Citrix ADC 13.0-71.40版本发布说明

身份验证、授权和审计

• Azure Guv在Microsoft Intune集成中支持令牌身份验证

  在Citrix Gateway和Microsoft Intune集成场景中，Citrix Gateway现在支持Microsoft Azure Guv基础架构用于Microsoft Active Directory Libraries (ADAL)令牌身份验证。以前，只支持Microsoft Azure商业基础设施。

  [nsauth_8246]

Citrix网关

• Windows插件支持动态安全DNS更新

  Windows VPN插件现在支持安全DNS更新。默认情况下，该特性是关闭的。要启用它，请创建类型为REG_DWORD的HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client\secureDNSUpdate值并将其设置为1。

  • 当设置为1时，VPN插件首先尝试不安全的DNS更新。如果不安全DNS更新失败，VPN插件将尝试安全DNS更新。
  • 如果只尝试安全DNS更新，可以将该值设置为2。
  [cgop-13788]

Citrix Web应用防火墙

• 设备指纹机器人检测技术的移动(Android)应用程序使用机器人移动SDK

  设备指纹机器人检测机制现已增强，以确保移动(Android)应用程序免受机器人攻击。为了检测移动应用程序中的机器人，设备指纹检测技术使用机器人移动SDK。SDK与移动应用程序集成，用于拦截移动流量，收集客户端和设备的详细信息，并将数据发送到设备。在设备端，设备指纹机器人检测技术检查数据并确定连接是来自机器人还是人类。

  [nswaf-5983]

负载平衡

• 支持基于文件的模式集

  Citrix ADC设备现在支持基于文件的模式集。

  您可以使用以下命令将新的模式集文件导入Citrix ADC设备:
  import patsetfile -overwrite -delimiter -charset

  您可以使用以下命令更新Citrix ADC设备上的现有模式集文件:
  更新patsetfile

  您可以使用以下命令向数据包引擎添加模式集文件:
  添加patsetfile

  你可以使用以下命令将模式绑定到模式集文件:
  添加patset -patsetfile

  [nslb-5823]

• Citrix ADC设备上的MQTT协议支持

  Citrix ADC设备现在本机支持消息队列遥测传输(MQTT)协议。MQTT是用于物联网(IoT)的OASIS标准消息传递协议。有了这种支持，Citrix ADC设备可以在物联网部署中用于MQTT流量的负载平衡。

  以前，您可以通过使用协议扩展在Citrix ADC设备上配置MQTT。用户必须编写自己的扩展代码，并从web服务器(使用HTTP)或本地工作站将扩展文件导入Citrix ADC设备。

  [nslb-5822]

网络

• 在Kubernetes环境中，Citrix ADC CPX增加了对Cilium CNI的支持

  Citrix ADC CPX现在在Kubernetes环境中支持Cilium CNI。Cilium是一个开源CNI，它使用扩展版的Berkeley Packet Filter (BPF)来提高Kubernetes上应用程序的可见性、性能和可扩展性。

  [nsnet-17264]

• 配置Citrix ADC设备以从SNIP地址获取Citrix ADC FreeBSD数据流量

  一些Citrix ADC数据特性运行在底层的FreeBSD操作系统上，而不是在Citrix ADC操作系统上。由于这个原因，这些特性发送的流量来自Citrix ADC IP (NSIP)地址，而不是来自SNIP地址。如果您的设置具有分离所有管理和数据流量的配置，则不希望从NSIP地址获取数据流量。

  以下Citrix ADC数据特性运行在底层FreeBSD操作系统上，并从Citrix ADC IP (NSIP)地址发送流量:

  • 负载平衡可编写脚本的监视器
  • GSLB autosync

  为了解决这个问题，引入了一个全局的第2层参数“useNetprofileBSDtraffic”。当启用此参数时，Citrix ADC特性发送来自与该特性关联的netprofile中的SNIP地址之一的流量。

  目前，全局第2层参数“useNetprofileBSDtraffic”仅支持负载平衡可脚本监视器。

  为了将Citrix ADC设备配置为从SNIP地址获取GSLB自动同步流量，您可以使用扩展ACL和RNAT规则作为解决方案。

  [nsnet-16274]

• 基于数据集的扩展acl

  企业中需要配置大量的acl。当需要频繁更改时，配置和管理大量acl是非常困难和麻烦的。

  Citrix ADC设备现在支持扩展acl中的数据集。Dataset是Citrix ADC设备的现有特性。数据集是由数字(整数)、IPv4地址或IPv6地址等类型的索引模式组成的数组。

  扩展ACL中的数据集支持对于创建多个ACL规则非常有用，这些规则需要通用的ACL参数。在创建ACL规则时，不需要指定通用参数，而可以指定包含这些通用参数的数据集。

  在数据集中所做的任何更改都会自动反映在使用此数据集的ACL规则中。带有数据集的acl更容易配置和管理。它们也比传统的acl更小，更容易阅读。

  目前，Citrix ADC设备仅支持扩展acl的IPv4地址类型数据集。

  [nsnet-8252]

平台

• VMware ESX 7.0支持Citrix ADC VPX实例

  Citrix ADC VPX实例现在支持VMware ESX管理程序7.0 build 1632494。

  [nsplatt -16902]

• AWS绝密(C2S)区域支持扩展到所有Citrix ADC版本

  AWS绝密(C2S)区域现在支持所有以下Citrix ADC版本以及自带许可证(BYOL):

  • 标准版
  • 高级版
  • 高级版

  以前，AWS绝密区域仅支持BYOL订阅。
  AWS绝密区域可通过与AWS签订的商业云服务(C2S)合同随时获得。

  [nsplatt -9195]

政策

• 在CONTAINS函数中支持动态表达式，用于优化高级策略的使用。

  以下方法的参数是静态的:

  • 包含()
  • after_str ()
  • before_str ()
  • substr (),
  • strip_end_chars ()
  • strip_chars ()
  • strip_start_chars ()
  [npolicy -3545]

SSL

• 支持在TLS 1.3连接中卸载加密操作到英特尔Coleto加密芯片

  在TLS 1.3连接中，现在增加了将加密操作卸载到特定Citrix ADC MPX平台上的Intel Coleto加密芯片的支持。

  支持以下随Intel Coleto芯片发货的设备:
  MPX 5900
  MPX /有关8900
  MPX /有关15000
  MPX /有关15000 - 50 g
  MPX /有关26000
  MPX / 26000 - 50年代有关
  MPX /有关26000 - 100 g

  除了Citrix ADC FIPS设备外，所有其他Citrix ADC MPX和SDX设备都提供对TLSv1.3协议的纯软件支持。

  [nsssl-7453]

• 所有主题备选名称(SAN)值现在都显示在证书中

  Citrix ADC设备现在在显示证书的详细信息时显示所有SAN值。

  [nsssl-5978]

• TLSv1.3协议的策略支持

  当为连接协商TLSv1.3协议时，检查从客户端接收到的TLS数据的策略规则现在会触发配置的操作。
  例如，如果以下策略规则返回true，则将流量转发到动作中定义的虚拟服务器。
  增加SSL动作action1 -forward vserver2
  增加SSL策略pol1 -rule client.ssl.client_hello.sni.contains(xyz) -action action1

  [nsssl-869]

系统

• 显示负载均衡虚拟服务器的CPU使用率(千分之一)

  一个新的计数器“CPU- pm”现在显示CPU使用率的统计数据，单位是每千分之一。例如，500必须读为500/1000，即等于50%。

  在GUI界面中，选择“流量管理>虚拟服务器>负载均衡>统计”

  [nsbase-11304]

• 支持请求超时重试

  请求重试现在可用于另一种场景，如果后端服务器需要更多时间来响应请求，则设备在超时时执行重新负载平衡，并将请求转发给下一个可用的服务器。以前，设备一直等待服务器响应，这导致RTT增加。
  要执行超时，可以在appqeaction中配置< millisecs >中的新参数retryontimeout。最小值:30
  最大值:2000。

  使用CLI配置请求超时重试。
  addappqe action -retryOnTimeout
  
  例子
  add appqe action appact1 -retryOnTimeout

  [nsbase-10914]

• 为MPTCP集群部署处理本地和保留连接支持

  MPTCP连接现在支持云和本地Citrix ADC集群部署中的“本地处理”和“保留连接”功能。

  [nsbase-10734]

• AppFlow记录中的响应器响应相关信息

  Citrix ADC设备生成的AppFlow记录现在包含响应器响应相关信息。

  [nsbase-10634]

• 支持更大的HTTP报头大小

  Citrix ADC设备现在可以处理大报头大小的HTTP请求，以适应L7应用程序请求。HTTP请求头大小增加到128kb。

  [nsbase-7957]

身份验证、授权和审计

• 在某些情况下，更改用户密码后会出现以下错误信息:“无法完成您的请求”。

  此错误是由于修改后的密码加密后已损坏。

  [nhelp -25437]

• 在某些情况下，如果客户端在完成Email OTP身份验证之前关闭TCP连接，Citrix ADC设备可能会崩溃。

  [nhelp -25154]

• 在某些情况下，在次要节点上删除Citrix ADC身份验证、授权和审计会话期间，Citrix ADC设备会崩溃。

  [nhelp -25075]

• 在某些情况下，当将Citrix ADC用作Citrix Cloud的IdP时，由于内存缓冲区溢出，在AD中执行嵌套组提取活动时身份验证、授权和审计d会崩溃。

  [nhelp -24884]

• 当用户的组长度超过定义的限制时，Citrix ADC设备中的LDAP身份验证将失败。

  [nhelp -24373]

• 在尝试登录Citrix Gateway设备时，如果登录尝试失败，用户将看不到响应。

  [nhelp -23155]

• 如果满足以下条件，则重启后无法恢复不可寻址认证虚拟服务器的配置:

  • Citrix ADC设备具有标准版许可
  • 该设备配置为使用Citrix Gateway进行nFactor身份验证
  [nsauth-9263]

缓存

• 如果出现以下情况，Citrix ADC设备可能会随机崩溃:

  • 集成缓存功能已启用。
  • 为集成缓存分配了100gb或更多内存。

  分配少于100gb的内存。

  [nhelp -20854]

CallHome

• 现象描述在Citrix AC MPX 22000平台上，执行show techsupport命令错误显示硬盘未挂载。

  [nshelp-24223]

Citrix ADC SDX Appliance

• 如果Citrix Hypervisor占用的磁盘空间超过90%，将导致Citrix ADC SDX一体机升级失败。

  [nhelp -24873]

• 在Citrix ADC SDX 8900、SDX 15000和SDX 15000- 50g平台上，在SDX设备从11.1版本升级到12.1版本或从11.1版本升级到13.0版本后，ADC实例上的CPU使用率很高。

  [nhelp -24031]

Citrix网关

• 在极少数情况下，Citrix Gateway设备可能会在与辅助设备的会话同步期间或在内部网IP分配期间崩溃。

  [nhelp -25221]

• 当经典VPN URL也被绑定时，UrlName参数被附加到会话和其他策略绑定中，导致在保存和重启时添加配置。

  [nhelp -25072]

• “拆分DNS”设置为“Both”或“Local”时，Citrix网关IIP注册失败。

  [nhelp -24928]

• 如果启用了ICA智能策略，并且有一些残留的AppFlow配置，您可能会观察到高延迟连接。

  [nhelp -24908]

• 当启用UDP音频并且内部malloc系统调用返回错误时，Citrix ADC设备可能会崩溃。

  [nhelp -24890]

• 在极少数情况下，当由于内存损坏而修改syslog传输类型时，Citrix Gateway设备会崩溃。

  [nhelp -24794]

• Citrix网关设备不会从UTF8String编码的设备证书中提取通用名称。

  [nhelp -24741]

• Citrix Gateway设备在删除主机名值超过160个字符的内部网应用程序时崩溃。

  [nhelp -24524]

• 启用位置检测后，重启客户端后，Always On VPN的机器级隧道建立时间较长。

  [nhelp -24508]

• 当配置为无客户端VPN时，Citrix ADC设备可能会崩溃。

  [nhelp -24430]

• 如果绑定到VPN虚拟服务器的RDP服务器配置文件没有配置RDP IP地址，并且RDP服务器配置文件和VPN虚拟服务器使用相同的端口，Citrix网关设备可能会重新启动。

  [nhelp -24199]

• 引入了一个新的优化模式集“ns_cvpn_v2_fast_regex_light_ver”，用于处理高CPU警报。如果使用默认模式集“ns_cvpn_v2_fast_regex”间歇性地观察到CPU峰值，则可以切换到新的模式集。

  [nhelp -24085]

• 如果在EDT连接建立过程中运行“kill icconnection”命令，Citrix Gateway设备在EDT代理部署中可能会停机。

  [nhelp -23882]

• 如果客户端机器有多个Hyper-V和WiFi直接访问虚拟适配器实例，则Windows插件显示网关不可达消息。

  [nhelp -23794]

• Citrix Gateway设备在尝试解析传入数据包时可能会崩溃。

  [nhelp -23747]

• Citrix网关设备在访问虚拟桌面时使用UDP音频会崩溃。

  使用EDT音频而不是UDP音频。

  [nhelp -23514]

• 日志含义VPN基于UDP/ICMP/DNS的授权策略拒绝信息没有显示在ns.log文件中。

  [nhelp -23410]

• 如果启用UDP音频，Citrix ADC设备可能会在故障转移期间崩溃。

  [nhelp -22850]

Citrix Web应用防火墙

• 当您在集群配置中重置Citrix Web App Firewall学习数据时，在aslearn中观察到通信错误。

  [nswaf-6768]

• 在集群配置中，带有空间的web服务互操作性(WSI) Check值被认为是无效输入，尽管它在Citrix ADC核心设备中是有效的。

  [nswaf-6745]

• 集群部署中缺少基本或高级Web App Firewall配置文件的默认信用卡名配置详细信息。

  [nswaf-6675]

• 默认Web应用防火墙高级配置文件的默认XML DOS绑定在集群部署中缺失。

  [nswaf-6672]

• 在集群配置中，无法将“safeobject”规则与长度超过255个字符的“safeobject”表达式绑定。

  [nswaf-6670]

• 在集群部署中，基本或高级Web应用防火墙配置文件的“FileUploadTypesAction”配置的默认值缺失。

  [nswaf-6669]

• 在集群部署中，Web应用防火墙基本或高级配置文件的默认“CMDInjectionAction”配置不正确。

  [nswaf-6668]

• 如果集群节点之间存在DHT传输错误，并且启用了字段一致性保护功能，Citrix ADC集群设置可能会崩溃。

  [nswaf-6560]

• Citrix Web App Firewall cookie一致性检查删除后端服务器发送的响应中的SameSite cookie属性。

  [nhelp -24313]

负载平衡

• 当GSLB部署使用往返时间(RTT)方法进行负载平衡时，如果在流量期间删除或解绑定GSLB服务，Citrix ADC设备可能会失败。

  [nhelp -24425]

• 如果在释放持久化会话时删除分布式哈希表(DHT)条目和持久化会话之间的关联，Citrix ADC设备可能会崩溃。

  [nhelp -24213]

• 特点:负载均衡
  如果为服务组成员分配了通配符端口(port *)，则可以从monitor details页面查看该服务组成员的监视详细信息。

  [nhelp -9409]

网络

• 在Citrix ADC BLX或Citrix ADC CPX设备中，将OSPF或BGP路由安装到设备的路由表可能会失败。

  [nsnet-18707]

• 禁用“useproxyport”的RNAT对于编号小于1024的源端口可能无法正常工作。

  [nhelp -25162]

• 在使用INC模式的高可用性环境中，任何将VIP地址设置为NAT IP地址的RNAT规则都会在HA同步过程中被移除。

  [nhelp -24893]

• 将Citrix ADC SNMP MIB加载到SNMP管理器可能会失败，因为SNMP MIB中存在重复的对象名称“urlfiltDbUpdateStatus”。同一对象名称“urlfiltDbUpdateStatus”用于SNMP trap和SNMP trap变量绑定。

  修复后，SNMP trap变量绑定“urlfiltDbUpdateStatus”更改为“urlFilterDbUpdateStatus”。

  [nhelp -24778]

• 由于LSN模块中的内部内存同步问题，Citrix ADC设备可能会崩溃。

  [nhelp -24623]

• Citrix AC设备上基于IPv6策略的路由(PBR6)可能无法按预期工作。

  [nhelp -23161]

• 在高可用性设置中，如果执行从Citrix ADC软件版本13.0 47.24或更早版本到更高版本的服务软件升级(ISSU)，则其中一个Citrix ADC设备可能会崩溃。

  [nhelp -21701]

平台

• Citrix ADC MPX 8000-1G平台支持共享授权。

  [nsplatt -17354]

• Citrix ADC VPX实例，配置了NSVLAN和两条LA通道，当满足以下情况时，该实例不可达:

  • 第一个LA通道被禁用。
  • 重新启动VPX实例。
  [nsplatt -16082]

• 如果Citrix ADC实例使用基于ADM的许可，则当ADM版本小于ADC版本时，Citrix ADC许可可能无法工作。因此，在升级ADC版本时，请确保对应的ADM版本与当前ADC版本相同或更高。

  [nsplatt -15184]

• 在升级Citrix ADC SDX设备时，如果在多次重启中的一次中出现SSD故障，则设备重启后相应的RAID对卷将变为非活动状态。你可以观察到以下几点:
  该卷在GUI中显示为“未创建”。
  故障的SSD盘槽位报告为“not present”。
  对应的VPX-SR也显示为降级。
  因此，驻留在VPX-SR上的ADC实例可能无法引导或保持暂停状态。

  [nhelp -24751]

• 特点:平台
  如果在没有任何管理接口(0/1、0/2)的SDX设备上配置了多个LA通道，并且通过VPX CLI禁用了第一个LA通道，则VPX设备可能无法访问。
  

  [nhelp -21889]

• 特点:Citrix ADC SDX设备
  在ADC SDX 14000和15000设备上，如果满足以下条件，可以观察到流量损失长达9秒:

  • 10G端口通过LA通道连接到两台在VPC搭建中配置为主备的Cisco交换机
  • 主用或主用思科交换机链路反弹。
  [nhelp -21875]

政策

• 如果在无效的HTTP请求中使用全局作用域变量，Citrix ADC设备可能会崩溃。

  [nhelp -25369]

SSL

• 在以下Citrix ADC SDX平台上，如果外部客户端在SSL握手进行客户端身份验证时使用ECDSA P224/521曲线进行签名，则SSL卡可能会出现故障:

  • 对有关11515/11520/11530/11540/11542
  • 对有关22040/22060/22080/22100/22120
  • 有关24100/24150
  • 有关14000年
  • 有关14000 - 40年代
  • 有关14000 - 40 g
  • SDX 14000点
  • 有关25000年
  • 有关25000一个
  [nsssl-9324]

• 在您重新启动Citrix ADC设备并满足以下条件后，Citrix ADC设备不会在客户端hello消息中提出ECDHE密码:

  • 默认配置文件被禁用。
  • 安全监视器绑定到非ssl服务。
  [nhelp -24706]

• 当后端服务器发送包含以下消息的单个SSL记录时，后端SSL握手失败:'服务器你好'，'服务器证书'，'服务器密钥交换'和'服务器你好完成'。

  [nhelp -24615]

• 如果达到最大重试超时值，Citrix ADC设备通过发送警报关闭DTLS会话。

  [nhelp -24560]

• 如果满足以下条件，Citrix ADC MPX/SDX 11542、MPX/SDX 14000、MPX 22000/24000/25000或MPX/SDX 14000 FIPS设备可能会崩溃:

  • 开启ECDHE/ECDSA混合模式。
  • 在CPU利用率已经很高的情况下接收DTLS流量。
  [nhelp -24405]

• 如果满足以下条件，Citrix ADC设备可能不会在客户端hello消息中提出ECDHE密码:

  • HA同步正在进行中。
  • 监控器探测在同步完成之前发送。
  [nhelp -24355]

• 如果SSL后端服务在以下平台上使用NULL或RC2密码，Citrix ADC设备将崩溃:

  • MPX 5900
  • MPX 8900
  • MPX 15000
  • MPX 15000 - 50 g
  • MPX 26000
  • MPX 26000 - 50
  • 26000年MPX - 100 g
  [nhelp -24308]

• 如果Citrix ADC设备的磁盘空间不足，则该设备在配置DTLS虚拟服务器时可能会崩溃。

  [nhelp -24201]

• 在您重新启动Citrix ADC设备并满足以下条件后，Citrix ADC设备不会在客户端hello消息中提出ECDHE密码:

  • 启用默认配置文件。
  • 安全监视器绑定到非ssl服务。
  [nhelp -24037]

• 在集群设置中，保存配置时在ns.conf文件中添加了一个无效的“bind ssl certkey”命令。如果CRL分发点扩展是Citrix ADC设备上的证书的一部分，则添加无效命令。

  [nhelp -23963]

系统

• 如果使用分析配置文件而不设置收集器，轻量级CPX实例可能会崩溃。

  [nhelp -25239]

• 配置HTTP/2初始连接窗口大小

  根据RFC 7540, HTTP2流和连接的流控制窗口必须初始化为64K(65535)字节，任何对该值的更改都必须与对等端通信。ADC设备将流量控制窗口大小的变化通信如下:

  • 使用设置帧的流电平流量控制窗口。
  • 使用WINDOW_UPDATE帧作为连接级流控制窗口。

  在HTTP配置文件中，您可以配置http2InitialWindowSize参数来设置流级别的初始窗口大小。

  由于内部系统错误，ADC设备也使用配置为“http2InitialWindowSize”的值初始化连接的流控制窗口。当为流配置的流控制窗口发生变化时，ADC设备使用SETTINGS帧与对等端通信。但是ADC设备无法在使用WINDOW_UPDATE帧的连接流控制窗口中通信更改。这将导致连接冻结。

  为了克服这个问题，现在添加了http2InitialConnWindowSize参数(以字节为单位)来控制连接级流控制窗口。通过使用单独的可配置参数，即http2InitialWindowSize和http2InitialConnWindowSize，您现在可以在流和连接级别配置流控制窗口大小。

  通过CLI配置http /2初始连接级流控窗口大小参数

  在命令提示符下，输入:

  设置httpprofile p1 -http2InitialConnWindowSize

  其中，http2InitialConnWindowSize是连接级流控制的初始窗口大小，以字节为单位。
  缺省值:65535
  最小值:65535
  最大值:67108864

  [nhelp -25155]

• 当启用HTTP/2特性时，Citrix ADC设备可能会因为内存损坏而崩溃。

  [nhelp -25005]

• 在集群设置中，对浪涌保护默认值的验证在数据库和包引擎上的处理方式不同。

  [nhelp -24455]

• 如果满足以下条件，分析记录不会发送到Citrix ADM:

  -IPFIX采集器配置在Citrix ADC设备的admin分区中。

  —采集器不在SNIP地址范围内。

  [nhelp -24283]

• 如果轮询间隔设置不正确，在Linux平台上运行的Citrix ADC web日志(NSWL)客户端中会观察到高CPU使用率。

  [nhelp -24266]

• 当您在ADC实例上启用Appflow时，ADM不会显示该实例的HDX Insight。出现此问题是因为ADM无法处理从实例接收到的Logstream数据。

  [nhelp -24227]

• 删除绑定到内容交换虚拟服务器的TCP配置文件将导致集群数据库中的配置不一致。

  在TCP配置文件中添加数据库引用计数。

  [nhelp -24004]

• Citrix ADC设备在尝试访问ICAP服务器详细信息时清除配置时可能会崩溃。清除ICAP内容检测配置后，服务器详细信息不会从监控列表中删除。

  [nhelp -23945]

• 如果出现以下情况，Citrix ADC设备可能会崩溃:

  • 绑定HTTP/SSL或service类型负载均衡虚拟服务器的HTTP配置文件中启用HTTP/2。
  • 绑定到负载均衡虚拟服务器或服务的HTTP配置文件中禁用了连接多路复用选项。
  [nhelp -21202]

• 特点:演示applow
  启用连接链和SSL的Citrix ADC设备可能会发送更多的MTU数据。

  [nhelp -9411]

• 如果在管理分区设置中已经启用了默认分区中的度量收集器，那么在默认分区中启用度量收集器可能会失败。

  不要在管理分区设置中启用度量收集器。

  [nsbase-12623]

用户界面

• 使用diff ns config命令提示信息“ERROR: Failed to get UID for command: apply ns pbr6”错误。当apply ns pbr6命令保存在ns.conf或running-config文件中时，就会发生这种情况。

  [nhelp -25373]

• 在集群设置中，多余的绑定配置被保存在ns.conf文件中。

  [nhelp -24636]

• 在Citrix Gateway GUI中观察到以下错误情况:

  • 在VPN虚拟服务器中，当策略绑定主认证时，界面显示策略绑定了从认证和组认证。
  • VPN虚拟服务器绑定服务端证书时，服务器界面显示VPN虚拟服务器绑定CA证书错误。处理步骤
  [nhelp -24494]

• 在Citrix ADC SDX平台上，加载GUI时出现以下错误消息:
  设备不支持此操作此平台不支持合并许可&%2393;

  [nhelp -24474]

• 在Citrix ADC GUI上，您无法查看为特定分区创建的“自定义报告”。

  [nhelp -24370]

• Citrix ADC设备的/var/tmp文件夹中存在的以下临时文件导致内存满状态。

  • sh.run .audit.文件由nsconfigaudit工具创建。
  • tmp_ns.conf。文件创建由show run命令为分区。
  [nhelp -24092]

• 对于一个“routerdynamicrouting”NITRO API请求，如果响应大小太大，Citrix ADC设备可能会返回带有格式错误的JSON数据。

  [nhelp -19913]

• 功能:系统
  如果在diffnsconfig命令中使用-outfilename参数，Citrix ADC设备将变得不稳定。因此，diffnsconfig输出很大，足以完全填满根磁盘。

  [nhelp -19345]

身份验证、授权和审计

• 在某些情况下，当用户试图配置定制的EULA登录模式时，Citrix ADC设备会崩溃。

  使用默认的EULA登录模式。

  [nhelp -25570]

• 如果将Citrix ADC设备配置为nFactor身份验证并升级到版本13.0，则用于访问Citrix ADC设备的端点(例如iPad)将使用基于401的身份验证而不是基于表单的身份验证。

  [nhelp -25309]

• 特性:身份验证、授权和审计- tm
  Citrix ADC设备不会对重复的密码登录尝试进行身份验证，并防止帐户锁定。

  [nhelp -563]

• 当Citrix网关用户界面相关请求的报头大小超过1024个字符时，Citrix ADC设备响应400错误码。

  [nsauth-9475]

• 特性:身份验证、授权和审计

  在Citrix ADC GUI的登录模式编辑器屏幕上没有正确显示DualAuthPushOrOTP.xml LoginSchema。

  [nssoth -6106]

• 特性:身份验证、授权和审计

  ADFS代理配置文件支持在集群部署中配置。执行以下命令时，代理配置文件的状态错误地显示为空白。
  "show adfsproxyprofile "

  连接集群中的主用Citrix ADC，执行“show adfsproxyprofile ”命令。它将显示代理配置文件状态。

  [nsauth-5916]

• 特性:身份验证、授权和审计
  当您尝试从因子解绑定策略时，您可能会在nFactor Visualizer的nFactor Flow页面上看到No such policy exists消息。解绑定选项按预期工作。

  [nsauth-5821]

缓存

• 如果启用了集成缓存特性并且设备内存不足，Citrix ADC设备可能会崩溃。

  [nhelp -22942]

• 配置缓存内容组时，cache-control header max-age值中存在无效的宽空格。

  [nhelp -20066]

Citrix网关

• 如果FQDN用于通过SSL连接配置wiHome或StoreFront，则在启动过程中不会协商ECDHE密码。

  [nhelp -25144]

• 用于Windows的EPA插件不使用本地机器配置的代理，直接连接到网关服务器。

  [nhelp -24848]

• 当使用SharePoint中链接的基于web的办公应用程序编辑文档时，当这些应用程序通过高级无客户端VPN访问时，您可能会遇到问题。

  [nhelp -23364]

• 有时在浏览模式时，会出现错误消息“无法读取属性'type' of undefined”。

  [nhelp -21897]

• 如果配置有对任何服务的引用，则不会保存过滤器操作配置。您必须重新启动Citrix Gateway设备并再次应用配置。

  [nhelp -6889]

• 特性:Citrix网关
  如果满足以下条件，Citrix网关设备不会回退到LDAP策略:

  • 证书身份验证和LDAP被配置为第一个因素，LDAP检查登录Schema中的数据。
  • 证书认证失败。
  [nhelp -1853]

• 如果启用带有高级加密的HDX Insight，则会观察到内存泄漏。

  使用HDX Insight进行基本加密，而不是高级加密。

  [cgop-15689]

• 满足以下两个条件时，Transfer login无法正常运行:

  • 配置nFactor认证。
  • Citrix ADC主题设置为Default。
  [cgop-14092]

• 特性:Citrix网关
  Gateway Insight报告错误地在SAML错误失败的身份验证类型字段中显示值“Local”而不是“SAML”。

  [cgop-13584]

• 特性:Citrix网关
  如果用户正在使用MAC接收器以及Citrix Virtual App和台式机(以前的Citrix XenApp和XenDesktop)的6.5版本，则ICA连接会导致ICA解析期间的跳过解析。
  将接收器升级到最新版本的Citrix Workspace应用程序。

  [cgop-13532]

• 特性:Citrix网关
  在高可用性设置中，在Citrix ADC故障转移期间，SR计数增加，而不是Citrix ADM中的故障转移计数。

  [cgop-13511]

• 在接受来自浏览器的本地主机连接时，macOS的“接受连接”对话框无论选择哪种语言都以英语显示内容。

  [cgop-13050]

• 在Citrix SSO应用程序>主页中，文本“主页”在某些语言中被截断。

  [cgop-13049]

• 特性:Citrix网关
  当您从Citrix ADC GUI添加或编辑会话策略时，会出现错误消息。

  [cgop-11830]

• 在Outlook Web App (OWA) 2013中，单击“设置”菜单下的“选项”，会出现“严重错误”对话框。此外，页面变得无响应。

  [cgop-7269]

Citrix Web应用防火墙

• 在Citrix ADC设备崩溃后，aslearn进程不会自动启动。

  [nswaf-6766]

• Bot日志表达式

  Citrix bot管理配置文件现在允许您在传入流量被标识为bot时捕获附加数据作为日志消息。数据可以是任何请求端的tcp或http信息，例如:

  • 请求URL
  • 源IP地址
  • 源端口

  [nswaf-22]

• Soap信封验证对于XML数据可能会失败。

  [nhelp -24412]

负载平衡

• 在高可用性设置中，主节点的订阅者会话可能不会同步到辅助节点。这是罕见的情况。

  [nslb-7679]

• 在高可用性设置中运行add locationfile或add locationfile6”命令时，可能会删除自定义位置条目。

  [nhelp -23775]

• 如果主站点到从属站点配置同步失败，可能会延迟SNMP告警的产生。

  [nhelp -23391]

• 当启用DNS日志记录并接收到格式错误的DNS查询时，Citrix ADC设备可能会崩溃。

  [nhelp -21959]

网络

• 当您使用astylebook将configuration推送到集群实例时，命令将失败，并显示“命令传播失败”错误消息。
  theclusterretainsthepartialconfiguration Onsuccessive失败。
  
  1. identifythefailedcommandsfromthelog。
  2. manuallyapplytherecoverycommandstothefailedcommands。

  [nhelp -24910]

• 在高可用性设置中，由于数据包引擎和内部网络模块对数据的处理不当，SNMP模块可能会反复崩溃。
  SNMP模块的重复崩溃触发HA故障转移。

  [nhelp -24434]

• 对于非默认HTTPS端口上的内部SSL服务，在设备重新启动后，SSL证书绑定可能会恢复到默认设置。

  [nhelp -24034]

平台

• 当在50G和100G接口上看到频繁的链路振荡时，Citrix ADC VPX实例崩溃。

  [nsplata -16852]

• 特点:思杰ADC SDX平台
  支持新的思杰ADC SDX硬件平台
  此版本现在支持以下新平台:

  • 思杰ADC SDX 15000。有关更多信息，请参见https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-15000.html
  • 思杰ADC SDX 26000。有关更多信息，请参见https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-26000.html
  • 思杰ADC SDX 26000-50S。有关更多信息，请参见https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-26000-50s.html
    &%2391;From Build 51.10&%2393;
  [nsplata -12815]

• 在Citrix ADC SDX 14000和SDX 25000平台上，通过熄灯管理NMI (Non-Maskable Interrupt)按钮不会产生核心转储。

  [nhelp -25091]

政策

• 功能:系统
  如果处理数据的大小超过配置的默认TCP缓冲区大小，则连接可能会挂起。

  设置TCP缓冲区大小为需要处理的数据的最大大小。

  [nspolicy-1267]

SSL

• 特点:SSL
  以下add命令不支持Update命令:

  • 添加azure应用程序
  • 添加azure密钥库
  • 添加带有hsmkey选项的SSL证书
  [nsssl-6484]

• 特点:SSL
  如果已经添加了身份验证Azure密钥库对象，则无法添加Azure密钥库对象。

  [nsssl-6478]

• 特点:SSL
  您可以使用相同的客户端ID和客户端密钥创建多个Azure应用程序实体。Citrix ADC设备不返回错误。

  [nsssl-6213]

• 特点:SSL
  当您删除HSM密钥而没有指定KEYVAULT作为HSM类型时，会出现以下不正确的错误消息。
  错误:crl刷新被禁用

  [nsssl-6106]

• 特点:SSL
  在集群IP地址上，会话密钥自动刷新错误地显示为已禁用。(此选项不能被禁用。)

  [nsssl-4427]

• 特点:SSL
  如果您尝试更改SSL配置文件中的SSL协议或密码，将出现错误的警告消息“警告:SSL vserver/service上没有配置可用的密码”。

  [nsssl-4001]

• 特点:SSL
  在集群设置中，一些集群节点可能不接受会话票证的重用请求，但是SSL完全握手成功。

  [nsssl-3161]

• 在集群设置中，如果删除了任何证书或密钥文件，则不允许更改证书配置。

  [nhelp -24913]

• 在添加了SSL_TCP虚拟服务器并将SSL配置文件附加到它之后，“redirectPortRewrite”设置可能会被错误地启用。因此，在以后的升级中可能会丢失一些配置。

  redirectPortRewrite设置仅对HTTP虚拟服务器有效。

  [nhelp -22984]

• 当“forward”ssl动作被触发时，计数器“当前客户端测试连接错误地在转发流量的虚拟服务器的统计输出中显示较大的值。

  [nhelp -22825]

• 特点:SSL
  在集群设置中，集群IP (CLIP)地址上的运行配置显示绑定到实体的DEFAULT_BACKEND密码组，而在节点上则没有。这是一个显示问题。

  [nhelp -13466]

系统

• 如果出现以下情况，Citrix ADC设备将无法处理服务器端连接，并且无法记录正确的AppFlow记录:

  • 与私有url集匹配的域名没有从AppFlow记录中正确混淆。
  • 在AppFlow记录中，Responder Action、Policy Matched和Matched ID字段填充不正确。
  [nhelp -24824]

• 当Citrix ADC CPX作为sidecar部署时，如果没有设置环境变量MGMT_HTTP_PORT, NITRO API调用将无法工作

  当您将Citrix ADC CPX部署为侧车时，必须设置MGMT_HTTP_PORT环境变量。您可以分配任何未分配的端口号，包括9080。

  [nsbase-12800]

用户界面

• 特点:Cloudbridge连接器

  创建/监控CloudBridge连接器向导可能变得无响应或配置CloudBridge连接器失败。

  通过Citrix ADC GUI或CLI界面，添加IPSec安全框架、IP隧道和策略路由规则，配置云桥连接器。

  [nsui-13024]

• 在GUI中检查流会话(AppExpert >动作分析>流标识符)时刷新按钮不起作用。

  [nhelp -24195]

• 安装admin分区时，上传和添加CRL (certificate revocation list)文件失败。

  [nhelp -20988]

• 有时，应用程序防火墙签名需要很长时间才能同步到非cco节点。因此，使用这些文件的命令可能会失败。

  [nsconfig-4330]

• 如果您(系统管理员)在降级后的Citrix ADC设备上执行以下所有操作，系统用户可能无法登录降级后的Citrix ADC设备。

  1.将Citrix ADC设备升级到以下其中一个版本:

  • 13.0 52.24 build
  • 12.1 57.18构建
  • 11.1 65.10版本

  2.新增系统用户或修改已有系统用户密码，并保存配置
  3.将Citrix ADC设备降级到任何较旧的版本。

  使用CLI查询系统用户列表。
  在命令提示符下，输入:

  query ns config -changedpassword-config <配置文件的完整路径(ns.conf)>&%2393;＂

  要解决此问题，请使用以下独立选项之一:

  • 如果Citrix ADC设备尚未降级(上述步骤中的第3步)，请使用先前备份的同一版本版本的配置文件(ns.conf)降级Citrix ADC设备。
  • 在升级版本中未更改密码的任何系统管理员都可以登录降级版本，并更新其他系统用户的密码。
  • 如果以上选项都无效，系统管理员可以重置系统用户密码。

  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

  [nsconfig-3188]