Citrix ADC 13.0-83.29版本的发行说明

本发行说明文档介绍了Citrix ADC版本构建13.0 - -83.29中存在的增强和更改,已修复和已知问题。

备注

• 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表，请参阅Citrix安全公告。
• Citrix安全访问代理(以前称为适用于Windows的Citrix网关插件)版本21.9.1.2及更高版本包含https://support.citrix.com/article/CTX341455的修复程序。适用于Windows版本21.9.1.2的Citrix Gateway插件包含在Citrix ADC版本13.0-83.29中。
• 版本13.0-83.27及更高版本解决了中描述的安全漏洞https://support.citrix.com/article/CTX330728。
• 版本83.29取代了构建83.27。
• 此版本还包括对以下问题的修复:nshelp-29519。

新增功能

版本13.0-83.29中提供的增强和更改。

网络连接

• Citrix ADC BLX设备的新带宽和基于订阅的本地许可证

  以下基于带宽的基于订阅的本地许可证现已可用于Citrix ADC BLX设备。

  • Citrix ADC VPX/BLX订阅10 Mbps标准版，高级版，高级版
  • Citrix ADC VPX/BLX订阅100 Gbps标准版，高级版，高级版

  欲了解更多信息，请参阅https://docs.citrix.com/en-us/citrix-adc-blx/current-release/licensing-blx.html

  [nsnet - 21527]

• RHI支持绑定到IPSet的VIP地址

  如果满足以下所有条件,Citrix ADC设备会将绑定到IPSet的VIP地址作为内核路由:

  • VIP地址启用了“主机路由”选项。
  • IPSet绑定到配置，例如，多IP负载平衡虚拟服务器。

  [nsnet - 20209]

平台

• 在VMware ESX虚拟机管理程序上首次启动Citrix ADC设备时支持Citrix ADC VPX配置

  现在,您可以在VMware ESX虚拟机管理程序上首次启动Citrix ADC设备期间应用Citrix ADC VPX配置。因此，在某些情况下，特定的设置或VPX实例会在更短的时间内启动。

  欲了解更多信息，请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/install-vpx-on-esx/apply-preboot-userdata-on-esx-vpx.html

  [nsplat - 21021]

• Citrix ADC VPX实例上支持RHEL 8.2

  Citrix ADC VPX实例现在支持RHEL 8.2。

  欲了解更多信息，请参阅https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/supported-hypervisors-features-limitations.html

  [nsplat - 18376]

系统

• 解除客户端和服务器连接的链接

  Citrix ADC设备现已增强,当有待处理的数据要发送到另一端时,可以在重置时取消客户端和服务器连接的链接。

  欲了解更多信息，请参阅https://docs.citrix.com/en-us/citrix-adc/13/system/tcp-configurations.html

  [nsbase - 14418]

• 多路径TCP版本1支持

  除了对MPTCP版本0的现有支持外,Citrix ADC设备现在还支持多路径TCP (MPTCP)版1本。MPTCP版本1支持符合RFC 8684的要求。

  欲了解更多信息，请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/system/tcp-configurations.html

  [nsbase - 9237]

用户界面

• Citrix ADC BLX签入和退房许可

  您可以从Citrix应用交付管理(ADM)按需向Citrix ADC BLX设备分配许可证。Adm软件存储和管理许可证，许可证具有许可框架，可提供可扩展和自动化的许可证配置。

  在部署Citrix ADC BLX设备时,Citrix ADC BLX设备可以从Citrix ADM中签出许可证。删除或销毁Citrix ADC BLX设备后,设备会将其许可证重新检查给Citrix ADM软件。

  欲了解更多信息，请参阅https://docs.citrix.com/en-us/citrix-adc-blx/current-release/licensing-blx.html

  [nsconfig - 5777]

已修复的问题

版本13.0-83.29中解决的问题。

身份验证、授权和审核

• 如果启用了表单SSO、Citrix ADC设备将通过添加表单以及内容类型标头来响应来自后端服务器的凭据请求。如果标题已经存在，此添加会导致重复的标题。

  [nhelp - 28405]

• 如果使用DualAuthOrPush.xml登录架构,Citrix ADC设备会引发服务器验证错误。

  [nhelp - 28063]

• 将LDAP监视器绑定到服务时,监视器会关闭,因为Citrix ADC设备向活动目录发送了错误的密码。

  [nshelp - 27961]

• 在多级联AD中，如果在最后一个级联中找不到用户，则用户的帐户不会被锁定。

  [nshelp - 27948]

• 当Citrix ADC设备配置为SAML身份验证时,设备会在使用RSA以外的证书时转储核心。

  [nshelp - 27813]

• 在某些情况下,配置基于角色的访问权限时,Citrix ADC设备可能会在处理特定用户的身份验证请求时崩溃。

  [nshelp - 27655]

• 如果在Citrix ADC身份验证虚拟服务器上将Azure广告配置为OAuth国内流离失所者,则用户将无法通过Citrix工作区应用程序登录。

  [nshelp - 27462]

• 由于Citrix ADC版本13.0 build 67。x及更高版本中出现了SQLite依赖关系故障,Web应用防火墙配置文件无法按预期运行。

  [nshelp - 27458]

• 在某些情况下,如果使用店面访问应用程序,则工作区应用程序的SAML身份验证将失败。

  [nshelp - 27338]

• Citrix ADC设备在处理身份验证,授权和审核TM以及基于401磅的流量时经常崩溃。

  [nshelp - 27094]

• 在某些情况下,Citrix ADC设备在对Citrix网关执行用户身份验证以及身份验证,授权和审核——流量托管部署时崩溃。

  [nshelp - 26555]

• 如果表达式中使用了身份验证、授权和审计。user。域名:则会为登录用户填充错误的sso域名。

  [nhelp - 26443]

• 输入错误的otp后，会显示一条错误消息"电子邮件身份验证失败。不显示要继续执行的进一步操作”。

  [nshelp - 26400]

• 在某些情况下,当SSO功能与代理服务器一起使用时,Citrix ADC设备中会观察到讲泄漏。

  (nshelp nshelp - 25492 - 28073)

• 由于密码解密问题，网络连接测试检查失败。但是，身份验证功能可以正常工作。

  [nsauth - 10216]

机器人管理

• 在每秒交易(TPS)机器人检测机制中,后端应用程序服务器在验证码挑战后的响应检索期间返回304响应。

  [nsbot - 626]

缓存

• 在高可用性设置中，在HA故障转移期间，“memLimit”缓存参数设置的HA同步失败。

  [nshelp - 28428]

• 如果在设置缓存内容组命令中启用了insertAge参数，则会在缓存响应中发送额外的标头信息。

  [nhelp - 27772]

• 如果未在缓存控制块中动态设置“max_age”和“s_maxage”参数值,Citrix ADC设备可能会崩溃。

  [nhelp - 27758]

• 在高可用性设置中，主节点在访问空指针而不是缓存对象后崩溃。

  (nshelp nshelp - 26967 - 20089)

• 如果满足以下条件，Citrix ADC设备可能会崩溃:

  • 设备正在从其集成缓存中提供内容。
  • 已重新验证缓存的内容。
  • 不同客户端向adc发出了针对同一缓存对象的新请求。

  [nhelp - 22596]

Citrix ADC SDX设备

• 在Citrix ADC对有关设备上,当有关许可证不在宽限期内时,系统不在宽限期内会持续生成一次警报,而不是仅生成一次。

  [nhelp - 28740]

• Citrix ADC对有关设备上的管理服务以Kbps / Mbps为单位显示SNMP管理器的接口速度,而不是每秒比特数。

  [nhelp - 28724]

• 在Citrix ADC SDX设备上，SNMP v2陷阱目标的社区字符串被屏蔽。

  [nhelp - 28625]

• 在Citrix ADC对有关设备上,即使在池许可证宽限期(30天)之后,您也可以修改VPX实例的吞吐量。

  [nhelp - 28553]

• 在Citrix ADC SDX设备上，如果使用软件版本13.0-76。X或更早版本创建实例，则实例还原可能会失败。

  [nshelp - 28429]

• 在Citrix ADC对有关设备上,使用软件版本12.0 XVA酒店映像创建ADC实例失败。因此，实例无法访问。

  [nshelp - 28408]

• 在Citrix ADC SDX设备中，管理服务报告ADC实例的数据使用不正确。

  [nshelp - 28208]

• 在Citrix ADC SDX设备上，您无法在管理服务控制台中更改CLI提示符。

  [nshelp - 28030]

• 由于Python版本的升级，管理服务的Python SDK加载可能会因语法错误而失败。

  [nhelp - 27897]

• 在Citrix ADC对有关设备上,在“虚拟机管理程序磁盘使用率高”时发出警报的默认值增加到98%。

  [nhelp - 27854]

• 在Citrix ADC对有关设备上,由于库存中运行的作业和计划程序增加,管理服务可能会报告内存使用率高达80%左右。

  [nshelp - 27805]

• 在Citrix ADC对有关设备上,如果系统文件(snmpd.conf和ntp.conf)包含回车字符,升级可能会失败。

  [nshelp - 27713]

• 在Citrix ADC对有关设备上,如果满足以下条件序列,则作为管理通道一部分的界面将与管理通道一起显示:

  1. VPX实例是集群的一部分。
  2. 管理渠道已创建。

  [nhelp - 27487]

• 在Citrix ADC对有关设备上,配置突增吞吐量分配模式时,ADC实例不会突增至最大容量。

  [nshelp - 27477]

• 在Citrix ADC对有关设备上,由于库存中运行的作业和计划程序增加,管理服务可能会报告内存使用率高达80%左右。

  [nshelp - 27396]

Citrix网关

• 升级到最新版本时，用户可能会观察到RDP会话启动失败。

  [nshelp - 29519]

• 处理UDP流量时，Citrix ADC设备可能会崩溃。

  [nhelp - 28802]

• 当您尝试编辑自定义主题中的CSS属性时，会出现错误消息。

  [nshelp - 28648]

• 在极少数情况下，访问释放的会话时，Citrix Gateway设备可能会在转移登录期间崩溃。

  [nhelp - 28022]

• Citrix ADC设备在处理传入的封装安全有效负载(ESP)流量时崩溃,但找不到安全关联(SA)。

  [nshelp - 27991]

• 如果满足以下两个条件，Citrix ADC设备可能会崩溃。

  • 该设备已部署为ica代理模式。
  • Ica流程的网关智能分析功能已启用。

  (nshelp nshelp - 27982 - 28179)

• 如果在评估期间可能进入阻止状态的响应程序策略绑定到虚拟服务器,则登录Citrix工作区将失败。

  [nshelp - 27819]

• 用户在登录微软Outlook时可以看到其他用户的邮箱。解决方法是禁用多路复用。

  [nshelp - 27538]

• 处理UDP流量时，Citrix ADC设备可能会崩溃。

  [nhelp - 27536]

• 如果设备处理与美国相关的命令,例如“clearconfig”、“终止ica连接”或“停止迪泰侦听器”,Citrix ADC设备可能会崩溃。

  [nshelp - 27398]

• 无法将用户的个人书签文件从一个Citrix Gateway设备复制到另一台设备。

  [nhelp - 27389]

• 有时，Citrix Gateway设备在访问无效的内存位置时可能会崩溃。

  [nhelp - 27343]

• Citrix Gateway设备在处理UDP流量时可能会崩溃。

  [nshelp - 27317]

• 当系统日志策略绑定到虚拟服务器并修改相应的系统日志操作时,Citrix网关设备会崩溃。

  [nshelp - 27171]

• Citrix网关设备意外重启,因为启用网关智能分网关见解后,本地ns.log文件中的SSL VPN日志消息泛滥。

  (nshelp nshelp - 27040 - 30723)

• 启用Gateway Insight时，Citrix ADC日志中可能会充斥日志消息" gwinsight:func=ns_sslvpn_send_app_launch_fail_record Appflow策略评估失败"。

  [nshelp - 26750]

• 如果满足以下两个条件，则当您尝试清除配置时，Citrix Gateway设备会崩溃:

  • SSL配置文件和证书密钥对绑定到默认TCP监视器。
  • 相同的默认TCP监视器绑定到系统日志操作。

  [nshelp - 26685]

• SNMP oid向VPN虚拟服务器发送了一组不正确的当前连接。

  [nshelp - 25596]

• 当多个VPN插件客户端使用大小为1800字节或以上的x证书来设置隧道时,柠檬ADC设备崩溃。

  [nshelp - 25195]

• 如果重命名绑定到STA服务器的VPN虚拟服务器,则运行显示命令时STA服务器的状态将显示为下降。

  [nshelp - 24714]

• 启用地级延迟后,会话的ICA延迟在Citrix导演中被错误地记录为64000毫秒。当“nsapimgr”旋钮“enable_ica_l7_latency”设置为1时,地级延迟处于启用状态。

  [nhelp - 23459]

• 如果您已为ICA启动/停止事件配置半径记账,则ICA启动的半径记账请求中的会话ID将显示为全零。

  [nshelp - 22576]

• 如果您在全局syslog参数中修改syslog服务器,“显示审计消息”输出不会显示最新的日志。

  [nhelp - 19430]

Citrix Web应用防火墙

• 在Citrix ADC群集设置中,如果从Citrix ADC版本12.0、12.1或13.0版本52。X或更早版本升级一个或多个节点，则其中一个节点会崩溃。发生崩溃的原因是Web应用防火墙cookie格式和大小不兼容。

  [nswaf - 7689]

• 在Web应用防火墙中,如果”Cookie-Transformation参数以逗号作为分隔符,则会拆分响应端cookie值。

  [nshelp - 28411]

• 如果按特定顺序观察到命令注入违规并且满足以下条件，Citrix ADC设备可能会崩溃:

  • 请求中存在多个cookie
  • “URLdecodeRequestCookie”功能已关闭

  [nshelp - 28365]

• 如果满足以下条件，Citrix ADC设备可能会崩溃:

  • Web应用防火墙cookie代理已启用。
  • 会话cookie和永久性cookie具有相同的名称。

  [nhelp - 28181]

• 在解析启用Samesite属性和启用网络应用程序防火墙功能的HTTP响应时,Citrix ADC设备可能会显示较高的内存使用率。

  [nshelp-27722, nshelp-27922, nshelp-28136, nshelp-28265]

• 饼干劫持功能对Internet Explorer (IE)浏览器的支持有限,因为IE浏览器不重复使用SSL连接。由于该限制，会为一个请求发送多个重定向，最终导致即浏览器中出现“最大重定向超过”错误。

  [nshelp - 27193]

• 升级到Citrix ADC版本13.0版76.29本并在设备上启用了文件上传功能后,会发现以下问题:

  • SQL和XSS保护检查会阻止所有Web应用程序的文件上传过程。

  [nshelp - 27140]

负载平衡

• 在GSLB设置中，清除GSLB站点上的统计信息后，远程服务的状态不会更新。作为解决方法，请在同一GSLB网站上再次清除统计信息。然后更新远程服务的状态。

  [nshelp - 28169]

• 在某些情况下，发出显示运行配置命令时，Citrix ADC设备可能会崩溃。

  [nhelp - 27815]

• 请收到流水线化的半径求时,Citrix ADC设备可能不会在响应中插入适当的数据包标识符。由于此问题，客户端收到无效响应。

  [nhelp - 27391]

• 如果满足以下条件，gslb配置可能会部分丢失:

  • Citrix ADC设备已重新启动。
  • Adns服务配置的IP地址与远程GSLB站点的IP地址相同。

  [nhelp - 26816]

其他

• “添加urlf分类”命令无法更新数据库，从而导致内部错误。

  [nsswg - 1315]

• 如果满足以下条件，Citrix ADC设备可能会在恢复处理后崩溃:

  • 使用SSL转发代理功能。
  • SSL转发代理请求的协议信息以多个异步数据包形式接收。设备在收到请求的所有协议详细信息后暂停数据包处理并恢复处理。

  [nhelp - 28447]

• 创建隧道或服务类型(TOS)虚拟服务器时，Citrix ADC设备会添加额外的L2信息。

  [nshelp - 27825]

• 当内联设备发送自定义消息后重置时,Citrix ADC设备会在将内联设备响应转发到客户端之前重置连接。

  [nhelp - 27676]

网络连接

• 在基于Debian Linux的主机上运行的Citrix ADC BLX设备(版本13.0版本82. x)升级后,SSH在共享模式下无法按预期工作。

  [nsnet - 23020]

• Citrix ADC BLX设备升级到版本13.1版本x后，Web应用程序防火墙可能会错误地阻止没有内容类型标头的请求。

  [nsnet - 21415]

• 在Citrix ADC设备中,内部驱动程序层可能使用不正确的数据缓冲区,从而导致数据损坏,从而导致设备崩溃。

  [nshelp - 27858]

• 满足以下条件时，Citrix ADC VPX实例可能会崩溃:

  • 存在大量的FTP数据连接。
  • Citrix ADC设备上发生故障转移。
  • 客户端或服务器端的natpcb连接已清除。

  [nhelp - 27816]

• 已修复的问题：

  作为边车部署并与多个网络连接的Citrix ADC CPX无法为目标子网选择正确的源IP地址。

  [nshelp - 27810]

• 在高可用性设置中，对于waf配置文件和位置文件配置，ha同步可能会失败。

  [nshelp - 27546]

• 在Citrix ADC设备中，内存分配失败后，被动FTP数据连接可能会丢失。

  [nhelp - 26522]

• 如果满足以下所有条件，则在负载平衡配置中观察到数据包环路：

  • 虚拟服务器配置为监听端口80，连接故障转移(“connfailoval”)参数设置为无状态。
  • 虚拟服务器收到两个请求数据包，其中包含：
    • 源端口 = 80
    • 目标端口 = 80 以外的编号
    • 目标IP地址=虚拟服务器的IP地址(vip)

  [nshelp - 22431]

平台

• 即使您没有创建任何目标实例，gcp控制台上也会看到"无法创建目标实例"错误消息。当你在GCP服务账户中没有" compute.targetInstances. exe "。IAM权限时，就会出现此问题。从此版本开始，思杰ADC VPX仅为使用VIP扩展功能的虚拟机创建目标实例。

  [nsplat - 20952]

• 在Azure云上的Citrix ADC VPX实例和微软hyper - v服务器上,在某些情况下,hyper - v虚拟接口的传输端可能会发生拥塞数据包丢弃。这些数据包丢弃可能会使来自Citrix ADC设备的传输停滞。

  [nshelp-28375, nshelp-26728, nshelp-27671, nshelp-27761]

• 在Citrix ADC MPX 5900年和8900年MPX平台上,液晶屏上会显示错误的平台编的号。

  [nhelp - 28207]

• 在使用Fortville NIC的Citrix ADC MPX设备上,在光纤收发器中设置的汽车时,链路无法正常启动。

  [nshelp - 26518]

• SDX平台的状态在lom控制台中显示为“未知”。这只是显示问题，没有功能影响。

  [nshelp - 20009]

策略

• 如果在第2层和第3层模式下使用FIX服务类型，Citrix ADC可能会崩溃。

  [nhelp - 28468]

• 具有全局范围的ns变量不适用于http /2流量。

  [nshelp - 27095]

• 如果您在策略表达式中配置MATCHES_LOCATION()函数并使用过滤器表达式启动nstrace, Citrix ADC设备可能会崩溃。

  [nshelp - 22687]

SSL

• 如果在SSL虚拟服务器上配置了异步策略,则Citrix ADC MPX平台上的SSL握手重新协商可能会失败。

  [nhelp - 27870]

• 在Citrix ADC设备上,在启用了-expiryMonitor的情况下添加证书密钥对时,第二天会记录错误的证书到期通知。

  [nshelp - 27348]

• 在集群数据库中,如果在客户端你好绑定点多次以不同的优先级将SSL策略绑定到虚拟服务器,则绑定不会正确更新。因此，即使在从虚拟服务器中解除绑定策略后，删除策略也会出现错误。

  [nshelp - 27301]

• 如果Citrix ADC设备没有内容长度HTTP标头，则不接受OCSP响应。

  [nhelp - 27039]

• 在Citrix ADC MPX /有关14000 FIPS设备上,使用美国数据报大小大于1 k的美国东部时间配置时,您可能会看到内存泄漏。

  [nshelp-25375, nshelp-25915, nshelp-26016]

系统

• 在Citrix ADM上注册Citrix ADC实例时,会在ADC计数器中看到端口分配错误。

  [nhelp - 28779]

• 13.0升级到Citrix ADC版本构建64 - x及更高版本后,警告日志过多,上面显示一条消息:“探测连接时从服务器接收SSL_BRIDGE服务类型——服务器的意外数据。已收到。

  [nhelp - 28656]

• 如果启用" ns模式pmtud "并使用分区，则运行13.0构建82。x及更高版本的Citrix ADC设备可能会崩溃。

  [nhelp - 28068]

• 如果收到的报头大小大于标头表的最大大小，则设备会将表大小重置为零。因此，http2请求在几次请求后失败。

  [nhelp - 27977]

• 分析配置文件引用的AppFlow收集器指针已损坏。

  [nhelp - 27924]

• 如果adm队列中有待处理的事务，它会随机报告高内存使用率的严重警报。

  [nhelp - 27913]

• Citrix ADC设备可能会因ICAP OPTIONS响应而崩溃。当允许的标头值包含 204 以外的值时，会出现此问题。

  [nshelp - 27879]

• TCP僵尸超时会刷新活动的服务器或客户端连接，因为连接速度较快的一端存在半关闭超时。

  (nsbase nshelp - 27502 - 14650)

• 在AppFlow中，流记录的第4层字节计数与HTTP虚拟服务器事务不匹配。计数值低于第 7 层虚拟服务器的字节计数值。

  [nshelp - 27495]

• 如果Citrix ADC设备已在Citrix ADM上注册,则tcpCurClientConn计数器将显示较大的值。

  [nshelp - 27463]

• 禁用AppFlow功能并重新启用时，Citrix ADC设备可能会崩溃。

  [nshelp - 27236]

• NSWL客户端偶尔会多次记录来自数据包引擎(PE-0)的数据,而其他数据包引擎的日志则会被跳过。

  [nhelp - 27138]

• 如果满足以下条件，Citrix ADC设备可能会崩溃:

  • 处理日志流元数据记录时。
  • Appflow功能已启用。

  [nhelp - 26942]

• 当使用”http。REQ”的策略时，Citrix ADC设备可能会崩溃。＊” 表达式绑定到 HTTP_QUIC 虚拟服务器的响应绑定点。如果您将相同的策略绑定到 HTTP 或 SSL 类型的虚拟服务器以及 HTTP_QUIC 虚拟服务器，则不会出现此问题。

  [nsbase - 14612]

用户界面

• 在Citrix Web应用防火墙策略管理器GUI页面中将策略关联到全局绑定点时,无法选择“HTTPQUIC”以外的协议。

  [nshelp - 29071]

• 在adc GUI中取消选择RPC节点的安全选项时，将显示以下错误消息:

  缺少参数先决条件[validateCert, secure==是]

  [nshelp - 28239]

• 当您使用“显示systemfile”命令从ADC实例获取任何文件的内容时,ADC控制台上会显示下载失败错误消息。如果文件内容以null字节开头，则会出现此问题。

  [nshelp - 28227]

• 由于内部系统问题
  (缺少Python二进制文件),admautoregd SYSLOG洪水会导致客户资源定义(CRD)错误分类和误诊。

  修复:如果python二进制文件仍然缺失,则在30分钟后停止监视admautoregd进程。

  [nshelp - 28185]

• 在集群设置中，具有两个或多个密码的单例或全局实体可能会在配置同步过程中在节点上失败，原因如下：

  • 如果跳过序列中的第一个密码，则同步节点上的后续密码解密将失败。解密失败是因为它查找同步节点上不存在的cco本地密钥。

  [nhelp - 28035]

• 如果使用KEK配置的AWS上的VPX实例升级到Citrix ADC版13.0建造76本。X或更高版本，则配置可能会丢失。如果在重新启动后加载配置，则使用 KEK 加密的所有敏感数据都将失败。

  [nshelp - 28010]

• 如果在某些SSL命令的参数中使用特殊字符,例如“创建SSL rsakey”和“创建SSL证书”,则会错误地引入额外的反斜杠字符。

  (nshelp nshelp - 27378 - 28861)

• 在高可用性设置中，如果满足以下任一条件，ha同步或ha传播可能会失败:

  • RPC节点密码有特殊字符。
  • RPC节点密码有127个字符(允许的最大字符数)。

  [nshelp - 27375]

• 如果输入配置文件的大小非常大，“nsconfigaudit”工具可能会崩溃。

  [nshelp - 27263]

• 在高可用性设置中，如果满足以下条件，Citrix ADC设备可能会在系统用户身份验证过程中崩溃:

  • 密码哈希计算需要更多时间才能错过五个心跳。

  [nhelp - 27066]

• 如果Citrix ADC设备上的系统时钟更新，报告功能可能会停止工作。

  [nshelp - 25435]

• 如果日志表达式绑定到机器人配置文件,则“botprofile_logexpression_binding”硝基API得到调用不返回任何响应。

  [nsconfig - 5490]

• 在集群配置中,当您将Web应用防火墙配置文件与细粒度规则绑定到同一URL时,数据库中会删除细粒度规则。因此，群集IP地址上只显示非细粒度规则。

  [nsconfig - 5389]

• 如果Citrix ADC BLX设备使用Citrix ADM获得许可,则在将设备升级到13.0版83本。X版本后，许可可能会失败。

  [nsconfig - 4834]

视频优化

• 启用视频优化功能后，Citrix ADC设备可能会因内存分配失败而崩溃。

  [nhelp - 28752]

已知问题

13.0-83.29版本中存在的问题。

演示applow

• HDX见解不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

  [nsinsight - 943]

身份验证、授权和审核

• 如果满足以下条件，Citrix ADC设备可能会崩溃。

  1. 设备处于内存压力之下。
  2. 审计日志记录已启用并设置为info级别。
  3. 用户身份验证正在进行中。

  [nhelp - 29053]

• 配置为使用OAuth服务提供商进行身份验证的Citrix ADC设备无法使用“client-secrete_post”配置为通过IDP tokenEndpoint进行身份验证。

  通过此修复,当ADC与国内流离失所者的令牌端点通信时,将身份验证方法“client_secret_basic”添加到ADC的OAuth服务提供者功能中。

  [nshelp - 28945]

• 如果满足以下条件，Citrix ADC设备可能会崩溃。

  1. 设备处于内存压力之下。
  2. Saml被配置为身份验证方法之一。

  [nhelp - 28855]

• 将VPN虚拟服务器配置为SAML SP时,返回的注销(/ cgi / tmlogout)网址不正确。出现此问题的原因是在saml元数据中生成了错误的注销url。

  [nshelp - 28726]

• 当正在进行SAML身份验证并且在SAML身份验证中使用大小为1800字节或更大的x证书时,Citrix ADC设备可能无法响应。

  (nshelp nshelp - 28608 - 29913)

• 在Citrix ADC高可用性设置中,由于同步问题,在CLI配置期间会显示一些身份验证命令。

  [nhelp - 28448]

• Citrix ADC设备配置为OAuth信赖方时,不会将从身份令牌中提取的“电子邮件”和“用户名”字段信息添加到身份验证,授权和审核会话的哈希属性中。

  [nshelp - 28262]

• 有时，使用身份验证、授权和审核时，身份验证可能会失败。使用login.password。

  [nshelp - 28101]

• 触发密码更改事件时，在身份验证会话期间，单点登录失败。只有在启用persistentLogin尝试参数时才会出现此问题。

  [nhelp - 28085]

• 配置saml元数据时，使用SSL证书会观察到内存泄漏。

  解决方法:将" metadatareFreshInterval "参数设置为3600分钟。

  (nshelp nshelp - 27846 - 25020)

• 如果同时满足以下两个条件,Citrix ADC设备可能会与后端服务器进入SSO循环,并导致内存积聚。

  • Adc设备与后端服务器执行协商和NTLM sso身份验证。
  • 后端服务器无法执行这两项身份验证。

  [nshelp - 27757]

• 当用户执行saml注销时，注销不会立即发生，并会显示以下错误消息:

  在断言中发现不支持的机制;请联系您的管理员。”

  之所以会出现此错误,是因为客户配置的国内流离失所者使用不同的URL编码技术对响应中的签名算法参数进行编码。此修复现在支持使用多种url编码技术对saml响应中的签名算法参数进行编码。

  [nshelp - 27621]

• 在某些情况下，在半径身份验证过程中会显示“凭据无效”错误消息。使用谷歌Chrome浏览器从客户端设备访问Citrix ADC设备时会出现此错误。

  [nshelp - 27113]

• 如果满足以下条件，则拒绝访问服务：

  • 该服务绑定到身份验证虚拟服务器。
  • 401 身份验证是在服务和服务绑定到的虚拟服务器上配置的。

  [nhelp - 26903]

• 如果提取的组的可分辨名称为空,Citrix ADC设备可能会在活动目录组提取过程中崩溃。

  [nhelp - 26899]

• 在主控制器卡与辅助控制器卡之间同步会话和密钥配置时，Citrix ADC设备可能会崩溃。

  [nshelp - 26891]

• 在极少数情况下，如果满足以下条件，高可用性设置中的辅助节点可能会崩溃。

  • " aaa组"和/或" aaa用户"是在Citrix ADC设备上配置的。

  [nshelp-26732, nshelp-28558, nshelp-29056]

• 当Citrix ADC设备执行嵌套LDAP组搜索时,由于Citrix ADC设备的行为无效,活动目录中的某些组信息会丢失。即使groupSearchSubAttribute参数配置得当，adc设备也会采用错误的值。

  [nshelp - 26316]

• 如果满足以下两个条件，Citrix ADC设备将崩溃。

  • 已配置电子邮件otp
  • 电子邮件服务器没有响应，或者电子邮件服务器存在网络问题

  [nshelp-26137, nshelp-27824]

• 在某些情况下,如果策略名称长于内部网应用程序名称,则绑定身份验证,授权和审核组命令可能会失败。
  [nshelp - 25971]

• 如果LDAP、RADIUS或TACACS服务的管理员密码包含双引号(”)字符,Citrix ADC设备会在“测试连接“检查期间将其删除,从而导致连接失败。

  [nhelp - 23630]

• Citrix ADC设备不会对重复的密码登录尝试进行身份验证，并防止帐户锁定。

  [nshelp-563]

• DualAuthPushOrOTP.xml LoginSchema未正确显示在Citrix ADC GUI的登录架构编辑器屏幕中。

  [nsauth - 6106]

• 可以在群集部署中配置adfs代理配置文件。发出以下命令时，代理配置文件的状态错误地显示为空白：显示adfsproxyprofile <配置文件名称>

  解决方法:连接到群集中的主活动Citrix ADC并运行显示adfsproxyprofile <配置文件名称>命令。它将显示代理配置文件状态。

  [nsauth - 5916]

• 如果执行以下步骤，Citrix ADC GUI上的配置身份验证LDAP服务器页面将无响应:

  • 测试ldap可达性选项已打开。
  • 填充并提交了无效的登录凭据。
  • 将填充并提交有效的登录凭据。

  解决方法:关闭并打开"测试ldap可访问性"选项。

  [nsauth - 2147]

缓存

• 如果启用了集成缓存功能且设备内存不足，Citrix ADC设备可能会崩溃。

  [nshelp - 22942]

CallHome

• 对于使用池许可的Citrix ADC MPX设备，CallHome注册可能会失败。注册失败，因为CallHome在Citrix支持服务器中注册设备时使用了不正确的序列号。

  [nshelp - 28667]

Citrix ADC SDX设备

• 在Citrix ADC对有关设备上,如果凝结是在Mellanox网卡上创建的,则当VPX实例重新启动时,凝结MAC将更改。VPX实例的流量在重启后停止，因为MAC表包含旧的clag MAC条目。

  [nssvm - 4333]

• 现在，如果数据记录总数少于5000，则可以跨页对adc事件表中的数据进行排序。

  [nhelp - 29170]

• 如果满足以下条件，则会在Citrix ADC SDX设备上托管的VPX实例上看到丢包:

  • 吞吐量分配模式为突发。
  • 吞吐量和最大突增容量之间存在很大差异。

  [nshelp-21992]

Citrix网关

• 配置出站代理时，Citrix ADC设备中会观察到内存泄漏。

  [nshelp - 29234]

• 有时，Citrix SSO应用程序在处理大型DNS数据包时会崩溃。

  [nshelp - 29133]

• 适用于macOS的Citrix安全访问运行身份验证后EPA检查所需的时间比预期的要长。

  [nshelp - 29118]

• 在Citrix网关门户页面中,RDP代理链接图标不会随着rfWebUI门户主题而改变。

  [nshelp - 28974]

• 在Citrix网关高可用性设置中,如果启用了网关的洞察力,辅助节点可能会崩溃。

  [nshelp - 28856]

• 有时,断开VPN连接后,DNS解析器无法解析主机名,因为在VPN断开连接期间会删除DNS后缀。

  [nshelp - 28848]

• 如果启用了二进制响应，Citrix Gateway VPN全通道将无法按预期工作。因此，NSAAC cookie已损坏。通过此修复，二进制响应可以在早期的VPN插件中运行。但是，Citrix建议您使用可与JSON响应配合使用的最新VPN插件。

  [nshelp - 28729]

• 如果具有HTTP规则的演示applow策略绑定到Citrix网关,Citrix ADC设备可能会在VPN登录期间崩溃。

  [nhelp - 28705]

• 将Citrix网关设备升级到版本13.0后,会话配置文件中的代理配置无法按预期工作。对于配置的非HTTP ns代理，将绕过代理连接。

  示例：
  添加vpn SessionAction-proxy NS-httproxy 192.0.2。0:24-sslProxy 192.0.2。0:24

  在此示例中，-httpProxy按预期工作，但-sslProxy不起作用。

  [nshelp - 28640]

• 如果macOS钥匙串中没有客户端证书,则适用于macOS的Citrix SSO的客户端证书身份验证将失败。

  [nshelp-28551]

• Citrix Gateway设备在DTLS音频中处理STA时崩溃，因为分配的内存未重置。

  (nshelp nshelp - 28432 - 29796)

• 有时，设置客户端空闲超时后，用户会在几秒钟内注销Citrix Gateway。

  [nshelp-28404]

• Windows插件可能会在身份验证期间崩溃。

  [nshelp - 28394]

• 对于3G/联机用户，思杰网关登录页面可能无法加载。

  [nhelp - 28367]

• 如果配置了EPA且没有足够的内存可用，Citrix ADC设备可能会崩溃。

  [nhelp - 28329]

• 您可能会在ns_aaa_json.c文件中看到NS_AUDITLOG_STR *日志的额外一行。

  [nshelp-28160]

• 如果通过备份负载平衡虚拟服务器访问店面,则通过VPN虚拟服务器访问店面将失败。

  [nshelp - 27852]

• 使用无客户端VPN访问Citrix网关设备时，可能会生成核心转储。

  [nshelp - 27653]

• 在处理服务器启动的UDP流量时，Citrix Gateway设备可能会崩溃。

  [nshelp - 27611]

• 如果异步被阻止并且您修改了内容交换策略配置，Citrix Gateway设备可能会崩溃。

  [nhelp - 27570]

• 重新连接到现有ICA会话时，Citrix Gateway设备可能会崩溃。

  [nshelp - 27441]

• 如果在会话策略中设置了未知的VPN客户端选项，Citrix网关设备可能会崩溃。

  [nhelp - 27380]

• 您无法使用GUI解除经典授权策略的绑定。但是，您可以使用cli解除身份验证，授权和审核授权策略的绑定。

  通过此修复，您现在可以使用GUI取消绑定授权策略。

  [nshelp-27064]

• 有时，在转移登录过程中，内网IP子网在客户端显示不正确。

  [nhelp - 26904]

• Citrix Gateway门户本地化不适用于IE浏览器。

  (nshelp nshelp - 26822 - 27604)

• 编辑VPN会话配置文件时,Citrix网关GUI显示消息“IP或端口无效”。

  [nhelp - 26722]

• 在“创建Citrix网关流量配置文件”页面中输入FQDN作为代理时,将出现“代理值无效”消息。

  [nshelp - 26613]

• 使用Citrix ADC GUI创建RDP客户端配置文件时，满足以下条件时会显示错误消息:

  • 配置了默认的预共享密钥(psk)。
  • 您尝试在RDP Cookie有效性(秒)字段中修改RDP Cookie有效性计时器。

  [nshelp - 25694]

• 在高可用性设置中，如果满足以下条件，vpn用户会话将断开连接:

  • 如果在进行ha同步时连续执行两次或更多次手动ha故障切换操作。

  解决方法:仅在ha同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

  [nshelp-25598]

• 适用于Windows的EPA插件不使用本地计算机配置的代理，而是直接连接到网关服务器。

  [nshelp-24848]

• 网关洞察不会显示有关VPN用户的准确信息。

  [nshelp-23937]

• 如果满足以下条件，VPN插件在Windows登录后不会建立通道:

  • Citrix Gateway设备已配置为"始终开启"功能
  • 设备配置为基于证书的身份验证，双因素身份验证“关闭”

  [nshelp-23584]

• “show tunnel global”命令输出包括高级策略名称。以前，输出不显示高级策略名称。

  示例：

  新输出：

  > show tunnel global策略名称:ns_tunnel_nocmp优先级:0策略名称:ns_adv_tunnel_nocmp类型:高级策略优先级:1全局绑定点:REQ_DEFAULT策略名称:ns_adv_tunnel_msdocs类型:高级策略优先级:100全局绑定点:RES_DEFAULT Done > 

  上一个输出：

  > show tunnel global Policy Name: ns_tunnel_nocmp优先级:0 Disabled Advanced Policies: global bindpoint: REQ_DEFAULT已绑定策略数量:1 Done 

  [nshelp - 23496]

• 有时，在浏览架构时，会出现错误消息“无法读取未定义的属性‘类型’”。

  [nshelp-21897]

• 网关洞察中不会报告因STA票证无效而导致的应用程序启动失败。

  [cgop - 13621]

• 对于SAML错误失败,网关洞察力报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

  [cgop - 13584]

• 在高可用性设置中,在Citrix ADC故障转移期间,老计数会增加,而不是Citrix ADM中的故障转移计数。

  [cgop - 13511]

• 从MAC Receiver版本19.6.0.32或Citrix Virtual Apps and desktop 7.18版本启动ICA连接时，HDX Insight功能将被禁用。

  [cgop - 13494]

• 启用EDT Insight功能后，有时音频通道可能会在出现网络差异时出现故障。

  [cgop - 13493]

• 接受来自浏览器的本地主机连接时,适用于macOS的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

  [cgop - 13050]

• Citrix SSO应用程序>主页中的文本"主页"在某些语言中被截断。

  [cgop - 13049]

• 从Citrix ADC GUI添加或编辑会话策略时，将显示错误消息。

  [cgop - 11830]

• 在展望Web应用程序(OWA) 2013中,单击“设置“菜单下的“选”项会显示“严重错误”对话框。此外，页面变得无响应。

  [cgop - 7269]

Citrix Web应用防火墙

• Web应用防火墙签名ID 1048会阻止Citrix网关页面加载。

  [nshelp - 29113]

• 如果启用了以下模块，Citrix ADC设备可能会崩溃:

  • 具有高级安全检查功能的Web应用防火墙。
  • appqoe。

  [nshelp - 28251]

负载平衡

• 在高可用性设置中，主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

  [nslb - 7679]

• 由于失败的命令中缺少enum值，gslb服务组无法处理监视器更新。

  [nshelp - 29050]

• Citrix ADC设备在尝试释放与其释放的分区不同的分区中分配的内存时崩溃。

  [nhelp - 29038]

• 运行显示服务命令时显示的监视器响应时间有时不正确。

  [nshelp - 28994]

• 当静态绑定成员和动态解析的DNS记录之间存在冲突时,某些服务组成员不会从自动定量服务组列表中删除。此问题会导致内存损坏。

  [nshelp - 28949]

• 显示和stat命令中显示的服务组的状态不一致。

  [nshelp - 28931]

• 如果父域可用带类型的DNS记录,则查询具有现有NS记录的子域将生成父域SOA记录,而不是子域NS记录。

  [nhelp - 28793]

• 如果GSLB虚拟服务器配置如下,Citrix ADC设备可能无法使用预期的GSLB服务IP地址响应GSLB域查询:
  持久性类型:源IP地址
  负载平衡算法：静态邻近
  备份负载平衡方法:往返时间(rtt)

  [nshelp - 28668]

• 在极少数情况下，配置(ns.conf)文件中可能缺少位置数据库配置。

  [nshelp - 28570]

• 如果您使用通配符端口，则负载平衡或基于GSLB域的AutoScale服务组状态保持为关闭。

  [nhelp - 28548]

• 在启用AutoScale的情况下配置GSLB服务组后，VPX主站点和辅助站点崩溃。

  “解决方法”:在添加GSLB服务或将IP端口绑定到GSLB服务组时，
  请勿添加虚拟虚拟服务器，例如内容交换虚拟服务器。

  [nshelp - 28530]

• 当对等方发送重置现有连接的请求时，SQL或Oracle类型监视器崩溃。

  [nshelp - 28478]

• HA设置中的Citrix ADC设备会失去连接,因为在HTTP探测监视期间发送HTTP响应后未释放讲内存。

  [nshelp - 28466]

• 在启用持久性的部署中，上下文保存期间存储的虚拟服务器不正确。

  [nshelp - 28342]

• 即使请求成功，smpp重试消息也会发送到群集中的所有节点。这种情况会导致Citrix ADC设备上的内存消耗很高。

  [nshelp - 28332]

• 在高可用性故障切换或重新启动Citrix ADC设备后，LB组的持久性配置将丢失。

  [nshelp - 28071]

• CookieTimeOut值在GET操作期间设置不正确，导致CS虚拟服务器更新操作失败。

  [nhelp - 27979]

• 有时在多PE系统中，基于域的组在系统出现几次故障后无法恢复到up状态。此问题是由cli和内部监视器之间的争用条件引起的。

  [nhelp - 27965]

• 处理mysql类型监视器的监视器探测时,Citrix ADC设备可能会失败,最终导致系统重新启动。

  [nhelp - 27953]

• 即使默认监视器已绑定到服务，默认监视器的配置状态也会显示为已禁用。

  [nshelp - 27669]

• 在集群设置中,通过GSLB虚拟服务器绑定访问GSLB服务IP地址时,GUI中不显示GSLB服务IP地址。这只是一个显示问题，对功能没有影响。

  [nshelp - 20406]

其他

• 在高可用性设置中进行强制同步时,设备将在辅助节点中执行“urlfiltering参数”命令。
  因此,辅助节点会跳过任何预定更新,直到“TimeOfDayToUpdateDB”参数中提到的下一个计划时间。

  [nsswg - 849]

• Citrix ADC CPX实例在具有64位架构和1 TB文件存储空间的Linux系统上运行,现在可以加载证书和密钥文件。

  [nhelp - 28986]

• 对于idna2008标准域，url集模式匹配失败。

  [nshelp - 28902]

网络连接

• 如果网络应用程序防火墙配置文件配置了高级安全保护检查,则处于DPDK模式的Citrix ADC BLX设备可能会崩溃。

  解决方法:删除waf的高级安全保护配置。

  [nsnet - 22654]

• 在Citrix ADC BLX设备中,绑定到带标签的非dpdk接口的NSVLAN可能无法按预期运行。与未标记的非dpdk接口绑定的NSVLAN可以正常工作。

  [nsnet - 18586]

• 带有DPDK的Citrix ADC BLX设备上的IntelX710 10G (i40e)接口不支持以下接口操作：

  • 禁用
  • 启用
  • 重置

  [nsnet - 16559]

• 在基于Debian Linux的主机(Ubuntu版本18岁及更高版本)上,无论BLX配置文件(/ etc / BLX / blx.conf)设置如何,Citrix ADC BLX设备始终以共享模式部署。之所以出现此问题,是因为基于Debian Linux的系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些awk命令。

  解决方法:在安装Citrix ADC BLX设备之前安装" gawk "。你可以在Linux主机CLI中运行以下命令来安装" gawk ":

  • Apt-get安装gawk

  [nsnet - 14603]

• 在基于Debian Linux的主机(Ubuntu版本18岁及更高版本)上安装Citrix ADC BLX设备可能会失败,并出现以下依赖项错误:

  “以下软件包有未满足的依赖关系:blx-core-libs: i386: PreDepends: libc6: i386(> = 2.19)但它无法安装”

  解决方法:在安装Citrix ADC BLX设备之前,在Linux主机CLI中运行以下命令:

  • DPKG -添加架构i386
  • Apt-get更新
  • apt-get dist-upgrade
  • Apt-get安装libc6: i386

  [nsnet - 14602]

• 在某些FTP数据连接情况下,Citrix ADC设备仅对数据包执行NAT操作,而不会对TCP MSS协商的数据包执行TCP处理。因此，没有为连接设置最佳接口mtu。此错误的mtu设置会导致数据包分段并影响CPU性能。

  [nsnet - 5233]

• 在大规模NAT44设置中,Citrix ADC设备可能会在接收SIP流量时崩溃,原因如下:

  • LSN模块在减少引用计数或删除服务时找不到服务。

  [nshelp - 29134]

• 在大规模NAT44设置中,Citrix ADC设备可能会在接收SIP流量时崩溃,原因如下:

  • 对于设备中的LSN模块，筛选和映射引用计数不为零。

  [nshelp - 28842]

• 在大规模NAT44部署中,Citrix ADC设备在接收SIP流量时可能会崩溃,原因如下:

  • LSN模块访问了已删除服务的内存位置。

  [nshelp - 28815]

• 在具有偶数个数据包引擎(PE)的Citrix ADC设备中,设备错误地将活动接口的状态显示为冗余接口集(LR通道)的非活动状态。此问题不会影响Citrix ADC设备的任何功能。

  [nshelp - 28099]

• 冷重启后，Citrix ADC设备可能无法生成" ColdStart " SNMP陷阱消息。

  [nshelp - 27917]

• 在高可用性设置中,如果满足以下条件,启用了动态路由的剪断地址在重启时不会暴露给VTYSH:

  • 启用动态路由的snip地址绑定到非默认分区中的共享vlan。

  作为修复的一部分,Citrix ADC设备现在不允许将启用动态路由的剪断地址绑定到非默认分区中的共享VLAN

  [nhelp - 24000]

• 在Citrix ADC设备中更改管理分区内存限制时,TCP缓冲内存限制将自动设置为管理分区新内存限制。

  [nshelp-21082]

平台

• 当您从13.0 / 12.1/11.1版本升级到13.1版本或从13.1版本降级到13.0 / 12.1/11.1版本时,Citrix ADC设备上未安装某些python软件包。以下Citrix ADC版本的此问题已修复:

  • 13.1 - -4. x
  • 13.0-82.31及更高版本
  • 12.1-62.21及更高版本

  当您将Citrix ADC版本从13.1-4。X降级到以下任何版本时，不会安装python软件包:

  • 任何11.1版本
  • 12.1-62.21及更早版本
  • 13.0 -81年。X及更早版本

  [nsplat - 21691]

• 从Azure资源组中删除自动缩放设置或VM比例集时,请从Citrix ADC实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。

  [nsplat - 4520]

• 在Azure上的高可用性设置中,通过GUI登录到辅助节点时,将显示用于自动缩放云配置文件配置的首次用户(工联会)评分屏幕。
  解决方法：跳过屏幕，登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。

  [nsplat - 4451]

• 当RPC节点的密码包含特殊字符时,GCP和AWS云上的Citrix ADC VPX实例的高可用性故障转移将失败。

  [nshelp - 28600]

• 即使在Citrix ADC设备达到其许可证的PPS限制之前,Citrix ADC设备也会生成每秒错误数据包(PPS)速率限制警报。

  [nshelp - 26935]

策略

• 如果处理数据的大小超过配置的默认TCP缓冲区大小，连接可能会挂起。

  解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。

  [nspolicy - 1267]

• 在以下情况下，Citrix ADC设备可能会崩溃:

  • 审计消息操作使用字符串生成器表达式进行配置，并将一个或多个regex函数应用于请求正文。
  • 配置了流式处理选项的应用程序防火墙配置文件。

  例如，http.req。身体(1000000).REGEX_SELECT (re / name = (^ rn) * (rn) + /)。

  解决方法:在不使用regex函数的情况下重新配置消息操作字符串生成器表达式。

  例如，http.req。BODY (1000000) . after_str (" name= ") . before_str (" r ")。

  [nhelp - 27895]

SSL

• 在Citrix ADC对有关22000和Citrix ADC对有关26000年设备的异构群集上,如果重新启动有关26000年设备,则会丢失SSL实体的配置。

  解决方法：

  1. 在剪辑上,在所有现有和新的SSL实体(例如虚拟服务器,服务,服务组和内部服务)上禁用SSLv3。例如，设置ssl vserver -SSL3 DISABLED。
  2. 保存配置。

  [nsssl - 9572]

• 如果已添加身份验证Azure密钥保管库对象，则无法添加Azure密钥保管库对象。

  [nsssl - 6478]

• 您可以使用相同的客户端ID和客户端密钥创建多个Azure应用程序实体。Citrix ADC设备不会返回错误。

  [nsssl - 6213]

• 如果删除HSM密钥而未将keyvault指定为HSM类型，则会出现以下错误错误消息。
  错误:crl刷新已禁用

  [nsssl - 6106]

• 会话密钥自动刷新在群集IP地址上错误地显示为已禁用.(无法禁用此选项.)

  [nsssl - 4427]

• 如果您尝试更改SSL配置文件中的SSL协议或密码,则会显示一条错误的警告消息,即“警告:在SSL虚拟服务器/服务上未配置任何可用的密码”。

  [nsssl - 4001]

• 在ha故障切换后，非cco节点和ha节点上将支持过期的会话票证。

  [nssl -3184, nssl -1379, nssl -1394]

• 如果将已在请求绑定点绑定的策略操作设置为“转发”,则Citrix ADC设备在处理HTTP请求时崩溃。

  [nshelp - 29115]

• 在群集设置中,当两个已安装的证书是一个具有OCSP友邦保险扩展名的服务器证书的颁发者时,如果删除服务器证书,设备将无法访问。

  [nshelp - 28058]

• 在高可用性设置中，主节点和辅助节点之间的证书类型未正确同步。

  [nshelp - 27589]

• 在VPN部署中,Citrix ADC设备会从缓存中拾取SSL会话以重用会话,以便与代理服务器或后端服务器进行通信。这样做时不会将从客户端收到的sni与缓存会话中存在的sni相匹配。

  因此，根据缓存的数据，要么不发送sni，要么发送不同的sni。

  [nshelp - 27439]

• 在高可用性设置中，如果满足以下两个条件，crl自动刷新会间歇性失败:

  • 文件正在从主节点同步到辅助节点。
  • 同时从CRL服务器下载CRL文件。

  [nshelp - 27435]

• 现在，将显示SAN证书中的所有IP地址。之前只显示了SAN证书中所有IP地址的最后一个SAN IP地址。

  [nhelp - 27336]

• 颁发CRL的CA证书名称被截断为32个字符,即使证书密钥名称最多可以包含64个字符。出现此问题的原因是CRL字段的字符限制为32个字符。

  [nhelp - 26986]

• 如果将dh密码与外部HSM配合使用，ssl握手将失败。

  [nhelp - 25307]

系统

• 如果出现以下任一情况，Citrix ADC设备将崩溃:

  • syslog操作使用域名进行配置，您可以使用GUI或CLI清除配置。
  • 高可用性同步发生在辅助节点上。

  “解决方法:”

  使用系统日志服务器的IP地址而不是系统日志服务器的域名创建syslog操作。

  [nshelp-30987, nshelp-28121, nshelp-29843]

• X-Forwarder标头不会添加到从Citrix ADC设备发送到后端服务器的某些请求中。

  (nshelp nshelp - 29142 - 29583)

• 如果满足以下条件，Citrix ADC设备将崩溃:

  • 在AppFlow操作上启用了客户端测量选项。
  • 区块报头落在数据包边界上。

  [nshelp - 29049]

• 如果HTTP管道(一个或多个请求)大小超过128 KB, Citrix ADC设备将重置连接。出现此问题的原因是管道大小硬限制为128 kb。

  [nshelp - 28846]

• 当从ICAP模块向客户端重放分块响应时，Citrix ADC设备可能会崩溃。

  [nshelp - 28788]

• 如果满足以下条件,Citrix ADC入侵防御系统(IPS)会在插入或修改数据时观察到重写策略存在问题:

  • 在后端服务器连接打开之前，Citrix ADC设备将数据包发送到IPS服务器。

  [nshelp - 28496]

• Citrix ADC设备处理HTTP/2报头帧时会观察到TCP窗口泄漏。

  [nshelp - 28475]

• 在高可用性设置中，辅助节点上管理分区配置的ha同步失败，原因如下:

  • 由于辅助节点上的大量配置负载而导致的内存不足问题

  [nshelp - 28409]

• 满足以下所有条件时，Citrix ADC设备会崩溃:

  • 具有服务器IP地址地址的内容检查操作将使用服务的内部数据(如果已配置)。
  • 因此，在删除ci操作时，服务的内部数据也会被删除。
  • 删除实际服务后，Citrix ADC设备将尝试访问并删除已删除的内部数据。

  [nhelp - 28293]

• 当客户端重置与多个TCP流的连接时,不会发送服务器端事务记录,这会导致这些数据流的L4记录丢失。

  [nshelp - 28281]

• 连接链TCP选项将添加到Citrix ADC RPC连接中。该问题导致GSLB站点通信的互操作性问题。

  [nhelp - 27417]

• 如果禁用了链接集，则在公有云MPTCP群集部署中，数据包重传会增加。

  [nhelp - 27410]

• 在TCP连接中,如果满足以下所有条件,Citrix ADC设备可能会丢弃从服务器接收的翅片数据包,而不是将其转发到客户端:

  • TCP缓冲已启用。
  • 服务器分别发送fin数据包和数据包。

  [nshelp - 27274]

• Citrix ADC设备可能会在MPTCP连接上发送无效的TCP数据包以及TCP选项,例如解雇块,时间戳和MPTCP数据确认。

  [nhelp - 27179]

• 在重传队列中循环大量数据包时，会发生Pitboss故障。

  [nshelp - 26071]

• 在Citrix ADC设备和数据加载器中观察到Logstream记录不匹配。

  [nhelp - 25796]

• 在极少数情况下,Citrix ADC设备从后端服务器转发时可能会向客户端发送错误的TCP袋序列号。如果在TCP配置文件中启用了TCP选择性ack (sack)选项，则会出现此问题。

  [nshelp - 24875]

• 使用TCP协议登录到外部syslog服务器时，会丢弃某些syslog消息。

  [nshelp - 24522]

• 在某些情况下，如果应用基于IP地址的过滤器，nstrace数据包捕获会丢失所有数据包。

  [nshelp - 23483]

• 在集群设置中，“设置速率控制”命令仅在重新启动Citrix ADC设备后才起作用。

  解决方法：使用Nsapimgr_wr.sh -ys icmp_rate_threshold=<新值>命令。

  [nshelp - 21811]

• 如果设备没有收到来自客户端的max_concurrent_stream设置框架,则默认情况下,MAX_CONCURRENT_STREAMS值设置为100。

  [nshelp-21240]

• Mptcp_cur_session_没有_subflow的计数器错误地递减为负值而不是零。

  [nshelp-10972]

• 在群集部署中,如果您在非CCO节点上运行“强制群集同步”命令,则ns.log文件包含重复的日志条目。

  [nsbase-16304, nsgi-1293]

• 当为洞察力配置LogStream传输类型时,HDX洞察力SkipFlow记录中的客户端IP和服务器IP将反转。

  [nsbase - 8506]

• 会计师协会对Citrix ADC的支持

  Citrix ADC设备现在支持针对HTTP和HTTPS流量的内容转换服务的网络内容适应协议(ICAP)。该设备充当ICAP客户端,并与第三方ICAP服务器(例如反恶意软件和数据泄漏防护(DLP))进行互操作。Icap服务器对HTTP和HTTPS消息执行内容转换，并作为修改后的消息回复设备。调整后的消息可以是HTTP或HTTPS响应或请求。

  欲了解更多信息，请参阅https://docs.citrix.com/en-us/netscaler/12-1/security/icap-for-remote-content-inspection.html

  [nsbase - 825]

用户界面

• 在压缩策略管理器GUI中，无法通过指定相关绑定点和连接类型将压缩策略绑定到HTTP协议。

  [nsui - 17682]

• 在Citrix ADC GUI中，“仪表板”选项卡下的“帮助”链接已损坏。

  [nsui - 14752]

• 创建/监控CloudBridge连接器向导可能会变得无响应或无法配置CloudBridge连接器。

  解决方法:使用Citrix ADC GUI或CLI添加IPSec配置文件,IP通道和PBR规则,配置cloudbridge连接器。

  [nsui - 13024]

• 如果使用GUI创建ecdsa关键帧，则不会显示曲线的类型。

  [nsui - 6838]

• 配置了池容量的集群模式下的adc实例将关闭。如果在群集节点中配置了主机名，并且节点在启动时需要更多时间连接到 ADM 许可证服务器，就会出现此问题。

  [nhelp - 28613]

• Citrix ADC GUI可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。

  [nhelp - 28606]

• 带有过滤器的硝基得到请求的API响应可能包含其他信息,即使过滤器中未提及这些信息。

  [nshelp - 28598]

• 使用Citrix ADC GUI配置或检查SSL证书时,可能会出现“目录不存在“错误。当文件名包含两个连续的点时(“。”)存在于SSL文件夹“nsconfig / SSL”中。

  解决方法:从" /nsconfig/ssl "文件夹中删除或移动这些文件。

  [nshelp - 28589]

• 使用Citrix ADC GUI生成群集技术支持包可能会失败并显示错误。

  [nhelp - 28586]

• 在高可用性设置中,如果在主节点上修改了内置策略模式集,则内置策略模式集绑定的哈同步可能会失败。

  [nshelp - 28460]

• 如果执行任何读取ns.conf文件的操作，则会出现以下问题。例如，显示已保存的配置。

  • HTTPD进程可能会冻结，导致GUI和nitro API变得无法访问。

  [nshelp - 28249]

• 当用户尝试在侧面板视图中更改列表的页面大小时，页面会失真。

  [nshelp - 28220]

• 将高可用性设置或集群设置升级到版本13.0构建74.14或更高版本后,配置同步可能由于以下原因而失败:

  • " ssh_host_rsa_key "私钥和公钥对都不正确。

  解决方法:重新生成" ssh_host_rsa_key "。有关详细信息，请参阅https://support.citrix.com/article/CTX322863。

  [nhelp - 27834]

• 您无法使用Citrix ADC GUI将服务或服务组绑定到优先级负载平衡虚拟服务器。

  [nshelp - 27252]

• 带接口(-I)选项的ping或ping6命令可能会失败，并显示以下错误:

  • “不支持接口选项”

  [nshelp - 26962]

• 在Citrix ADC VPX设备中，添加许可证服务器后，设置容量操作可能会失败。出现此问题的原因是,由于存在大量受支持的签入和签出类型的许可证(CICO),与Flexera相关的组件需要较长的时间来初始化

  [nshelp - 23310]

• 在管理分区设置中，上传和添加证书吊销列表(crl)文件失败。

  [nshelp - 20988]

• 有时，应用程序防火墙签名需要很长时间才能同步到非cco节点。因此，使用这些文件的命令可能会失败。

  [nsconfig - 4330]

• 如果您(系统管理员)在Citrix ADC设备上执行以下所有步骤,则系统用户可能无法登录降级的Citrix ADC设备。

  1. 将Citrix ADC设备升级到其中一个版本:

     • 13.0 52.24构建
     • 12.1 57.18构建
     • 11.1 65.10 Build
  2. 添加系统用户或更改现有系统用户的密码，然后保存配置，
  3. 将Citrix ADC设备降级为任何较旧的版本。

  要使用cli显示这些系统用户的列表:
  在命令提示符下，键入：

  查询ns config -changedpassword [-config <配置文件(ns.conf)全路径>]

  解决方法：

  要解决此问题，请使用以下独立选项之一：

  • 如果Citrix ADC设备尚未降级(上述步骤中的步骤3),请使用同一发行版本的先前备份的配置文件(ns.conf)降级Citrix ADC设备。
  • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本，并为其他系统用户更新密码。
  • 如果上述选项都不起作用，系统管理员可以重置系统用户密码。

  欲了解更多信息，请参阅https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

  [nsconfig - 3188]