Citrix ADC 13.0-79.64版本发布说明

身份验证、授权和审计

• 身份验证期间的轮询支持

  Citrix ADC设备现在可以配置为在多因素身份验证期间进行轮询。

  Polling机制使Citrix ADC设备能够在端点上恢复正在进行的身份验证，而无需在端点上重置TCP连接的罕见情况下重新启动身份验证过程。

  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/polling-for-nfactor.html

  [nsauth-9043]

机器人管理

• 基于鼠标和键盘动态的Bot检测

  思杰机器人管理系统现在可以根据键盘和鼠标的移动来检测机器人。与需要直接人机交互的传统机器人技术(例如CAPTCHA验证)不同，新的机器人检测技术被动地监控鼠标和键盘动态。然后，Citrix ADC设备收集实时用户数据，并将数据发送到Citrix ADM服务器进行bot分析。

  使用键盘和鼠标动态的机器人检测技术有以下好处:

  • 启用整个用户会话的监控，并消除单个检查点。
  • 无需人工交互，对用户完全透明。

  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

  [nsbot-402]

Citrix ADC SDX Appliance

• 在Citrix ADC SDX设备上，当满足以下条件时，ADC实例状态当前显示“Out of Service”:

  • 直接通过实例命令行修改ADC实例的密码。
  • 密码与存储在Management Service中的实例管理配置文件密码不匹配。
  • 第一次重启实例后，上一个会话将丢失。

  现在，每当实例由于身份验证失败而停止服务时，实例状态的颜色就会变为灰色。要恢复实例，请执行以下操作之一:

  • 在实例的CLI中修改实例的密码，使其与实例的admin配置文件中的密码一致。然后从管理服务中重新发现实例。
  • 创建一个admin配置文件，密码与ADC实例的当前密码相同。然后，使用新的管理配置文件更新ADC实例。
  [nssvm-4193]

Citrix Web应用防火墙

• 处理HTML SQL注入攻击的放松和强制模式

  Web应用程序防火墙现在增强了在放松模式和强制模式下运行，以获得更高的安全保护。根据您希望设备处理HTML SQL注入攻击的方式，您可以将安全检查配置为强制或放松模式。

  在强制模式下，安全检查允许绕过HTML SQL注入攻击，除非您已经通过绑定强制规则显式地配置配置文件来阻止违规。

  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/current-release/application-firewall/top-level-protections/relaxtion-and-deny-rules-for-html-sql-injection-attack.html

  [nswaf-6435]

负载平衡

• 改进了GSLB配置同步性能，减少了同步时间

  Citrix ADC设备现在支持GSLB配置的增量同步。在增量同步中，只有主站点上在上次同步和后续同步间隔(10秒)之间发生变化的配置才会在所有从属站点上同步。仅推入增量配置可以大大减少配置文件的大小，从而减少同步所花费的总时间。这也提高了GSLB配置同步性能。如果增量同步失败，Citrix ADC设备将自动执行完整配置同步。

  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/current-release/global-server-load-balancing/synchronizing-configuration-in-gslb-setup/real-time-synchronization.html

  [nslb-7384]

• 一致性哈希的新算法

  现在支持Prime re - shuffed Assisted CARP (PRAC)和Jump table Assisted Ring Hash (JARH)算法来执行一致的哈希。这些算法保证了流量的一致性和均匀分布。

  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/current-release/load-balancing/load-balancing-customizing-algorithms/hashing-methods.html

  [nslb-7028]

• 在极少数情况下，由于监控器没有在服务器探测中发送正确的密码，LDAP监控器错误地将LDAP服务器状态显示为down。
  [nhelp -24967]

网络

• Citrix ADC BLX设备支持BGP MD5认证

  Citrix ADC BLX设备现在支持与IPv4对等体的边界网关协议(BGP)的MD5身份验证。

  使能认证功能后，BGP IPv4对等体之间交换的任何BGP TCP报文段，只有认证通过后才会被验证和接受。为了验证成功，两个对等体必须配置相同的MD5密码。如果认证失败，则BGP邻居关系未建立。

  Citrix ADC BLX设备对BGP的MD5认证支持符合RFC 2385。

  [nsnet-19089]

平台

• VMware ESX 7.0更新1c支持Citrix ADC VPX实例
  

  
  Citrix ADC VPX实例现在支持VMware ESX version 7.0 Update 1c (Build 1732555)。
  [nhelp -26444]

SSL

• 支持4096位RSA客户端证书

  在Citrix ADC VPX设备上，现在在SSL握手期间支持使用4096位RSA客户端证书进行客户端身份验证。

  [nsssl-8194]

系统

• 监视器对代理协议的支持

  带有代理协议的Citrix ADC设备现在支持监视器检查。监视器检查功能确保后端服务器也支持代理协议。用于监控后端服务器的健康状态。

  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/current-release/load-balancing/load-balancing-builtin-monitors/monitor-proxy-protocol-services.html

  [nsbase-13489]

• 监控对HTTP/2协议的支持

  Citrix ADC设备现在支持用于监视HTTP/2服务运行状况的HTTP/2监视器。

  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/current-release/load-balancing/load-balancing-builtin-monitors/monitor-http2-services.html

  [nsbase-11299]

身份验证、授权和审计

• 使用“set aaa parameter”命令启用enableEnhancedAuthFeedback参数时，最终用户portal页面自定义错误消息失败。

  [nhelp -26814]

• 在通过Citrix ADC GUI进行配置时，无法取消LDAP服务器中“memberof”的组属性。

  [nhelp -26199]

• 当满足以下条件时，Citrix Gateway插件无法启动:

  • Citrix网关设备仅配置为Full VPN。
  • 认证方式为OAuth RP。

  [nhelp -26020]

• 在Citrix ADC BLX设备中，LDAP身份验证可能无法像预期的那样使用SSL、TLS和明文安全类型。

  [nhelp -25809]

• 当将Citrix ADC设备配置为依赖方(RP)时，会观察到以下问题。

  • 如果IdP将JWT的签名算法使用为RS512，则设备无法处理来自OAuth IdP的身份验证请求。
  • 设备将“login_hint”参数的“匿名”值发送到OAuth IdP。
  [nhelp -25794]

• 当用户从Citrix网关注销时，如果网关配置了RADIUS计费，注销信息不会发送到RADIUS计费服务器。

  [nhelp -25765]

• 在对话模式下，RADIUS服务器发送多个重复响应时，认证失败。

  [nhelp -25758]

• 当满足以下条件时，Citrix Gateway插件无法启动:

  • Citrix网关设备仅配置为Full VPN。
  • SSPR注册配置为最后一个因素。
  [nhelp -25691]

• 在使用Citrix ADC GUI配置身份验证策略时，不能选择“NO AUTH”动作。

  [nhelp -25466]

• 在某些情况下，当用户尝试进行身份验证时，Citrix ADC设备可能会崩溃，如果设备配置如下。

  • 该设备配置为401身份验证
  • 身份验证策略的第一个因素是“认证”，第二个因素是“证书身份验证”
  [nhelp -25051]

机器人管理

• 您不能将多个速率限制会话cookie绑定到一个bot配置文件。

  [nsbot-390]

Citrix ADC SDX Appliance

• 在Citrix ADC SDX设备上，管理服务不向已配置的syslog服务器发送syslog消息。

  [nhelp -27000]

• 在重新启动Management Service之后，首次签出来自池化许可服务器的实例或带宽可能会失败。

  [nhelp -26878]

• 在运行软件版本13.0的Citrix ADC SDX设备上，即使可以使用实例IP地址直接访问实例，也可能无法从管理服务访问ADC实例。

  [nhelp -26679]

• 当您重新启动管理服务并且配置了一些VPX实例时，如果您尝试从缺省组编辑会话超时，则会出现以下错误消息系统>用户管理>组页面。

  不能更改默认组的授权范围。

  [nhelp -26556]

• 对于实例供应期间使用的IP地址稍后直接从实例更改的实例，不会按照库存周期进行库存。
  

  [nhelp -26407]

Citrix网关

• 如果配置了Citrix安全Web网关和AppFlow, Citrix ADC设备可能会在SSO流中崩溃。

  [nhelp -26781]

• 的覆盖全球的选项本地局域网接入的参数。Citrix网关会话配置文件>客户端体验>高级是禁用的。在以前的版本中，默认情况下是启用的。

  [nhelp -26689]

• 如果一个用户通过一个完整的VPN隧道使用内部网IP(插件到插件流量)访问另一个用户的客户机的IDENT端口(113)，则Citrix Gateway设备会崩溃。

  [nhelp -26631]

• macOS的EPA库更新到1.3.4.7版本(Opswat版本:4.3.1566.0)

  [nhelp -26538]

• 当服务器发起的连接在连接关闭后发送数据包时，Citrix Gateway设备崩溃。

  [nhelp -26431]

• 如果同时满足以下几个条件，Citrix Gateway登录页面将提示登录失败。即使用户没有尝试再次登录，也会出现错误。

  1. 登录Citrix网关失败。
  2. 登录Citrix网关成功。
  3. 用户退出。
  [nhelp -25157]

• 在Gateway Insight中报告应用程序错误启动失败。当没有应用程序或桌面启动时，报告启动失败。

  [nhelp -23047]

• 在使用XenApp和XenDesktop向导添加身份验证虚拟服务器时，该身份验证服务器的测试连通性失败。

  [cgop-16792]

Citrix Web应用防火墙

• 在集群配置中，如果SQL通配符匹配百分位数(%)字符，Web App Firewall学习引擎将多次学习相同的数据。

  [nswaf-7489]

• 如果启用了startURL闭包并且内存分配失败，Citrix ADC设备可能会崩溃。

  [nhelp -27155]

• 在将cookie相同站点支持添加到Citrix Web App Firewall配置文件后，如果cookie值用逗号分隔(非rfc标准)，则会出现问题。

  [nhelp -26846]

• 如果bot管理无法在HTTP响应中插入JavaScript, Citrix ADC设备可能会崩溃。

  [nhelp -26730]

• 当用于XSS日志记录的一些消息缓冲区没有为特定的有效负载释放时，可能会观察到内存泄漏。

  [nhelp -26430]

• 在高可用性设置中，如果在启用SNMP警报的情况下配置动态分析，则可能会在辅助节点上观察到内存使用的峰值。

  [nhelp -25580]

• 在向长记录列表中添加违规记录时，Citrix ADC设备可能会因为超时问题而崩溃。

  [nhelp -25507]

负载平衡

• 在集群-GSLB部署中，由于GSLB所有者节点无法向非所有者节点发送服务状态更新，所以在非所有者节点上无法更新本地GSLB服务的有效状态。

  [nhelp -26260]

• Citrix ADC设备在处理无效的会话发起协议(SIP)数据包时可能会崩溃。

  [nhelp -26202]

• 当内容交换虚拟服务器接收到HTTPS请求时，在满足以下条件时，HTTPS请求中最大的cookie会导致缓冲区溢出和堆栈损坏:

  • cookie格式错误。
  • cookie长度大于32字节。
  [nhelp -25932]

• 当您为一个名称与其IP地址不相同的服务器修改后端服务器IP地址时，可能无法保存完整的配置。这是一种罕见的情况，如果Citrix ADC设备内存不足，可能会发生这种情况。

  [nhelp -24329]

• 在Autoscale高可用性或集群部署中，如果满足以下条件，Citrix ADC设备在创建服务成员时可能会崩溃:

  -如果将服务成员绑定到非所有者节点或禁用运行状况监视选项的辅助节点中的服务组。

  [nhelp -24029]

杂项

• 在集群设置中，由于与CCO的连接丢失，命令传播可能会失败。如果同时满足以下两个条件，则会观察到问题:

  • 在安装程序中执行命令传播操作。
  • 设置处于空闲状态超过两个小时。如果节点之间没有任何CLI命令的交换，则集群设置处于空闲状态。

  [nhelp -26350]

网络

• 在最大连接数(maxConn)全局参数设置为非零值的集群设置中，如果满足以下任何条件，CLIP连接可能会失败:

  • 从Citrix ADC 13.0 76升级设置。x构建到Citrix ADC 13.079。x构建。
  • 在运行Citrix ADC 13.0 76的集群设置中重启CCO节点。x构建。
  [nsnet-21173]

• 当newnslog如果备份文件增加，可能会在一段时间内导致正在运行的Citrix ADC CPX实例的磁盘空间紧张。通过环境变量NEWNSLOG_MAX_FILENUM，可以控制备份文件的个数。通过将环境变量的值设置为10，可以限制文件的最大数目newnslog备份文件至10。

  [nsnet-20261]

• Citrix ADC BLX设备现在支持Citrix ADC IPv6 OSPF (OSPFv3)动态路由协议特性。有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html。

  [nsnet-19567]

• 当满足以下所有条件时，Citrix ADC设备可能会崩溃:

  • 不可寻址负载均衡虚拟服务器启用MAC模式。
  • 同一虚拟服务器是链路负载均衡配置或基于策略的路由配置的一部分。

  作为修复的一部分，当满足上述条件时，Citrix ADC设备现在显示以下警告消息:

  • 警告:MAC模式重定向不应该启用LLB配置。
  [nsnet - 1985]

• 如果出现以下情况，Citrix ADC设备可能会崩溃:

  • IPv6链路负载均衡(LLB6)配置启用了持久化选项。
  • 为这个LLB6配置创建了一些IPv6虚拟连接
  [nhelp -25695]

• 在集群AWS云设置中，具有较高优先级值的节点可能成为CCO。当具有所有不同优先级值的8个或更多节点一起重新启动时，就会发生这种情况。

  [nhelp -25244]

平台

• 在某些情况下，如果向VPX实例添加了大量接口，则Citrix SDX设备上的VPX实例不会启动。

  [nhelp -26861]

• 在Citrix ADC SDX 15000-50G设备上，如果没有定向到任何ADC VPX实例的数据流量短暂激增，可能会发生以下问题:

  • 10G端口的LACP链路可能出现闪断或永久down。
  [nhelp -25561]

• 在Citrix ADC SDX设备上，在对配置为集群节点的VPX实例进行热重启期间，由于设置接口命令失败，背板LA通道可能进入PARTIAL-UP状态。

  [nhelp -23353]

• 缺省情况下，在配置为内部管理接口的管理接口上，HAMON (high availability monitor)和HA心跳处于关闭状态。该接口不能开启HAMON和HA心跳。
  之后，如果将该接口重新配置为管理接口，并且重启VPX实例，则HAMON和HA心跳选项仍然是禁用的。
  但是，您现在可以手动启用这些选项，以避免HA配置中的任何问题。

  [nhelp -21803]

政策

• 如果变量长度大于31个字符，则无法在赋值中使用变量。

  [nhelp -26362]

• 以下问题可能导致高可用性设置中的故障转移:

  如果许多非http、非tcp数据包在处理被阻塞后排队等待处理。

  [nhelp -23506]

SSL

• 在Citrix ADC设备上，如果启用SSL“sessionTicket”参数，就会出现内存泄漏。

  [nhelp -26207]

• 如果满足以下条件，Citrix ADC设备在处理来自TLS 1.3客户端的请求时可能会崩溃:

  • 前端虚拟服务器启用TLS 1.3协议。
  • 底层硬件平台使用英特尔Coleto Creek加密加速卡(选择MPX和SDX型号使用这些芯片)。
  • 在SDX平台上，Intel Coleto Creek加密卡资源被分配给ADC实例。
  [nhelp -26089]

• 当启用了admin分区时，可能会在Citrix ADC设备上看到由于内存不足而导致的连接失败。当SSL加密硬件芯片已满时，就会发生此问题。

  [nhelp -25981]

• 在集群设置中，您可能会观察到以下问题:

  • 缺少与CLIP上SSL内部服务绑定的默认证书密钥对的命令。但是，如果从旧版本升级，则可能必须将默认证书-密钥对绑定到CLIP上受影响的SSL内部服务。
  • CLIP与使用默认set命令访问内部服务的节点之间的配置差异。
  • 在节点上执行show running config命令，输出信息中缺少default cipher bind命令绑定SSL实体。遗漏只是显示问题，对功能没有影响。可以使用show ssl 命令查看绑定。
  [nhelp -25764]

• 如果满足以下条件，Citrix ADC设备将变得无响应:

  • 启用DTLS。
  • UDP多路复用使用DTLS通道并以高速率泵送流量。
  [nhelp -22987]

系统

• 在高可用性设置中，如果从Citrix ADM在Citrix ADC设备上启用度量，则辅助节点可能会崩溃。

  [nhelp -26969]

• 当Citrix ADC设备处理重复的TCP数据包时，在该设备上观察到以下问题:

  • 设备使用DSACK生成一个重复的ACK，并丢弃数据包。
  • 如果传入的数据包有任何窗口更新，则设备会复制它并模拟窗口更新ACK。
  • 设备使用不正确的时间戳创建窗口更新ACK。
  [nhelp -26893]

• 在HTTP/2前端和HTTP/1.1后端场景下，如果在nstrace命令中配置了Vserver IP filter和-link enabled参数，用户将无法看到后端服务器连接。

  [nhelp -26717]

• 对于客户端连接，Citrix ADC设备可能会错误地发送连接保持活动头以响应客户端连接关闭头。这个不正确的连接保持存活头导致延迟关闭客户端上的连接。

  [nhelp -26474]

• 一旦启用，“clientSideMeasurements”参数就不能在AppFlow操作命令中禁用。

  [nhelp -26464]

• 如果出现以下情况，Citrix ADC设备可能会崩溃:

  • 如果客户端请求来自一个资源(具有相同的IP地址和端口)，而该资源在以前的IPS (Intrusion Prevention System)连接结构中没有被释放。
  • IPS (Intrusion Prevention System)模块从被释放的结构中尝试访问未被释放的资源。
  [nhelp -26450]

• 当对正在缓存的请求发送重置时，Citrix ADC设备可能会崩溃。

  [nhelp -26410]

• 当在set httpProfile命令中启用markHTTPHeaderExtraWSError参数时，补丁HTTP方法会被阻塞。

  [nhelp -26398]

• 当Citrix ADC设备处于内存压力下时，该设备可能会在AppFlow模块中崩溃。

  [nhelp -26367]

• 在清除配置过程中，当没有使用URL集时，在ns.log中会看到与URL集对应的错误日志条目。

  [nhelp -26242]

• 在从Citrix ADC 12.1 build 50.31升级到Citrix ADC 13.0 build 58.32之后，在监视器的情况下，设备在接收到TCP SYN包的错误ACK后不会重试。结果，设备重置监视器TCP连接，并将服务标记为DOWN状态。

  [nhelp -25813]

• 如果设备将RNAT IP地址用于服务器端(包括http2和http1.1)连接，则RNAT配置不适用于HTTP/2连接。

  [nhelp -23783]

• 如果将所有数据包的TTL值设置为255，则CAPTCHA验证不会像预期的那样工作。

  [nsbase-13966]

• HTTP/2和TCP窗口管理逻辑中的错误可能导致服务器连接运行到HTTP/2和TCP窗口问题。它防止对象被完全缓存。如果满足以下条件，则会观察到问题:

  • 集成缓存特性已启用，响应正在被缓存。
  • 在上述情况下，HTTP/2客户端会在连接上突然发送reset流报文或HTTP/1.1客户端发送TCP RST。
  [nsbase-13878]

• Citrix ADC设备在为VPN生成的某些HTTP响应生成AppFlow记录时可能会失败。问题发生在启用Gateway Insight时。

  [nsbase-13698]

• 如果启用了动态接收缓冲(DRB)特性，则TCP通告窗口(ADV_WND)更新不符合接收数据包的期望。因此，与禁用DRB功能时相比，上传速度较慢。

  [nsbase-13100]

用户界面

• 绑定策略后编辑内容切换虚拟服务器时，Citrix ADC界面显示VIP错误。

  [nhelp -26853]

• 在Citrix ADC BLX设备中，本地许可证的过期时间可能不会像预期的那样减少。

  作为修复，本地许可证的到期时间现在每24小时减少1。

  [nhelp -26554]

• 在Citrix ADC BLX设备的高可用性设置中，配置同步有时可能会失败。

  [nhelp -26495]

• Citrix ADC设备重启后，如果无法从该设备访问许可证服务器，则该设备的许可证状态将进入宽限期状态。即使license服务器可达，license状态也保持宽限期状态。

  [nhelp -26468]

• switch partition命令允许强制执行。它允许用户切换到一个新的分区，而不需要提示保存配置和不保存配置。不提示强制切换，并保存配置。当您使用-save标志时，就会发生这种情况。

  [nhelp -26222]

• 编辑现有虚拟服务器持久性配置时，负载均衡虚拟服务器持久性视图无法显示所有参数。

  [nhelp -25965]

• 在以下情况下，使用show partition命令可能会导致nsconfigd守护进程崩溃:
  —API会话令牌是短期的。
  —show partition命令未执行完毕，会话令牌过期。

  [nhelp -25880]

• 在集群设置中，当您从CLIP访问Citrix ADC GUI时，您可能会观察到审计Syslog策略没有全局绑定。当您从NSIP访问Citrix ADC GUI时，不会观察到同样的问题。

  [nhelp -24631]

• 在GUI中检查流会话(AppExpert >动作分析>流标识符)时刷新按钮不起作用。

  [nhelp -24195]

• Citrix ADC设备不支持使用NITRO api添加大于2 MB的CRL文件。

  [nhelp -20821]

• 在Citrix ADC BLX设备中，GUI中的“Reporting”选项卡可能无法按预期工作。

  [nsconfig-4877]

• 当满足以下条件时，ADC实例与ADM服务之间的连接会断开:

  • 使用内置代理将实例添加到ADM服务。
  • 使用-Y选项或从ADM GUI升级实例。在这两种情况下，内置代理都不会重新启动。-Y选项对CLI或GUI上出现的所有与升级相关的问题提供Yes作为答案。
  [nsconfig-4368]

视频优化

• 如果传入请求不符合用于策略评估的FQDN语法规则，Citrix ADC设备可能会崩溃。无效fqdn的一些例子是SNI和以句点('.')开头的主机名。

  [nhelp -25564]

身份验证、授权和审计

• 在某些情况下，如果请求没有身份验证cookie，则会错误地处理对身份验证、授权和审计tm虚拟服务器的HTTP POST请求。POST主体在处理过程中丢失。

  [nhelp -27227]

• Citrix ADC设备在处理基于身份验证、授权和审计tm和401 lb的流量时经常崩溃。

  [nhelp -27094]

• 在某些情况下，Citrix ADC设备在为Citrix网关和身份验证、授权和审计(流量管理部署)执行用户身份验证时崩溃。

  [nhelp -26555]

• 表达式中使用Authentication, authorization, and auditing.USER.DOMAIN会导致登录用户的单点登录域名填写错误。

  [nhelp -26443]

• 在输入不正确的OTP时，会出现错误消息“Email Auth失败”。提示“No further action to continue”。

  [nhelp -26400]

• 在某些场景下，如果策略名称大于内网应用名称，可能导致“绑定认证、授权和审计组”命令配置失败。
  
  

  [nhelp -25971]

• Citrix ADC设备不会对重复的密码登录尝试进行身份验证，并防止帐户锁定。

  [nhelp -563]

• 由于密码解密问题，网络连接测试检查失败。但是，身份验证功能运行良好。

  [nsauth-10216]

• 在Citrix ADC GUI的登录模式编辑器屏幕上没有正确显示DualAuthPushOrOTP.xml LoginSchema。

  [nssoth -6106]

• ADFS代理配置文件支持在集群部署中配置。执行以下命令时，代理配置文件的状态错误地显示为空白。
  "show adfsproxyprofile "

  解决方法:连接到集群中的主用Citrix ADC，执行“show adfsproxyprofile ”命令。它将显示代理配置文件状态。

  [nsauth-5916]

缓存

• 如果启用了集成缓存特性并且设备内存不足，Citrix ADC设备可能会崩溃。

  [nhelp -22942]

Citrix ADC SDX Appliance

• Management Service命令行中断，出现以下错误:

  错误:无效的属性字段

  [nssvm-4551]

• 在Citrix ADC SDX设备上，如果CLAG是在Mellanox网卡上创建的，那么当VPX实例重新启动时，CLAG MAC会发生变化。到VPX实例的流量在重启后停止，因为MAC表中有旧的CLAG MAC表项。

  [nssvm-4333]

• 在Citrix ADC SDX设备上，如果在该实例上配置了突发吞吐量，则可能不会显示ADC实例的IP地址(NSIP)。

  [nhelp -27133]

Citrix网关

• 当将syslog策略绑定到虚拟服务器并且修改相应的syslog操作时，Citrix Gateway设备会崩溃。

  [nhelp -27171]

• 当启用Gateway Insight时，由于本地ns.log文件中SSL VPN日志消息泛滥，Citrix网关设备意外重启。

  [nhelp -27040]

• 如果为后端子网配置了forwardSession，并且通过VPN隧道访问同一子网中的服务器，Citrix网关设备可能会崩溃。

  [nhelp -27037]

• 一些Citrix Gateway相关的日志文件没有被旋转，导致日志大小增加。

  [nhelp -26767]

• 当开启Gateway Insight功能时，Citrix ADC日志中可能充斥着“GwInsight: Func=ns_sslvpn_send_app_launch_fail_record Appflow policy evaluation has failed”的日志信息。

  [nhelp -26750]

• 在“创建Citrix网关流量配置文件”页面中，输入FQDN作为代理时，提示“代理值无效”。

  [nhelp -26613]

• Citrix网关设备在SSLVPN NONHTTP_RESOURCEACCESS_DENIED日志中显示损坏的会话策略名称。

  [nhelp -26610]

• 如果应用程序名称长于20个字符，则在通过Citrix Gateway连接时，应用程序名称将被截断。

  [nhelp -26604]

• 当网络变化时，Windows VPN插件在Windows凭据界面显示错误。

  [nhelp -26562]

• rfweb客户端检测页面显示安装按钮，而不是检测按钮，表示配置了内容交换虚拟服务器。

  [nhelp -26138]

• 如果出现以下任何一种情况，Citrix ADC设备将崩溃:

  • syslog动作配置了域名，可通过GUI或CLI方式清除配置。
  • 高可用性同步发生在辅助节点上。

  处理:

  使用syslog服务器的IP地址而不是syslog服务器的域名创建syslog动作。

  [nhelp -25944]

• 如果启用开明数据传输(EDT)，您可能会注意到建立的TCP连接总数存在差异。

  [nhelp -25841]

• 在使用Citrix ADC GUI创建RDP客户端配置文件时，当满足以下条件时出现错误消息:

  • 已配置默认的PSK (pre-shared key)。
  • 尝试修改RDP cookie有效性(秒)字段中的RDP cookie有效性定时器。
  [nhelp -25694]

• 现象描述Windows VPN网关插件丢弃IPv6 DNS报文失败，导致DNS解析问题。

  [nhelp -25684]

• 如果配置了admin分区，则删除时不会加载Citrix Gateway登录页面。

  [nhelp -25538]

• 当多个VPN插件客户端使用1800字节或更大的X.509证书来建立隧道时，Citric ADC设备会崩溃。

  [nhelp -25195]

• 用于Windows的EPA插件不使用本地机器配置的代理，直接连接到网关服务器。

  [nhelp -24848]

• “show tunnel global”命令可以显示高级策略名称。以前，输出不显示高级策略名称。

  例子:

  新的输出:

  > show tunnel global
  策略名称:ns_tunnel_nocmp优先级:0

  策略名称:ns_adv_tunnel_nocmp类型:高级策略
  优先级:1
  全局绑定点:REQ_DEFAULT

  策略名称:ns_adv_tunnel_msdocs类型:高级策略
  优先级:100
  全局绑定点:RES_DEFAULT
  完成
  >

  之前的输出:

  > show tunnel global
  策略名称:ns_tunnel_nocmp优先级:0禁用

  先进的政策:

  全局绑定点:REQ_DEFAULT
  绑定策略数:1 .单击“确定”

  完成

  [nhelp -23496]

• 在启用L7延迟的情况下，在Citrix Director上记录会话的ICA延迟错误地记录为64,000 ms。当“nsapimgr”旋钮“enable_ica_l7_latency”设置为1时，L7延迟被启用。

  解决方法:通过CLI或GUI将L7时延频率设置为5。

  [nhelp -23459]

• 有时在浏览模式时，会出现错误消息“无法读取属性'type' of undefined”。

  [nhelp -21897]

• 在Gateway Insight中没有报告由于无效STA票证导致的应用程序启动失败。

  [cgop-13621]

• Gateway Insight报告错误地在SAML错误失败的身份验证类型字段中显示值“Local”而不是“SAML”。

  [cgop-13584]

• 在高可用性设置中，在Citrix ADC故障转移期间，SR计数增加，而不是Citrix ADM中的故障转移计数。

  [cgop-13511]

• 在接受来自浏览器的本地主机连接时，macOS的“接受连接”对话框无论选择哪种语言都以英语显示内容。

  [cgop-13050]

• 在Citrix SSO应用程序>主页中，文本“主页”在某些语言中被截断。

  [cgop-13049]

• 当您从Citrix ADC GUI添加或编辑会话策略时，会出现错误消息。

  [cgop-11830]

• 在Outlook Web App (OWA) 2013中，单击选项在设置菜单下显示一个关键的错误对话框。此外，页面变得无响应。

  [cgop-7269]

Citrix Web应用防火墙

• 如果应用防火墙的学习数据中有特殊字符，则不跳过学习数据。

  [nswaf-7584]

• 由于IE浏览器不重用SSL连接，因此cookie劫持特性对IE浏览器的支持有限。由于限制，为一个请求发送多个重定向，最终导致IE浏览器出现“MAX redirects EXCEEDED”错误。

  [nhelp -27193]

• 升级到Citrix ADC 13.0 build 76.29并在设备上启用文件上传功能后，观察到以下问题:

  • SQL和XSS保护检查会阻止所有web应用程序的文件上传过程。
  [nhelp -27140]

• 在Citrix Web App Firewall模块中，主节点上的分布式哈希表(DHT)条目没有被释放。如果应用程序防火墙会话的超时时间较短，并且以较高的速率创建，则会出现此问题。

  [nhelp -26570]

• 有些违反安全的请求不会被HTML跨站点脚本安全检查阻止。

  [nhelp -24762]

• 配置签名自动更新的代理设置

  如果出站流量是通过代理设备(如bluecoat或Squid)，现在可以为签名自动更新配置代理设置。

  CLI命令:

  设置appfw设置-proxyServer -proxyPort

  例子:

  设置appfw settings -proxyServer 10.10.10.10 -proxyPort 8080

  [nhelp -17494]

负载平衡

• 在高可用性设置中，主节点的订阅者会话可能不会同步到辅助节点。这是罕见的情况。

  [nslb-7679]

• 如果满足以下条件，可能导致GSLB配置部分丢失:

  • Citrix ADC设备重新启动。
  • ADNS业务配置与远端GSLB站点相同的IP地址。
  [nhelp -26816]

• 在集群设置中，通过GSLB虚拟服务器绑定访问GSLB服务IP地址时，GUI中不显示该服务IP地址。这只是一个显示问题，对功能没有影响。

  [nhelp -20406]

杂项

• 当您使用StyleBook将配置推送到集群实例时，命令失败并显示“命令传播失败”错误消息。

  如果连续出现故障，集群将保留部分配置。

  处理:

  1. 从日志中识别失败的命令。
  2. 对失败的命令手动应用恢复命令。
  [nhelp -24910]

网络

• 在Citrix ADC BLX设备中，与带标签的非dpdk接口绑定的NSVLAN可能无法按预期工作。NSVLAN与非dpdk接口绑定可以正常工作。

  [nsnet-18586]

• 从Citrix ADC BLX设备13.061升级后。X构建到13.0 64。在构建BLX版本时，BLX配置文件上的设置将丢失。然后将BLX配置文件重置为默认值。

  [nsnet-17625]

• 以下接口操作不支持在带有DPDK的Citrix ADC BLX设备上的英特尔X710 10G (i40e)接口:

  • 禁用
  • 启用
  • 重置
  [nsnet-16559]

• 在基于Debian的Linux主机(Ubuntu版本18及更高版本)上，Citrix ADC BLX设备总是以共享模式部署，而不考虑BLX配置文件("/etc/ BLX / BLX .conf")的设置。出现这个问题是因为“mawk”(在基于Debian的Linux系统上默认存在)不运行“blx.conf”文件中存在的一些awk命令。

  解决方法:在安装Citrix ADC BLX设备之前安装“gawk”。安装“gawk”可以在Linux主机命令行中执行如下命令:

  • Apt-get安装gawk
  [nsnet-14603]

• 在基于Debian的Linux主机(Ubuntu版本18及更高版本)上安装Citrix ADC BLX设备可能会失败，并出现以下依赖错误:

  "下列软件包有未满足的依赖:blx-core-libs:i386: PreDepends: libc6:i386(>= 2.19)，但无法安装"

  解决方法:在安装Citrix ADC BLX一体机前，在Linux主机命令行中执行如下命令:

  • 添加架构i386
  • apt-get更新
  • apt-get dist-upgrade
  • Apt-get install libc6:i386
  [nsnet-14602]

• 在Citrix ADC设备中，如果邻居是对等组的成员，BGP的“neighbor shutdown”命令无效。

  由于这个问题，任何使用“neighbor shutdown”命令关闭的IPv6 BGP邻居，在设备重启或升级后都会处于UP状态。

  [nhelp -26957]

• 在高可用性设置中，如果满足以下条件，VPN用户会话将断开:

  • 在HA同步过程中，连续两次或两次以上手动HA故障切换。

  解决方法:待HA同步完成后(同步状态均为“同步成功”)，再手动切换HA。

  [nhelp -25598]

• 对于非默认HTTPS端口上的内部SSL服务，在设备重新启动后，SSL证书绑定可能会恢复到默认设置。

  [nhelp -24034]

平台

• 在Citrix ADC SDX 8900平台上，LOM版本从4.5x升级到4.61。在Citrix ADC SDX 15000和SDX 26000平台上，板载板版本从5.03升级到5.56。升级后，LOM的默认密码将重置为新制造平台设备的序列号。此升级解决了CVE-2013-4786所描述的漏洞。有关更多信息，请参见https://support.citrix.com/article/CTX234367。

  [nsplatt -19327]

• 在重启Citrix ADC VPX for AWS实例时，如果使用非默认网关的网关向DNS服务器添加静态路由，会发生以下事件:

  • 删除添加给DNS服务器的静态路由。
  • 使用默认网关添加新的静态路由。
  [nhelp -27116]

• 如果要将集群节点设置为yield，必须在CCO上进行以下附加配置:

  • 如果形成一个集群，那么所有的节点都会出现yield=DEFAULT。
  • 如果使用已经设置为yield=YES的节点组成集群，则使用DEFAULT yield将这些节点添加到集群中。

  注意:如果要将集群节点设置为yield=YES，则只能在集群形成之后，而不能在集群形成之前进行适当的配置。

  [nhelp -27091]

• 在Citrix ADC SDX平台上，当节点加入集群时，集群状态可能会发生变化。当触发影响集群运行状况的隐式接口重置时，就会发生振荡。

  [nhelp -27081]

政策

• 如果处理数据的大小超过配置的默认TCP缓冲区大小，则连接可能会挂起。

  解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。

  [nspolicy-1267]

• 具有全局作用域的NS变量不适用于HTTP/2流量。

  [nhelp -27095]

• 如果满足以下所有条件，Citrix Gateway设备可能会崩溃。

  • Nstrace是通过过滤器表达式启用的
  • 已启用到外部ADC审计服务器的调试审计日志记录
  • 配置了高级规则表达式的认证策略
  [nhelp -26045]

• 如果两个策略变量配置了不同的过期时间，会出现以下问题:

  • 删除过期时间较短的变量的过期值可能会延迟，直到删除过期时间较长的变量的过期值。
  [nhelp -25786]

SSL

• 如果在Client hello绑定点将多个SSL策略绑定到单个虚拟服务器，并且ALPN或SNI策略是第一个绑定的策略，则可能出现以下错误情况:
  
  如果客户机不发送ALPN或SNI请求，则不会评估绑定到虚拟服务器的其他策略。

  [nsssl-9865]

• 在Citrix ADC SDX 22000和Citrix ADC SDX 26000设备组成的异构集群上，如果重新启动SDX 26000设备，则会丢失SSL实体的配置。

  处理:

  1. 在CLIP上，在所有现有的和新的SSL实体(如虚拟服务器、服务、服务组和内部服务)上禁用SSLv3。例如:set ssl vserver -SSL3 DISABLED。
  2. 保存配置。
  [nsssl-9572]

• 以下add命令不支持Update命令:

  • 添加azure应用程序
  • 添加azure密钥库
  • 添加带有hsmkey选项的SSL证书
  [nsssl-6484]

• 如果已经添加了身份验证Azure密钥库对象，则无法添加Azure密钥库对象。

  [nsssl-6478]

• 您可以使用相同的客户端ID和客户端密钥创建多个Azure应用程序实体。Citrix ADC设备不返回错误。

  [nsssl-6213]

• 当您删除HSM密钥而没有指定KEYVAULT作为HSM类型时，会出现以下不正确的错误消息。
  错误:crl刷新被禁用

  [nsssl-6106]

• 在集群IP地址上，会话密钥自动刷新错误地显示为已禁用。(此选项不能被禁用。)

  [nsssl-4427]

• 如果您尝试更改SSL配置文件中的SSL协议或密码，将出现错误的警告消息“警告:SSL vserver/service上没有配置可用的密码”。

  [nsssl-4001]

• 颁发CRL的CA证书名称被截断为32个字符，尽管证书密钥名称最多可以有64个字符。出现此问题的原因是CRL字段的长度限制为32个字符。

  [nhelp -26986]

• 如果在配置文件中更改内置证书(“ns-server-certificate”)的名称，Citrix ADC设备将在重新启动期间崩溃。

  [nhelp -26858]

系统

• Citrix ADC设备可能会在MPTCP连接上发送无效的TCP数据包以及TCP选项，如SACK块、时间戳和MPTCP Data ACK。

  [nhelp -27179]

• 在Citrix ADC设备和数据加载程序中观察到Logstream记录中的不匹配。

  [nhelp -25796]

• 如果满足以下条件，Citrix ADC设备在清除配置期间可能会失败:

  • 当业务与虚拟服务器绑定后，业务的IP地址发生变化。
  • 同一虚拟服务器在分析配置文件中用作收集器。
  [nsbase-11511]

用户界面

• 创建/监控CloudBridge连接器向导可能变得无响应或配置CloudBridge连接器失败。

  解决方法:通过使用Citrix ADC GUI或CLI添加IPSec配置文件、IP隧道和策略路由规则来配置云桥连接器。

  [nsui-13024]

• 在admin分区中导入证书可能会错误地失败，并显示以下消息:

  错误:用户没有指定目标路径的权限

  [nhelp -26918]

• 在Citrix ADC VPX设备中，添加许可服务器后，设置容量操作可能会失败。出现这个问题是因为Flexera相关组件需要更长的初始化时间，因为支持的签入和签出(CICO)类型的许可证数量很大。

  [nhelp -23310]

• 安装admin分区时，上传和添加CRL (certificate revocation list)文件失败。

  [nhelp -20988]

• 在Citrix ADC BLX集群设置中，“同步集群文件”命令可能由于内部错误而失败。

  解决方法:重新启动“nsclfsyncd”进程。

  [nsconfig-4968]

• 如果Citrix ADC BLX设备使用Citrix ADM进行许可，则在设备升级到13.0 build 83.x版本后，许可可能会失败。

  解决方法:首先将Citrix ADM升级到13.0 build 83。在升级Citrix ADC BLX设备之前。

  [nsconfig-4834]

• 当您降级Citrix ADC设备13.0-71版本时。到较早的版本，一些Nitro api可能因为文件权限更改而无法工作。

  解决方法:修改“/nsconfig/ns.conf”的权限为644。

  [nsconfig-4628]

• 有时，应用程序防火墙签名需要很长时间才能同步到非cco节点。因此，使用这些文件的命令可能会失败。

  [nsconfig-4330]

• 如果您(系统管理员)在降级后的Citrix ADC设备上执行以下所有操作，系统用户可能无法登录降级后的Citrix ADC设备。

  1.将Citrix ADC设备升级到以下其中一个版本:

  • 13.0 52.24 build
  • 12.1 57.18构建
  • 11.1 65.10版本

  2.新增系统用户或修改已有系统用户密码，并保存配置
  3.将Citrix ADC设备降级到任何较旧的版本。

  使用CLI查询系统用户列表。
  在命令提示符下，输入:

  query ns config -changedpassword[-config <配置文件的完整路径(ns.conf)>]”

  处理:

  要解决此问题，请使用以下独立选项之一:

  • 如果Citrix ADC设备尚未降级(上述步骤中的第3步)，请使用先前备份的同一版本版本的配置文件(ns.conf)降级Citrix ADC设备。
  • 在升级版本中未更改密码的任何系统管理员都可以登录降级版本，并更新其他系统用户的密码。
  • 如果以上选项都无效，系统管理员可以重置系统用户密码。

  有关更多信息，请参见https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

  [nsconfig-3188]