Citrix ADC 13.0-84.11版本的发行说明
本发行说明文档介绍了Citrix ADC版本构建13.0 - -84.11中存在的增强和更改,已修复和已知问题。
备注
- 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅Citrix安全公告。
- Build 13.0-84.11取代了Build 13.0-84.10。
- 此版本还包括针对以下问题的修补程序:nsswaf -8668。
新增功能
版本13.0-84.11中提供的增强和更改。
身份验证、授权和审核
支持最新版本的Intune NAC API
Citrix网关对Intune网络访问控制(NAC)的支持现已针对最新版本的Intune NAC API进行了增强。
[nsauth - 9722]
平台
在Citrix虚拟机管理程序上支持英特尔以太网控制器X710和XL710系列
现在,您可以使用带有以下网卡的单根I / O虚拟化(SR-IOV)配置在Citrix虚拟机管理程序上运行的Citrix ADC VPX实例:
- 英特尔X710 10G
- 英特尔XL710 40G
[nsplat - 21410]
已修复的问题
版本13.0-84.11中解决的问题。
身份验证、授权和审核
如果配置了电子邮件OTP,Citrix ADC设备将崩溃。
[nhelp - 29312]
如果满足以下条件,Citrix ADC设备可能会崩溃。
- 设备处于内存压力之下。
- 审计日志记录已启用并设置为info级别。
- 用户身份验证正在进行中。
[nhelp - 29053]
如果为SameSite饼干属性和用于身份验证的《婚姻保护法》在属性配置了Cit里克斯ADC设备,则身份验证将失败。发生这种情况的原因是SameSite饼干属性值和Dom是属性没有用分号分隔。
[nhelp - 28971]
如果满足以下条件,Citrix ADC设备可能会崩溃。
- 设备处于内存压力之下。
- Saml被配置为身份验证方法之一。
[nhelp - 28855]
本机otp加密工具不允许在设备名称中使用特殊字符。
[nhelp - 28795]
将VPN虚拟服务器配置为SAML SP时,返回的注销(/ cgi / tmlogout)网址不正确。出现此问题的原因是在saml元数据中生成了错误的注销url。
[nshelp - 28726]
在某些情况下,在多核环境中,客户端浏览器无法访问身份验证,授权和Auditing-TM虚拟服务器背后的资源。
[nhelp - 28474]
当您登录到Citrix ADC设备时,当满足以下两个条件时,将显示一个空白的密码字段。
- 配置了Duo双重身份验证
- 使用了rfWebUI门户网站主题
[nhelp - 27868]
如果Citrix ADC设备配置为基于401的身份验证,则不会将SAMESite饼干属性添加到身份验证Cookie中。
[nhelp - 27764]
当用户执行saml注销时,注销不会立即发生,并会显示以下错误消息:
在断言中发现不支持的机制;请联系您的管理员。”
之所以会出现此错误,是因为客户配置的国内流离失所者使用不同的URL编码技术对响应中的签名算法参数进行编码。此修复现在支持使用多种url编码技术对saml响应中的签名算法参数进行编码。
[nshelp - 27621]
在某些情况下,如果请求没有身份验证cookie,则对身份验证,授权和审计tm虚拟服务器的HTTP POST请求的处理不正确。发布主体在处理过程中丢失。
[nshelp - 27227]
在极少数情况下,如果满足以下条件,高可用性设置中的辅助节点可能会崩溃。
- " aaa组"和/或" aaa用户"是在Citrix ADC设备上配置的。
[nshelp - 26732]
机器人管理
使用自动生成的机器人陷阱URL功能时,Citrix ADC设备可能会崩溃。
[nsbot - 780]
“botprofile_captcha_binding硝基API请求的响应不包含默认的验证码配置值。
[nsbot - 748]
在列入白名单的客户端上触发机器人陷阱url检查。
[nsbot - 581]
如果用户代理标头字段值包含“安卓”关键字,则机器人设备指纹检测技术将失败。
[nsbot - 577]
Citrix ADC SDX设备
当接口速度值超过4Gbps时,由于整数溢出,会返回错误的值。
[nshelp - 29658]
在Citrix ADC对有关设备上,如果电源,电压或磁盘故障多次发生,管理服务不会发送系统日志或电子邮件通知。
[nshelp - 29443]
在Citrix ADC对有关14000 - 40 - g, 15000和15000 - 50 g平台上,使用CLI设置接口速度失败。
[nhelp - 29388]
当您在Citrix ADC对有关平台上托管的ADC实例上更改配置文件时,您可能会注意到日志文件中“保存配置“命令的一些额外条目。
[nhelp - 29343]
在Citrix ADC对有关设备上,在管理服务中运行的SNMP代理为不存在的OID返回错误的错误代码。
[nshelp - 29209]
Citrix网关
如果具有HTTP规则的演示applow策略绑定到Citrix网关,Citrix ADC设备可能会在VPN登录期间崩溃。
[nhelp - 28705]
对于3G/联机用户,思杰网关登录页面可能无法加载。
[nhelp - 28367]
如果配置了EPA且没有足够的内存可用,Citrix ADC设备可能会崩溃。
[nhelp - 28329]
您可能会在ns_aaa_json.c文件中看到NS_AUDITLOG_STR *日志的额外一行。
[nshelp-28160]
在极少数情况下,Citrix网关门户页面不会在Internet Explorer浏览器上显示EPA插件的下载按钮。
[nhelp - 27849]
建立VPN连接后,dns注册不起作用。
要解决此问题,必须启用nsapimgr knob, nsapimgr_wr.sh -ys call=toggle_vpn_configured_dns_disable_override。
[nhelp - 27760]
使用无客户端VPN访问Citrix网关设备时,可能会生成核心转储。
[nshelp - 27653]
在处理服务器启动的UDP流量时,Citrix Gateway设备可能会崩溃。
[nshelp - 27611]
Citrix Gateway门户本地化不适用于IE浏览器。
[nhelp - 26822]
Citrix Gateway门户企业书签功能仅支持以下协议。所有其他书签都被屏蔽。http://,https://,rdp: / /和ftp://。
[cgop - 19543]
Citrix Web应用防火墙
如果您使用的是WAF签名,则在升级构建后,必须将所有WAF签名(包括默认签名)更新为最新版本。然后,重新启用所需的签名规则。
[nswaf - 8668]
在某些情况下,当机器人管理系统中自动生成陷阱URL时,Citrix ADC设备可能会崩溃。
[nhelp - 29339]
Web应用防火墙签名ID 1048会阻止Citrix网关页面加载。
[nshelp - 29113]
负载平衡
使用包含通配符的策略表达式的"添加DNS操作"和"添加位置"命令的增量同步失败。
[nshelp - 29301]
由于失败的命令中缺少enum值,gslb服务组无法处理监视器更新。
[nshelp - 29050]
如果父域可用带类型的DNS记录,则查询具有现有NS记录的子域将生成父域SOA记录,而不是子域NS记录。
[nhelp - 28793]
如果GSLB虚拟服务器配置如下,Citrix ADC设备可能无法使用预期的GSLB服务IP地址响应GSLB域查询:
持久性类型:源IP地址
负载平衡算法:静态邻近
备份负载平衡方法:往返时间(rtt)[nshelp - 28668]
在启用AutoScale的情况下配置GSLB服务组后,VPX主站点和辅助站点崩溃。
[nshelp - 28530]
HA设置中的Citrix ADC设备会失去连接,因为在HTTP探测监视期间发送HTTP响应后未释放讲内存。
[nshelp - 28466]
对于绑定到GSLB服务组的监视器,最后的响应消息显示不正确。
[nhelp - 28393]
在高可用性故障切换或重新启动Citrix ADC设备后,LB组的持久性配置将丢失。
[nshelp - 28071]
CookieTimeOut值在GET操作期间设置不正确,导致CS虚拟服务器更新操作失败。
[nhelp - 27979]
有时在多PE系统中,基于域的组在系统出现几次故障后无法恢复到up状态。此问题是由cli和内部监视器之间的争用条件引起的。
[nhelp - 27965]
即使默认监视器已绑定到服务,默认监视器的配置状态也会显示为已禁用。
[nshelp - 27669]
在群集设置中,当一个或多个节点进入“关闭”状态时,备份节点可能无法加入群集节点组。此故障会导致某些Citrix ADC功能失败。
[nhelp - 27664]
如果在具有高网络延迟的多个GSLB站点上配置了大量GSLB服务,则远程GSLB站点上的GSLB服务状态可能无法更新。
[nhelp - 23799]
其他
对于idna2008标准域,url集模式匹配失败。
[nshelp - 28902]
为vxlan启用基于MAC的转发(mbf)时,没有建立有状态的TCP会话。
[nshelp - 27125]
网络连接
如果满足以下条件,升级具有管理分区的Citrix ADC设备可能会导致一些配置丢失:
- 如果将整个可用系统内存分配给管理分区。
[nsnet - 23031]
如果满足以下条件,Citrix ADC设备可能会在为相关服务创建监视器探测时崩溃:
- 具有至少有一个IPv4地址但没有IPv6地址的IP集的网络配置文件。网络配置文件绑定到设置为IPv6服务的监视器。
- 具有至少有一个IPv6地址但没有IPv4地址的IP集的网络配置文件。网络配置文件绑定到监视器,监视器设置为IPv4服务。
[nhelp - 29382]
在高可用性设置中,如果两个节点之间的ha版本不匹配,则动态路由不会同步到辅助节点。如果辅助节点的可访问性取决于动态路由,则无法访问辅助节点。
作为修复,即使在ha版本不匹配的情况下,动态路由也会同步到辅助节点。
[nhelp - 28326]
平台
即使在Citrix ADC设备达到其许可证的PPS限制之前,Citrix ADC设备也会生成每秒错误数据包(PPS)速率限制警报。
[nshelp - 26935]
策略
在以下情况下,Citrix ADC设备可能会崩溃:
- 审计消息操作使用字符串生成器表达式进行配置,并将一个或多个regex函数应用于请求正文。
- 配置了流式处理选项的应用程序防火墙配置文件。
例如,http.req。身体(1000000).REGEX_SELECT (re / name = (^ rn) * (rn) + /)。
[nhelp - 27895]
SSL
如果将已在请求绑定点绑定的策略操作设置为“转发”,则Citrix ADC设备在处理HTTP请求时崩溃。
[nshelp - 29115]
由于内存分配失败,添加证书密钥对可能会失败。因此,ca证书密钥对查找失败,设备崩溃。
[nhelp - 28197]
现在,将显示SAN证书中的所有IP地址。之前只显示了SAN证书中所有IP地址的最后一个SAN IP地址。
[nhelp - 27336]
如果您在配置文件中更改内置证书(“ns-server-certificate”)的名称,Citrix ADC设备将在重新启动期间崩溃。
[nshelp - 26858]
系统
当Citrix ADC设备从客户端收到HTTP / 2 GOWAY帧时,它会错误地重置流ID大于承诺ID(最后一个对等项启动的流标识符)的所有流。
[nhelp - 29328]
在Citrix ADM上,由于ADM代理中的问题,ADM代理可能会报告内存使用率过高。
[nhelp - 29285]
X-Forwarder标头不会添加到从Citrix ADC设备发送到后端服务器的某些请求中。
[nhelp - 29142]
如果满足以下条件,Citrix ADC入侵防御系统(IPS)会在插入或修改数据时观察到重写策略存在问题:
- 在后端服务器连接打开之前,Citrix ADC设备将数据包发送到IPS服务器。
[nshelp - 28496]
在高可用性设置中,辅助节点上管理分区配置的ha同步失败,原因如下:
- 由于辅助节点上的大量配置负载而导致的内存不足问题
[nshelp - 28409]
满足以下所有条件时,Citrix ADC设备会崩溃:
- 具有服务器IP地址地址的内容检查操作将使用服务的内部数据(如果已配置)。
- 因此,在删除ci操作时,服务的内部数据也会被删除。
- 删除实际服务后,Citrix ADC设备将尝试访问并删除已删除的内部数据。
[nhelp - 28293]
当客户端重置与多个TCP流的连接时,不会发送服务器端事务记录,这会导致这些数据流的L4记录丢失。
[nshelp - 28281]
连接链TCP选项将添加到Citrix ADC RPC连接中。该问题导致GSLB站点通信的互操作性问题。
[nhelp - 27417]
在极少数情况下,Citrix ADC设备从后端服务器转发时可能会向客户端发送错误的TCP袋序列号。如果在TCP配置文件中启用了TCP选择性ack (sack)选项,则会出现此问题。
[nshelp - 24875]
当Citrix ADC设备收到设置了鳍标志的乱序TCP数据包时,可能会观察到以下问题:
- Citrix ADC设备发送错误的麻袋,表示设备收到的是2个字节,而不是1字节的乱序TCP数据包。
- Citrix ADC设备不会通过接收按顺序排序的TCP数据包来确认TCP FIN数据包。
[nsbase - 15735]
在重置连接的情况下,缓存模块中TCP的模拟功能可能无法及时产生CPU来响应“pitboss”心跳。
[nsbase - 15367]
用户界面
使用Citrix ADC GUI修改基于ACL的RNAT规则(该规则已启用连接故障转移)可能会失败,并显示以下错误:
- “无效的参数值[connfailoval]”
[nshelp - 29243]
配置了池容量的集群模式下的adc实例将关闭。如果在群集节点中配置了主机名,并且节点在启动时需要更多时间连接到ADM许可证服务器,就会出现此问题。
[nhelp - 28613]
如果执行任何读取
ns.conf文件的操作,则会出现以下问题。例如,显示已保存的配置。- HTTPD进程可能会冻结,导致GUI和nitro API变得无法访问。
[nshelp - 28249]
在管理分区设置中,上传和添加证书吊销列表(crl)文件失败。
[nshelp - 20988]
在Citrix ADC CLI界面中,如果在命令提示符下键入命令时按点击键,则绑定命令的选项不会自动填充。
例如,键入以下命令,当使用ab键时,对象不会自动填充:
bind authentication vserver.-policy .使用实例 在这里,身份验证虚拟服务器可以绑定到多种对象类型,例如半径策略,Idappolicy, cert策略,TACAS策略,高级身份验证策略等。
[nsconfig - 6340]
从机器人配置文件中解除速率限制url的绑定会导致内部数据库错误。
[nsconfig - 6231]
已知问题
13.0-84.11版本中存在的问题。
演示applow
HDX见解不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。
[nsinsight - 943]
身份验证、授权和审核
在某些情况下,如果SSO功能与代理服务器一起使用,则Citrix ADC设备中会观察到内存泄漏。
[nshelp - 27744]
在某些情况下,在半径身份验证过程中会显示“凭据无效”错误消息。使用谷歌Chrome浏览器从客户端设备访问Citrix ADC设备时会出现此错误。
[nshelp - 27113]
如果满足以下条件,则拒绝访问服务:
- 该服务绑定到身份验证虚拟服务器。
- 401 身份验证是在服务和服务绑定到的虚拟服务器上配置的。
[nhelp - 26903]
如果满足以下两个条件,Citrix ADC设备将崩溃。
- 已配置电子邮件otp
- 电子邮件服务器没有响应,或者电子邮件服务器存在网络问题
[nshelp - 26137]
在某些情况下,如果策略名称长于内部网应用程序名称,则绑定身份验证,授权和审核组命令可能会失败。
[nshelp - 25971]
如果LDAP、RADIUS或TACACS服务的管理员密码包含双引号(”)字符,Citrix ADC设备会在“测试连接“检查期间将其删除,从而导致连接失败。
[nhelp - 23630]
Citrix ADC设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。
[nshelp-563]
DualAuthPushOrOTP.xml LoginSchema未正确显示在Citrix ADC GUI的登录架构编辑器屏幕中。
[nsauth - 6106]
可以在群集部署中配置adfs代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白:
显示adfsproxyprofile <配置文件名称>解决方法:连接到群集中的主活动Citrix ADC并运行
显示adfsproxyprofile <配置文件名称>命令。它将显示代理配置文件状态。[nsauth - 5916]
如果执行以下步骤,Citrix ADC GUI上的配置身份验证LDAP服务器页面将无响应:
- 测试ldap可达性选项已打开。
- 填充并提交了无效的登录凭据。
- 将填充并提交有效的登录凭据。
解决方法:关闭并打开"测试ldap可访问性"选项。
[nsauth - 2147]
缓存
如果启用了集成缓存功能且设备内存不足,Citrix ADC设备可能会崩溃。
[nshelp - 22942]
Citrix ADC SDX设备
在Citrix ADC对有关设备上,如果凝结是在Mellanox网卡上创建的,则当VPX实例重新启动时,凝结MAC将更改。VPX实例的流量在重启后停止,因为MAC表包含旧的clag MAC条目。
[nssvm - 4333]
现在,如果数据记录总数少于5000,则可以跨页对adc事件表中的数据进行排序。
[nhelp - 29170]
如果满足以下条件,则会在Citrix ADC SDX设备上托管的VPX实例上看到丢包:
- 吞吐量分配模式为突发。
- 吞吐量和最大突增容量之间存在很大差异。
[nshelp-21992]
Citrix网关
在Citrix网关高可用性设置中,如果启用了网关的洞察力,辅助节点可能会崩溃。
[nshelp - 28856]
有时,断开VPN连接后,DNS解析器无法解析主机名,因为在VPN断开连接期间会删除DNS后缀。
[nshelp - 28848]
如果macOS钥匙串中没有客户端证书,则适用于macOS的Citrix SSO的客户端证书身份验证将失败。
[nshelp-28551]
有时,设置客户端空闲超时后,用户会在几秒钟内注销Citrix Gateway。
[nshelp-28404]
Windows插件可能会在身份验证期间崩溃。
[nshelp - 28394]
如果异步被阻止并且您修改了内容交换策略配置,Citrix Gateway设备可能会崩溃。
[nhelp - 27570]
如果在会话策略中设置了未知的VPN客户端选项,Citrix网关设备可能会崩溃。
[nhelp - 27380]
您无法使用GUI解除经典授权策略的绑定。但是,您可以使用cli解除身份验证,授权和审核授权策略的绑定。
通过此修复,您现在可以使用GUI取消绑定授权策略。
[nshelp-27064]
有时,在转移登录过程中,内网IP子网在客户端显示不正确。
[nhelp - 26904]
编辑VPN会话配置文件时,Citrix网关GUI显示消息“IP或端口无效”。
[nhelp - 26722]
如果出现以下任一情况,Citrix ADC设备将崩溃:
- syslog操作使用域名进行配置,您可以使用GUI或CLI清除配置。
- 高可用性同步发生在辅助节点上。
解决方法:
使用系统日志服务器的IP地址而不是系统日志服务器的域名创建syslog操作。
[nshelp - 25944]
使用Citrix ADC GUI创建RDP客户端配置文件时,满足以下条件时会显示错误消息:
- 配置了默认的预共享密钥(psk)。
- 您尝试在RDP Cookie有效性(秒)字段中修改RDP Cookie有效性计时器。
[nshelp - 25694]
在高可用性设置中,如果满足以下条件,vpn用户会话将断开连接:
- 如果在进行ha同步时连续执行两次或更多次手动ha故障切换操作。
解决方法:仅在ha同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。
[nshelp-25598]
适用于Windows的EPA插件不使用本地计算机配置的代理,而是直接连接到网关服务器。
[nshelp-24848]
网关洞察不会显示有关VPN用户的准确信息。
[nshelp-23937]
如果满足以下条件,VPN插件在Windows登录后不会建立通道:
- Citrix Gateway设备已配置为"始终开启"功能
- 设备配置为基于证书的身份验证,双因素身份验证“关闭”
[nshelp-23584]
“show tunnel global”命令输出包括高级策略名称。以前,输出不显示高级策略名称。
示例:
新输出:
> show tunnel global策略名称:ns_tunnel_nocmp优先级:0策略名称:ns_adv_tunnel_nocmp类型:高级策略优先级:1全局绑定点:REQ_DEFAULT策略名称:ns_adv_tunnel_msdocs类型:高级策略优先级:100全局绑定点:RES_DEFAULT Done >上一个输出:
> show tunnel global Policy Name: ns_tunnel_nocmp优先级:0 Disabled Advanced Policies: global bindpoint: REQ_DEFAULT已绑定策略数量:1 Done[nshelp - 23496]
有时,在浏览架构时,会出现错误消息“无法读取未定义的属性‘类型’”。
[nshelp-21897]
如果您想在Windows登录功能之前使用始终开启VPN,建议升级到Citrix网关13.0或更高版本。这使您能够利用版本13.0中引入的12.1版本中没有的其他增强功能。
[cgop - 19355]
网关洞察中不会报告因STA票证无效而导致的应用程序启动失败。
[cgop - 13621]
对于SAML错误失败,网关洞察力报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。
[cgop - 13584]
在高可用性设置中,在Citrix ADC故障转移期间,老计数会增加,而不是Citrix ADM中的故障转移计数。
[cgop - 13511]
接受来自浏览器的本地主机连接时,适用于macOS的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。
[cgop - 13050]
Citrix SSO应用程序>主页中的文本"主页"在某些语言中被截断。
[cgop - 13049]
从Citrix ADC GUI添加或编辑会话策略时,将显示错误消息。
[cgop - 11830]
在Outlook Web App (OWA) 2013中,单击"设置"菜单下的"选项“会显示”严重错误对话框。此外,页面变得无响应。
[cgop - 7269]
在群集部署中,如果您在非CCO节点上运行“强制群集同步”命令,则ns.log文件包含重复的日志条目。
[cgop - 6794]
Citrix Web应用防火墙
如果启用了以下模块,Citrix ADC设备可能会崩溃:
- 具有高级安全检查功能的Web应用防火墙。
- appqoe。
[nshelp - 28251]
负载平衡
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。
[nslb - 7679]
显示和stat命令中显示的服务组的状态不一致。
[nshelp - 28931]
如果您使用通配符端口,则负载平衡或基于GSLB域的AutoScale服务组状态保持为关闭。
[nhelp - 28548]
在集群设置中,通过GSLB虚拟服务器绑定访问GSLB服务IP地址时,GUI中不显示GSLB服务IP地址。这只是一个显示问题,对功能没有影响。
[nshelp - 20406]
其他
在高可用性设置中进行强制同步时,设备将在辅助节点中执行“urlfiltering参数”命令。
因此,辅助节点会跳过任何预定更新,直到“TimeOfDayToUpdateDB”参数中提到的下一个计划时间。[nsswg - 849]
Citrix ADC CPX实例在具有64位架构和1 TB文件存储空间的Linux系统上运行,现在可以加载证书和密钥文件。
[nhelp - 28986]
如果URL筛选第三方供应商出现连接问题,Citrix ADC设备可能会由于管理CPU停滞而重新启动。
[nshelp-22409]
网络连接
如果满足以下所有条件,Citrix ADC设备可能会崩溃:
- 负载平衡路由在设备的流量域中配置。
- 在设备上执行清晰的配置操作。
[nsnet - 23847]
如果网络应用程序防火墙配置文件配置了高级安全保护检查,则处于DPDK模式的Citrix ADC BLX设备可能会崩溃。
解决方法:删除waf的高级安全保护配置。
[nsnet - 22654]
在Citrix ADC BLX设备中,绑定到带标签的非dpdk接口的NSVLAN可能无法按预期运行。与未标记的非dpdk接口绑定的NSVLAN可以正常工作。
[nsnet - 18586]
从Citrix ADC BLX设备13.0 61。X版本升级到13.0 64。x版本后,BLX配置文件上的设置将丢失。然后,blx配置文件将重置为默认值。
[nsnet - 17625]
带有DPDK的Citrix ADC BLX设备上的Intel
X710 10G (i40e)接口不支持以下接口操作:- 禁用
- 启用
- 重置
[nsnet - 16559]
在基于Debian Linux的主机(Ubuntu版本18岁及更高版本)上,无论BLX配置文件(/ etc / BLX / blx.conf)设置如何,Citrix ADC BLX设备始终以共享模式部署。之所以出现此问题,是因为基于Debian Linux的系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些awk命令。
解决方法:在安装Citrix ADC BLX设备之前安装" gawk "。你可以在Linux主机CLI中运行以下命令来安装" gawk ":
- Apt-get安装gawk
[nsnet - 14603]
在基于Debian Linux的主机(Ubuntu版本18岁及更高版本)上安装Citrix ADC BLX设备可能会失败,并出现以下依赖项错误:
“以下软件包有未满足的依赖关系:blx-core-libs: i386: PreDepends: libc6: i386(> = 2.19)但它无法安装”
解决方法:在安装Citrix ADC BLX设备之前,在Linux主机CLI中运行以下命令:
- DPKG -添加架构i386
- Apt-get更新
- apt-get dist-upgrade
- Apt-get安装libc6: i386
[nsnet - 14602]
在某些FTP数据连接情况下,Citrix ADC设备仅对数据包执行NAT操作,而不会对TCP MSS协商的数据包执行TCP处理。因此,没有为连接设置最佳接口mtu。此错误的mtu设置会导致数据包分段并影响CPU性能。
[nsnet - 5233]
在大规模NAT44设置中,Citrix ADC设备可能会在接收SIP流量时崩溃,原因如下:
- LSN模块在减少引用计数或删除服务时找不到服务。
[nshelp - 29134]
在大规模NAT44部署中,Citrix ADC设备在接收SIP流量时可能会崩溃,原因如下:
- LSN模块访问了已删除服务的内存位置。
[nshelp - 28815]
在高可用性设置中,如果满足以下条件,启用了动态路由的剪断地址在重启时不会暴露给VTYSH:
- 启用动态路由的snip地址绑定到非默认分区中的共享vlan。
作为修复的一部分,Citrix ADC设备现在不允许将启用动态路由的剪断地址绑定到非默认分区中的共享VLAN
[nhelp - 24000]
在Citrix ADC设备中更改管理分区内存限制时,TCP缓冲内存限制将自动设置为管理分区新内存限制。
[nshelp-21082]
平台
高可用性故障转移在aws和GCP云中不起作用。管理CPU在AWS和GCP云中可能达到其100%的容量,而Citrix ADC VPX本地容量可能会达到100%。这两个问题都是在满足以下条件时引起的:
- 在Citrix ADC设备的首次启动期间,您不会保存提示的密码。
- 随后,您重新启动Citrix ADC设备。
[nsplat - 22013]
当您从13.0 / 12.1/11.1版本升级到13.1版本或从13.1版本降级到13.0 / 12.1/11.1版本时,Citrix ADC设备上未安装某些python软件包。以下Citrix ADC版本的此问题已修复:
- 13.1 - -4. x
- 13.0-82.31及更高版本
- 12.1-62.21及更高版本
当您将Citrix ADC版本从13.1-4。X降级到以下任何版本时,不会安装python软件包:
- 任何11.1版本
- 12.1-62.21及更早版本
- 13.0 -81年。X及更早版本
[nsplat - 21691]
在Citrix ADC对有关设备上的群集设置中,如果满足以下条件,则第二个节点和剪辑上存在凝结MAC不匹配:
- CLAG是在Mellanox网卡上创建的。
- 您将另一个VPX实例添加到集群和clag设置。
因此,到VPX实例的流量会停止。
[nsplat - 21049]
在Citrix ADC对有关设备上的群集设置中,如果满足以下条件,则第一个节点会因为剪辑和MAC表上的MAC地址不匹配而关闭:
- CLAG是在Mellanox网卡上创建的。
- 从群集中删除第二个节点。
[nsplat - 21042]
从Azure资源组中删除自动缩放设置或VM比例集时,请从Citrix ADC实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。
[nsplat - 4520]
在Azure上的高可用性设置中,通过GUI登录到辅助节点时,将显示用于自动缩放云配置文件配置的首次用户(工联会)评分屏幕。
解决方法:跳过屏幕,登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。[nsplat - 4451]
策略
如果处理数据的大小超过配置的默认TCP缓冲区大小,连接可能会挂起。
解决方法:将TCP缓冲区大小设置为需要处理的数据的最大大小。
[nspolicy - 1267]
SSL
在Citrix ADC对有关22000和Citrix ADC对有关26000年设备的异构群集上,如果重新启动有关26000年设备,则会丢失SSL实体的配置。
解决方法:
- 在剪辑上,在所有现有和新的SSL实体(例如虚拟服务器,服务,服务组和内部服务)上禁用SSLv3。例如,
设置ssl vserver。-SSL3 DISABLED - 保存配置。
[nsssl - 9572]
- 在剪辑上,在所有现有和新的SSL实体(例如虚拟服务器,服务,服务组和内部服务)上禁用SSLv3。例如,
如果已添加身份验证Azure密钥保管库对象,则无法添加Azure密钥保管库对象。
[nsssl - 6478]
您可以使用相同的客户端ID和客户端密钥创建多个Azure应用程序实体。Citrix ADC设备不会返回错误。
[nsssl - 6213]
如果删除HSM密钥而未将keyvault指定为HSM类型,则会出现以下错误错误消息。
错误:crl刷新已禁用[nsssl - 6106]
会话密钥自动刷新在群集IP地址上错误地显示为已禁用.(无法禁用此选项.)
[nsssl - 4427]
如果您尝试更改SSL配置文件中的SSL协议或密码,则会显示一条错误的警告消息,即“警告:在SSL虚拟服务器/服务上未配置任何可用的密码”。
[nsssl - 4001]
在ha故障切换后,非cco节点和ha节点上将支持过期的会话票证。
[nsssl - 3184]
在群集设置中,当两个已安装的证书是一个具有OCSP友邦保险扩展名的服务器证书的颁发者时,如果删除服务器证书,设备将无法访问。
[nshelp - 28058]
在VPN部署中,Citrix ADC设备会从缓存中拾取SSL会话以重用会话,以便与代理服务器或后端服务器进行通信。这样做时不会将从客户端收到的sni与缓存会话中存在的sni相匹配。
因此,根据缓存的数据,要么不发送sni,要么发送不同的sni。
[nshelp - 27439]
颁发CRL的CA证书名称被截断为32个字符,即使证书密钥名称最多可以包含64个字符。出现此问题的原因是CRL字段的字符限制为32个字符。
[nhelp - 26986]
系统
如果禁用了链接集,则在公有云MPTCP群集部署中,数据包重传会增加。
[nhelp - 27410]
Citrix ADC设备可能会在MPTCP连接上发送无效的TCP数据包以及TCP选项,例如解雇块,时间戳和MPTCP数据确认。
[nhelp - 27179]
在重传队列中循环大量数据包时,会发生Pitboss故障。
[nshelp - 26071]
在Citrix ADC设备和数据加载器中观察到Logstream记录不匹配。
[nhelp - 25796]
在集群设置中,“设置速率控制”命令仅在重新启动Citrix ADC设备后才起作用。
解决方法:使用
Nsapimgr_wr.sh -ys icmp_rate_threshold=<新值>命令。[nshelp - 21811]
如果设备没有收到来自客户端的max_concurrent_stream设置框架,则默认情况下,MAX_CONCURRENT_STREAMS值设置为100。
[nshelp-21240]
Mptcp_cur_session_没有_subflow的计数器错误地递减为负值而不是零。
[nshelp-10972]
在处理大量的gRPC流量时,TCP通告窗口呈指数级增长,导致高内存使用率。
[nsbase - 15447]
在群集配置中,具有CCO优先级的节点由于网络问题而与Open vSwitch (ov)断开连接。节点重新加入群集配置后,不会收到最新的SYN cookie。
[nsbase - 14419]
当为洞察力配置LogStream传输类型时,HDX洞察力SkipFlow记录中的客户端IP和服务器IP将反转。
[nsbase - 8506]
会计师协会对Citrix ADC的支持
Citrix ADC设备现在支持针对HTTP和HTTPS流量的内容转换服务的网络内容适应协议(ICAP)。该设备充当ICAP客户端,并与第三方ICAP服务器(例如反恶意软件和数据泄漏防护(DLP))进行互操作。Icap服务器对HTTP和HTTPS消息执行内容转换,并作为修改后的消息回复设备。调整后的消息可以是HTTP或HTTPS响应或请求。
欲了解更多信息,请参阅https://docs.citrix.com/en-us/netscaler/12-1/security/icap-for-remote-content-inspection.html
[nsbase - 825]
用户界面
在压缩策略管理器GUI中,无法通过指定相关绑定点和连接类型将压缩策略绑定到HTTP协议。
[nsui - 17682]
在Citrix ADC GUI中,“仪表板”选项卡下的“帮助”链接已损坏。
[nsui - 14752]
创建/监控CloudBridge连接器向导可能会变得无响应或无法配置CloudBridge连接器。
解决方法:使用Citrix ADC GUI或CLI添加IPSec配置文件,IP通道和PBR规则,配置cloudbridge连接器。
[nsui - 13024]
如果使用GUI创建ecdsa关键帧,则不会显示曲线的类型。
[nsui - 6838]
Citrix ADC GUI可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。
[nhelp - 28606]
使用Citrix ADC GUI生成群集技术支持包可能会失败并显示错误。
[nhelp - 28586]
将高可用性设置或集群设置升级到版本13.0构建74.14或更高版本后,配置同步可能由于以下原因而失败:
- " ssh_host_rsa_key "私钥和公钥对都不正确。
解决方法:重新生成" ssh_host_rsa_key "。有关详细信息,请参阅https://support.citrix.com/article/CTX322863。
[nhelp - 27834]
您无法使用Citrix ADC GUI将服务或服务组绑定到优先级负载平衡虚拟服务器。
[nshelp - 27252]
在Citrix ADC VPX设备中,添加许可证服务器后,设置容量操作可能会失败。出现此问题的原因是,由于存在大量受支持的签入和签出类型的许可证(CICO),与Flexera相关的组件需要较长的时间来初始化
[nshelp - 23310]
将Citrix ADC设备版本13.0-71。x降级到较早版本时,由于文件权限更改,某些Nitro API可能无法正常工作。
解决方法:将" /nsconfig/ns.conf "的权限更改为644。
[nsconfig - 4628]
有时,应用程序防火墙签名需要很长时间才能同步到非cco节点。因此,使用这些文件的命令可能会失败。
[nsconfig - 4330]
如果您(系统管理员)在Citrix ADC设备上执行以下所有步骤,则系统用户可能无法登录降级的Citrix ADC设备。
将Citrix ADC设备升级到其中一个版本:
- 13.0 52.24构建
- 12.1 57.18构建
- 11.1 65.10 Build
- 添加系统用户或更改现有系统用户的密码,然后保存配置,
- 将Citrix ADC设备降级为任何较旧的版本。
要使用cli显示这些系统用户的列表:
在命令提示符下,键入:查询ns config -changedpassword [-config <配置文件(ns.conf)全路径>]解决方法:
要解决此问题,请使用以下独立选项之一:
- 如果Citrix ADC设备尚未降级(上述步骤中的步骤3),请使用同一发行版本的先前备份的配置文件(ns.conf)降级Citrix ADC设备。
- 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
- 如果上述选项都不起作用,系统管理员可以重置系统用户密码。
[nsconfig - 3188]