有效状态也会被设置为DOWN。
[nshelp - 21025]
-
如果配置了安全HTTP监视器并且响应大小很大,那么Citrix ADC设备可能会显示内存使用量的峰值。
[nshelp-20712]
网络
-
在重新启动Citrix ADC设备之后,内部传输层服务可能会被注销。因此,设备上的任何传输协议服务请求都会失败。
[nsnet - 15252]
-
在集群拓扑中,当节点升级或降级时,非cco节点的“set snmp mib”命令失败。这将导致配置丢失。
[nsnet-14562]
-
如果在NSIP地址上未观察到问题,则会观察到一个问题。在NSIP地址上未观察到问题。
只有在触发“set ns ip gui”配置时才会观察到这个问题。
[nsnet-14364]
-
对于活动的FTP数据连接,Citrix ADC设备处理任何接收到的数据包,具有以下属性:
*协议= TCP
*目的IP地址= Citrix ADC IP (NSIP)
*源端口= 20
因此,Citrix ADC设备将数据包发送到内部管理模块而不是数据包引擎模块进行处理,这反过来会导致对数据包进行一些意外的处理。
[nshelp - 22637]
-
在具有在非默认分区中启用的Layer-2模式的高可用性设置中,辅助节点可能转发其接收到在网络中循环的DHCP数据包。
[NSHELP-22140]
-
在使用IPv4和IPv6基于策略的backplane steering (PBS)配置的Citrix ADC集群设置中,当下列所有条件为真时,ICMPv6错误包可能会在集群节点之间循环:
—ICMPv6错误报文的内部IP报文的IP元组与活动TCP会话中的IP元组相同。
- 同一IPv6地址的每个群集节点上存在不同的IPv4映射地址。
[nshelp - 21815]
-
对于无限制的管理分区,将禁用分配期间的内存检查。
[nshelp - 21775]
-
在INC模式下的高可用性设置中,在故障转移后,新的备用节点可能不会撤回它作为主节点时发布的缺省路由(从其他BGP对等体学到的)。由于这个问题,数据流量也可以到达新的辅助节点。
[nshelp - 21720]
-
在OpenStack中,以下情况可能导致命令传播失败:
当您从3节点集群中删除一个节点时,如果您从删除的节点获得一个较旧的心跳。
[NSHELP-21432]
-
如果为VIP地址添加了INAT规则,则Citrix ADC设备不正确地允许添加负载平衡配置,其中虚拟服务器类型为ANY并设置了相同的VIP地址。
[nshelp - 21288]
-
在重新启动Citrix ADC设备时,在填充接口的IP地址之前生成默认路由。由于这个问题,路由的下一跳被设置为NULL,导致火星错误。
[nshelp - 16407]
NSSWG.
-
在集群和高可用性配置上观察到内存管理错误,导致Citrix ADC GUI HTTPS访问和空appflow URL过滤记录。
[nsswg - 1220]
-
URL分类文件不包括来自NetSTAR数据库的最新更新。
[nsswg - 1205]
平台
-
在Citrix ADC SDX设备上,您可能会在运行13.0 build 58之前的软件版本的VPX实例上观察到Tx停顿。X,当满足以下条件时:
—SDX一体机包含10G、25G或40G网卡。
- SDX设备运行版本13.0构建58.x或更高版本。
Citrix建议您将VPX实例的软件版本升级到13.0-58。在将SDX软件升级到13.0-58之前。x版本。
[nsplat - 14422]
-
配置擦除脚本在一些Citrix ADC平台失败。通过这个修复,脚本的日期代码被更新到01/14/20,并且支持所有平台。
[NSPLAT-13498]
-
在SDX 8200/8400/8600平台上,如果SDX设备或运行在其上的VPX实例多次重启,那么SDX设备将挂起在Citrix Hypervisor控制台上。当设备挂起时,会出现“INFO: rcu_sched detected on cpu /tasks”消息。
—通过按后面的NMI按钮重新启动SDX设备。
-在LOM GUI中,使用NMI重新启动设备。
—使用板载网卡重启SDX设备。
[nsplat - 9155]
-
如果替换引导RAID对插槽1和插槽2中的一个SSD驱动器,则SDX设备可能无法重建RAID对。
[nshelp - 22470]
-
在繁忙的流量期间,Tx可能会停止工作在Citrix ADC平台包含50G接口。
[nshelp - 22221]
-
在某些情况下,在包含英特尔Coleto芯片的Citrix ADC SDX设备上提供VPX实例可能会失败,因为SSL Coleto芯片初始化失败。
[nshelp - 22033]
-
如果在没有任何管理接口(0/1、0/2)的SDX设备上配置了多个LA通道,并且通过VPX CLI禁用了第一个LA通道,则VPX设备可能无法访问。
[nshelp - 21889]
-
在ADC SDX 14000和15000设备上,如果满足以下条件,可以观察到高达9秒的流量损失:
—10G端口通过LA通道与两台Cisco交换机相连,两台Cisco交换机在VPC中配置为主备模式
- 主动或主Cisco Switch反弹的链接。
[nshelp-21875]
-
在运行13.0版单包升级的SDX设备上,不同VPX实例的CPU可能会重叠,即使这些实例被分配了专用的核心。
[nshelp - 21729]
-
在Citrix ADC MPX平台上,如果执行以下操作,作为链路聚合组成员的50G端口将继续DOWN:
1.50G端口被禁用。
2.对端交换机端口未使能。
3.对等交换机上的端口已启用。
4.50G端口开启。
50G端口启用后也不会出现。导致流量无法通过50G端口。
[nshelp-20529]
-
Citrix ADC设备在内存不足时可能会崩溃。
[nshelp-20130]
政策
-
如果在虚拟服务器上配置了HTTP调出,负载均衡虚拟服务器的“当前客户端Est连接”和“当前客户端连接”计数器显示错误的值。
[NSHELP-22491]
SSL
-
在Citrix ADC MPX 14000 FIPS平台上,所有的SSL虚拟服务器在非管理cpu上显示为DOWN。
[nsssl-8015]
-
在某些情况下,Citrix ADC设备在低内存条件下处理DTLS流量时可能会崩溃。
[nshelp - 22611]
-
如果在VPN虚拟服务器上启用了syslog日志和DTLS, Citrix ADC设备可能会在繁忙的流量下崩溃。
[NSHELP-22195]
-
如果在后端配置了动态SNI,且设备上没有正确的许可证,则Citrix ADC设备可能会崩溃。
[nshelp - 22081]
-
即使在虚拟服务器重命名之后,SSL操作也会指向旧的虚拟服务器。
[nshelp - 21584]
-
如果启用默认SSL配置文件并重新启动设备,则会丢失与负载平衡监视器绑定的SSL配置文件的信息。
[nshelp - 21321]
-
如果满足以下条件,Citrix ADC设备可能会崩溃:
1.使用相同的主机名配置两个OCSP响应程序。
2.两个响应器绑定到相同的根证书密钥对。
3.请求与第一个响应者失败。
4.设备尝试将请求发送给第二个响应器,但主机名无法解析。
[nshelp - 21278]
-
从Citrix ADC设备导出的错误密码导致Citrix ADM显示相同的错误密码信息。
[nshelp - 21177]
-
包含Intel Coleto芯片的分区Citrix ADC MPX设备的内存分配存在差异。
[nshelp - 20853]
系统
-
当检测到重复的TCP重新传输时,Citrix ADC设备可能会崩溃。由于TCP拥塞控制算法中的除零操作,设备崩溃。
[nshelp - 22693]
-
如果在客户端连接中间删除AppFlow配置,Citrix ADC设备可能会崩溃。
[nshelp - 22389]
-
在集群设置中,如果出现以下情况,Citrix ADC设备可能会崩溃:
—将连接从流处理器转向流接收器。
—TCP乱序报文处于Time-Wait状态。
[nshelp - 21792]
-
Citrix ADC设备可能会在以下情况下崩溃:
- HTTP/2客户端在启用缓存的下载中间发送连接重置。
—后端服务器关闭FIN终止连接。
[nshelp - 21605]
-
绑定到内容交换虚拟服务器后面的VPN虚拟服务器的AppFlow策略没有应用。
[nshelp - 20816]
-
在MPTCP群集部署中,群集节点之间的数据包环路会导致高带宽使用情况。
[nshelp - 20675]
-
在群集设置中,如果启用了时间戳,则可能会删除发送到服务器的某些请求。
[nshelp-20394]
-
在集群设置中,如果启用了日志流,Citrix ADC设备可能会重新启动。
[nshelp - 20008]
-
具有连接链和SSL的Citrix ADC设备可能会发送更多MTU数据。
[nshelp - 9411]
-
Citrix ADC设备在HTTP / 1.1客户端连接中发送不正确的HTTP / 2响应,如果设备收到:
*一个“100 Continue”HTTP/2响应后端服务器。
*在同一个HTTP/2流上的另一个HTTP/2响应。
[nsbase-10419]
-
如果您使用Pitboss来监控度量收集器,Citrix ADC设备可能会崩溃。
[nsbase - 9743]
-
如果在设备上观察到以下情况,则Citrix ADC设备仅在第一个流上服务连接请求,而不会处理其他流上后续的请求:
—在一个HTTP/2连接中,在不同的流上接收多个HTTP请求。
—后端服务器已禁用HTTP/2协议。
[nsbase - 9510]
-
在TCP时间戳方案中,Citrix ADC设备可能由于内存分配失败而崩溃。因此,设备会重置客户端连接。
[nsbase - 9297]
-
使用set ns config命令修改NSIP地址后,“set appflow param”命令中的“observationPointId”参数不会改变。因此,数据没有传输到Citrix ADM服务器。
[nsbase-8622]
用户界面
-
当系统用户试图锁定或解锁设备时,Citrix ADC GUI显示一条错误消息,“user不存在”。
[nsui - 14999]
-
如果服务是服务组的一部分,则LB Visualizer不会显示绑定到虚拟服务器的服务。如果是单独绑定,则在LB Visualizer中显示该服务。
[nshelp - 22436]
-
当从GUI中修改参数,而不是环大小(例如双工,速度,HAmon)时,出现以下错误消息:
此网卡类型不允许更改环大小
[nshelp - 21934]
-
在集群设置中,由于不支持VXLAN,你会看到以下问题:
*创建IPv6邻居时,界面显示如下错误信息:
“集群不支持的操作”
*在“创建IPv6路由”界面,“创建”按钮没有响应。
[nshelp - 19451]
-
具有多个参数值的数据没有正确存储在Citrix ADC配置数据库中。
[nshelp - 18633]
已知的问题
版本13.0-58.32中存在的问题。
身份验证、授权和审核
-
Citrix ADC设备不验证重复的密码登录尝试,并防止帐户锁定。
[NSHELP-563]
-
在身份验证虚拟服务器上创建IdP会话期间,对与第一个身份验证因素相关联的登录模式配置文件所做的任何配置都不受尊重。如果将登录架构配置文件配置为使用SSO功能的第一要素凭据,则不接受该配置。
[nsauth - 8712]
-
在Citrix ADC GUI的登录模式编辑器屏幕中,DualAuthPushortp.xml LoginSchema未正确显示。
[NSAUTH-6106]
-
ADFS代理配置文件可以在集群部署中配置。在发出以下命令时,代理配置文件的状态错误地显示为空白。
“显示adfsproxyprofile."
解决方案:连接到群集中的主要活动Citrix ADC和问题“Show AdfsproxyProfile”命令。它将显示代理配置文件状态。
[nsauth-5916]
缓存
-
Citrix ADC设备可能会使已启用集成的缓存功能,并且存储器上的设备较低。
[nshelp - 22942]
Citrix ADC SDX Appliance
-
如果在SDX中更改了使用池许可配置的Citrix ADC SDX设备的IP地址,则管理SDX设备的Citrix ADM将继续显示旧的SDX IP地址。
[nshelp - 23490]
-
升级一个Citrix ADC SDX设备到发布12.1 build 56。由于进程间通信中的延迟,X可能会超时。
[nshelp - 22644]
-
在Citrix ADC SDX设备上,具有只读权限的用户可以使用文件传输实用程序(如SCP或SFTP)将文件传输到管理服务。
[NSHELP-22638]
-
尝试升级到13.0-58.30版后,Citrix ADC SDX UI可能无法访问。
处理:
1.使用“nsrecover”凭据SSH到SVM的IP地址。
2.在shell提示符下,键入“svmd stop”以停止所有SVM进程。
3.要验证所有的SVM进程已经停止,请输入“ps -ax | grep SVM”。要杀死任何正在运行的SVM进程,输入“kill -9””。
4.使用vi编辑器编辑“/var/mps/mps_featurelist.conf.bak”文件。在文件末尾添加“DisableMetricCollection”并保存文件。
5.输入" svmd start "重启SVM进程。升级将继续,SDX UI将在大约。30分钟。
[nshelp - 23904]
Citrix网关
-
在使用SharePoint链接的基于web的办公应用程序编辑文档时,当这些应用程序通过高级的无客户端VPN访问时,您可能会遇到问题。
[nshelp-23364]
-
当Citrix Workspace应用程序用于连接Citrix网关时,如果会话策略绑定到VPN虚拟服务器,会话建立可能会失败。
解决方法:将会话策略绑定到用户或用户组。
[NSHELP-23148]
-
在极少数情况下,如果将Citrix ADC设备配置为EDT,并且为EDT会话启用了HDX Insight,则该设备可能会失去响应。
[nshelp - 22640]
-
在Citrix Gateway双跳高可用性设置中,HA故障转移后可能会丢失ICA连接。
解决方法:修改FQDN为下一跳服务器的IP地址。
[nshelp-22444]
-
在Citrix Gateway高可用性设置中,如果配置了Syslog,则辅助节点可能会在故障转移期间崩溃。
[NSHELP-22438]
-
Citrix Gateway设备可能崩溃,因为某些命令未运行。
[nshelp - 22371]
-
如果配置了Syslog策略,Citrix Gateway设备可能会间歇性地崩溃。
[NSHELP-22304]
-
有时在浏览模式时,出现错误消息“无法读取”未定义“类型的”类型“。
[nshelp-21897]
-
当通过TCP配置syslog服务器时,某些日志会间歇性地不发送到syslog服务器。
[nshelp - 21624]
-
如果Citrix ADC设备配置为nFactor身份验证,在RADIUS身份验证失败时,Citrix ADM设备会错误地将失败的身份验证类型显示为“LDAP”。
[nshelp - 20440]
-
将Unified Gateway环境升级到释放13.0 Build 58.x或更高版本时,DTLS旋钮在网关或VPN虚拟服务器之前配置的内容切换虚拟服务器中禁用。升级后,必须在内容切换虚拟服务器中手动启用DTLS旋钮。如果您使用的是配置向导,请勿启用DTLS旋钮。
[cgop - 13972]
-
对于SAML错误失败,Gateway Insight报告中的Authentication Type字段显示的值不正确,为“Local”而不是“SAML”。
[cgop - 13584]
-
如果用户使用Mac接收器以及Citrix Virtual App和Desktops(以前是Citrix XenApp和XenDesktop)的版本6.5,则ICA连接在ICA解析中导致跳过解析。
解决方案:将接收器升级到Citrix工作区应用程序的最新版本。
[cgop - 13532]
-
在高可用性设置中,在Citrix ADC故障转移期间,SR计数会增加,而不是在Citrix ADM中增加故障转移计数。
[cgop - 13511]
-
在Outlook Web App(OWA)2013中,单击“设置”菜单下的“选项”显示“关键错误”对话框。此外,页面变得无响应。
[cgop - 7269]
负载平衡
-
在集群环境中,配置了VLAN的ACL规则不会生效,会导致报文命中其他ACL规则。
删除群集设置上的虚拟服务器时会出现此问题,从而导致群集节点未在转向数据包中添加VLAN信息。
[nshelp - 22103]
-
在高可用性(HA)设置中,当辅助节点重新启动时,主节点可能会在与辅助节点的会话的镜像镜像期间崩溃。
[nshelp - 21715]
-
当客户端定期发送数据包,但设备中的第一个数据包被阻止时,Citrix ADC设备可能会耗尽内存。结果,数据包排队,设备内存不足,无法存储数据包。
[nshelp - 20871]
网络
-
如果在Citrix ADC实例的接口上配置trunkallowedVlan列表中超过100个vlan,可能会出现以下错误消息:
错误:操作超时
错误:与包引擎通信错误
[nsnet - 4312]
-
如果满足以下条件,Citrix ADC设备可能会在接收到的IPv6请求报文的NAT64转换过程中失败:
目的IPv6地址的后32位(即转换后的目的IPv4地址)大于240.0.0.0(属于保留IP范围)。
解决方法:添加ACL,拒绝此类报文。
[nshelp - 22742]
-
如果出现以下情况,Citrix ADC设备可能在部署期间崩溃:
—MPTCP (Multipath TCP)已使能MBF和PMTUD
—收到MPTCP流量,响应导致“ICMP Fragmentation Needed”错误。
[nshelp - 22418]
-
在高可用性设置中,如果执行从Citrix ADC软件版本13.0 47.24或以前版本到更高版本的In Service Software Upgrade (ISSU),其中一个Citrix ADC设备可能会崩溃。
[nshelp - 21701]
-
在启用了retainConnectionsOnCluster选项的集群设置中,集群节点在收到分片包之后又收到非分片包时可能会崩溃。
[nshelp - 21674]
-
当Citrix ADC设备正在清理大量服务器连接作为删除命令的一部分时,Pitboss进程可能会重新启动。此Pitboss重新启动可能会导致ADC设备崩溃。
[nshelp-136]
政策
-
如果处理数据的大小超过配置的默认TCP缓冲区大小,则连接可能挂起。
解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。
[nspolicy - 1267]
-
insert_after类型的重写操作可能不适用于HTTP分块或FIN终止的响应。
[nshelp - 22743]
SSL
-
以下添加命令无法使用Update命令:
-添加azure应用
-添加azure密钥库
-添加SSL certkey与hsmkey选项
[nsssl-6484]
-
如果已经添加了验证Azure Key Vault对象,则不能再添加Azure Key Vault对象。
[nsssl - 6478]
-
您可以使用相同的客户端ID和客户端机密创建多个Azure Application实体。Citrix ADC设备没有返回错误。
[nsssl - 6213]
-
当您删除一个HSM键而没有指定KEYVAULT作为HSM类型时,将出现以下错误消息。
错误:crl刷新被禁用
[nsssl - 6106]
-
在集群IP地址上,“会话密钥自动刷新”错误地显示为已禁用。(此选项不能禁用。)
[nsssl - 4427]
-
如果尝试更改SSL配置文件中的SSL协议或密码,将出现一条错误的警告消息“警告:SSL vserver/服务上没有配置可用的密码”。
[nsssl - 4001]
-
如果满足以下条件,Citrix ADC设备可能会崩溃:
- 已启用过期监视器选项,添加了证书键对。
—证书日期要早于01/01/1970。
[nshelp-22934]
-
如果对SSL配置文件应用了以下所有设置,则Citrix ADC设备可能在简短(恢复)TLS 1.3握手期间崩溃:
- snihttphostmatch设置为cert
—启用TLSv1.3协议
—开启会话票据功能。
解决方法:将SNIHTTPOSTMATCH设置为严格或否。
[nshelp - 22126]
-
如果您执行以下操作,则分区Citrix ADC设备可能不会按照预期响应:
1)在不同的分区中创建两个OCSP响应器。
2)清除单个分区的配置。
3) 删除另一个分区中的OCSP响应程序。
[nshelp - 20861]
-
在集群设置中,在集群IP (CLIP)地址上运行的配置显示了绑定到实体的DEFAULT_BACKEND密码组,而在节点上没有。这是一个显示问题。
[nshelp - 13466]
系统
-
如果出现以下情况,Citrix ADC设备可能会崩溃:
- HTTP / 2在HTTP配置文件中启用了绑定到加载HTTP / SSL或SERVICE类型的均衡虚拟服务器。
-绑定到负载平衡虚拟服务器或服务的HTTP配置文件中禁用了连接多路复用选项。
[nshelp - 21202]
-
对于synflood trap的生成,如果不重置varbinding值,设备将使用旧的trap varbinding值,而不是当前和阈值。
[nshelp - 20653]
-
在MPTCP (Multi-path TCP)中,si_cur_Clients和si_cur_clnt_ConnOpenEst计数器增加两次。
[nshelp - 19896]
用户界面
-
Create / Monitor CloudBridge连接器向导可能会不会响应或无法配置CloudBridge连接器。
解决方案:通过使用Citrix ADC GUI或CLI,添加IPSec配置文件、IP隧道和策略路由规则,配置cloudbridge连接器。
[nsui - 13024]
-
只有年度的最后三位数字显示在“stat系统”命令的“funt(local)”行中。
[nshelp - 22960]
-
在Citrix ADC GUI中使用Syslog仪表板中的滚动条时,页面要么快速滚动,要么显示空白。
[nshelp - 21267]
-
如果您(系统管理员)在Citrix ADC设备上执行以下所有步骤,系统用户可能无法登录降级的Citrix ADC设备。
1.将Citrix ADC设备升级到其中一个版本:
- 13.0 52.24 Build
- 12.1 57.18 Build
2.添加系统用户或修改已存在系统用户的密码,并保存配置
3.将CITRIX ADC设备降级为旧版本。
使用CLI显示系统用户列表。
在命令提示符下,键入:
使用实例查询ns config -changedpassword [-config]]
处理:
要修复此问题,请使用以下独立选项之一:
—如果Citrix ADC设备还没有降级(上面提到的步骤3),使用以前备份的相同版本版本的配置文件(ns.conf)降级Citrix ADC设备。
—在升级版本中未修改密码的系统管理员可以登录降级版本,更新其他系统用户的密码。
- 如果没有上述选项工作,系统管理员可以重置系统用户密码。有关更多信息,请参阅:https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-a-reset-default-amin-pare-tsk。HTML.
[nsconfig - 3188]