ADC

Versionshinweise für Citrix ADC 13.0-41.28 Release

Dieses Dokument mit den Versionshinweisen beschreibt die Verbesserungen und Änderungen, listet die behobenen und vorhandenen Probleme für Citrix ADC Release 13.0 Build 41.28 auf.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.
  • Der Abschnitt mit bekannten Problemen ist kumulativ. Es enthält Probleme, die in dieser Version neu gefunden wurden, und Probleme, die in früheren Versionen von Citrix ADC 13.0 nicht behoben wurden.
  • Die [# XXXXXX]-Kennungen unter den Problembeschreibungen sind interne Tracking-IDs, die vom Citrix ADC-Team verwendet werden.
  • Build 41.28 ersetzt Build 41.20

  • Build 41.20 enthielt Korrekturen für die folgenden Probleme:
    • Bekannte Probleme: NSSSL-7044, NSCONFIG-2370, NSHELP-136, NSHELP-16407, NSHELP-20266
    • Behobene Probleme: CGOP-11830, NSCONFIG-2232, NSHELP-19614, NSHELP-20020, NSHELP-20522, NSNET-10968, NSNET-11916
    • Verbesserungen: NSCONFIG-2224, NSNET-12256

Zu beachtende Punkte

Einige wichtige Aspekte, die Sie bei der Verwendung von Build 41.28 beachten sollten.

  • Citrix ADC VPX-Appliance

    • Für die VPX-Bereitstellung auf Azure Stack muss die DNS-Weiterleitung in Azure Stack so konfiguriert werden, dass sie die Auflösung von DNS-Stammservern unterstützt.

    [NSPLAT-10838]

Was ist neu

Die Erweiterungen und Änderungen, die in Build 41.28 verfügbar sind.

AppFlow

  • Unterstützung für Logstream in Admin-Partitionen

    Eine Citrix ADC-Appliance kann jetzt Logstream-Datensätze von Admin-Partitionen senden.

    [NSBASE-4777]

  • Überwachung von Logstream-Datensätzen über die NSIP-Adresse

    Eine Citrix ADC-Appliance kann jetzt mithilfe der NSIP-Adresse eine Verbindung zu Citrix ADM herstellen, um Logstream-Datensätze zu senden.

    [NSBASE-7400]

Authentifizierung, Autorisierung und Auditing

Citrix ADC BLX-Appliance

  • Ubuntu Linux-Host-Unterstützung für Citrix ADC BLX-Appliances

    Die Citrix ADC BLX-Appliance unterstützt jetzt die Ausführung in Ubuntu Linux-Systemen.

    [NSNET-9259]

  • Unterstützung des dynamischen BGP-Routing-Protokolls für Citrix ADC BLX-Appliances

    Citrix ADC BLX-Appliances unterstützen jetzt die dynamischen Routing-Protokolle IPv4 und IPv6 BGP.

    [NSNET-7785]

  • DPDK-Unterstützung für Citrix ADC BLX-Appliances

    Citrix ADC BLX-Appliances unterstützen jetzt das Data Plane Development Kit (DPDK), eine Reihe von Linux-Bibliotheken und Netzwerkschnittstellencontrollern für eine bessere Netzwerkleistung. Die Citrix ADC BLX-Appliance unterstützt DPDK nur im dedizierten Modus.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html.

    [NSNET-2456]

Citrix ADC CPX-Appliance

  • Der Standardwert des Parameterwerts MonitorConnectionClose ist in der leichteren Version von Citrix ADC CPX auf RESET gesetzt

    Um eine Monitor-Probe-Verbindung mithilfe globaler Loadbalancing-Parameter zu schließen, können Sie MonitorConnectionClose auf FIN oder RESET konfigurieren. Wenn Sie den Parameter MonitorConnectionClose wie folgt konfigurieren:

    • FIN: Die Appliance führt einen vollständigen TCP-Handshake durch.

    • RESET: Die Appliance schließt die Verbindung, nachdem sie den SYN-ACK vom Dienst erhalten hat.

    In der leichteren Version von Citrix ADC CPX ist der Parameterwert MonitorConnectionClose standardmäßig auf RESET gesetzt und kann auf globaler Ebene nicht in FIN geändert werden. Sie können den Parameter MonitorConnectionClose jedoch auf der Serviceebene in FIN ändern.

    [NSLB-4610]

Citrix ADC GUI

  • Unterstützung bei der Identifizierung der Ursache, aufgrund derer ein Dienst- oder Servicegruppenstatus als DOWN markiert wird

    Sie können jetzt die Monitorprobe-Informationen für die Dienste oder Dienstgruppen, die sich im Status DOWN befinden, auf der GUI anzeigen, ohne zur Monitor-Binding-Schnittstelle navigieren zu müssen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-services.html#identify-the-cause-for-the-service-state-marked-down-by-using-the-gui.

    [NSUI-12906]

  • Unterstützung für die Frontend-Optimierung für die Admin-Partition

    Sie können die Frontend-Optimierungsfunktion jetzt auch im Partitionsmodus auf der Seite “Erweiterte Funktionen konfigurieren” aktivieren.

    [NSUI-12800]

  • Geführte Interaktion für SSL-Zertifikate

    Die Citrix ADC GUI bietet jetzt eine geführte Interaktion für einige allgemeine, aber detaillierte Aufgaben im Zusammenhang mit dem Erstellen, Importieren und Aktualisieren von SSL-Zertifikaten. Sie werden aufgefordert, die geführte Interaktion zu aktivieren, wenn Sie Ihre Appliance zum ersten Mal starten. Wenn diese Option aktiviert ist, können Sie sie jederzeit explizit deaktivieren, indem Sie zu System > Einstellungen > CUXIP-Einstellungen ändern gehen und das Kontrollkästchen CUXIP aktivieren deaktivieren.

    Hinweis: Diese Funktion ist nur für SSL-Zertifikate in der Citrix ADC GUI verfügbar.

    [NSUI-13389]

  • Unterstützung bei der Identifizierung der Ursache, weshalb ein virtueller Serverstatus als DOWN markiert ist

    Sie können jetzt die Monitorprüfinformationen auf der GUI für den virtuellen Server anzeigen, der DOWN ist, ohne zur Monitor-Binding-Schnittstelle navigieren zu müssen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-vserver.html#identify-the-cause-for-the-virtual-server-state-marked-down-by-using-the-gui.

    [NSUI-13255]

Citrix ADC VPX-Appliance

  • Unterstützung für hohe Verfügbarkeit in der Google Cloud Platform

    Jetzt können Sie Citrix VPX-Instanzen als HA-Paar auf der Google Cloud Platform zonenübergreifend innerhalb derselben Region bereitstellen. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-google-cloud-ha.html.

    [NSPLAT-7714]

  • Stellen Sie ein VPX-HA-Paar in AWS mithilfe einer privaten IP-Migration bereit

    Jetzt können Sie VPX-Instanzen als HA-Paar in derselben Zone im INC-Modus (Independent Network Configuration) bereitstellen, indem Sie die private IP-Migration verwenden, wodurch die Failover-Zeit erheblich reduziert wird. Zuvor wurden VPX-HA-Knoten mithilfe der Netzwerkschnittstellenmigration (ENI) bereitgestellt, was eine längere Failover-Zeit mit sich bringt. Weitere Informationen:

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/how-aws-ha-works.html

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/vpx-aws-ha.html

    [NSPLAT-7718]

  • Unterstützung für den neuen AWS-Instanztyp

    Ab dieser Version werden die folgenden AWS-Instanztypen für die VPX-Bereitstellung in den bestehenden Regionen und der neu hinzugefügten Region Paris unterstützt.

    • C5: c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge

    • C5n: c5n.large, c5n.xlarge, c5n.2xlarge, c5n.4xlarge, c5n.9xlarge, c5n.18xlarge

    • M5: m5.large, m5.xlarge,m5.2xlarge,m5.4xlarge, m5.12xlarge,m5.24xlarge

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [NSPLAT-8729]

  • Azure-Diensttags für VPX-Loadbalancing-Dienstgruppen

    Für eine ADC Citrix VPX-Instanz, die in Azure Cloud bereitgestellt wird, können Sie jetzt Load Balancing-Dienstgruppen erstellen, die einem Azure-Tag zugeordnet sind. Die VPX-Instanz überwacht ständig virtuelle Azure-Maschinen (VMs) oder Netzwerkschnittstellen (NICs) oder beides mit dem entsprechenden Tag und aktualisiert die Dienstgruppe entsprechend. Immer wenn eine VM oder NIC mit dem entsprechenden Tag hinzugefügt oder gelöscht wird, erkennt der ADC die entsprechende Änderung und fügt die VM- oder NIC-IP-Adresse automatisch zur Dienstgruppe hinzu oder löscht sie aus der Dienstgruppe.

    Sie können die Azure-Tag-Einstellung zu einer VPX-Instanz hinzufügen, indem Sie die VPX-GUI verwenden.

    Weitere Informationen zu Azure-Tags finden Sie im Microsoft-Dokument: https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-using-tags

    Weitere Informationen zu Azure-Tags für die Citrix ADC VPX-Bereitstellung finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-on-azure/tags.html.

    [NSPLAT-8768]

  • Unterstützung für die Region Paris für die AWS-Bereitstellung

    Jetzt können Sie VPX-Instanzen in AWS in der Region Paris bereitstellen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [NSPLAT-8730]

Citrix-Bot-Verwaltung

  • Citrix-Bot-Verwaltung

    Das Erkennen und Abwehren von Bot-Bedrohungen ist in der heutigen Welt ein zentrales Sicherheitsbedürfnis. Dies wird durch den Einsatz eines Bot-Managementsystems erreicht. Citrix Bot Management schützt Ihre Webanwendungen, Apps und APIs sowohl vor einfachen als auch vor fortgeschrittenen Sicherheitsangriffen. Citrix Bot Management verwendet die folgenden sechs Erkennungsmechanismen, um den Bot-Typ zu erkennen und Gegenmaßnahmen zu ergreifen.

    Bei den Techniken handelt es sich um Bot-Positivliste, Bot-Sperrliste, IP-Reputation, Geräte-Fingerprinting, Ratenbegrenzung und statische Signaturen.

    IP-Reputation. Dieser Mechanismus erkennt anhand einer aktiv aktualisierten Datenbank bösartiger IP-Adressen, ob es sich bei eingehendem Verkehr um einen Bot handelt.

    Fingerabdrücke auf dem Gerät. Das Geräte-Fingerprinting injiziert Javascript in den HTTP-Stream und wertet die von diesem Javascript zurückgegebenen Eigenschaften aus, um festzustellen, ob es sich bei dem eingehenden Verkehr um einen Bot handelt oder nicht.

    Ratenbegrenzung. Die Erkennungsrate begrenzt mehrere Anfragen, die von demselben Client per Sitzung, Cookie oder IP kommen.

    Bot-Signaturen. Die Erkennungstechnik erkennt und blockiert Bots auf der Grundlage von mehr als 3.500 Signaturen, die vom Citrix Threat Research-Team erstellt wurden. Bots können z. B. unautorisierte URLs sein, die Websites durchsuchen, Brute-Forcing-Logins oder solche, die nach Sicherheitslücken suchen

    Weiße Listefür Bots. Die Positivliste ist eine anpassbare Liste von URLs, IPs, CIDR-Blöcken und Richtlinienausdrücken, die den eingehenden Datenverkehr, der einem dieser Parameter entspricht, auf die Positivliste setzt und zulässt.

    Bot-Sperrliste. Die Sperrliste ist eine anpassbare Liste von URLs, IPs, CIDR-Blöcken und Richtlinienausdrücken, die den eingehenden Datenverkehr, der einem dieser Parameter entspricht, auf die Sperrliste setzt und verweigert.

    Citrix Bot Management wehrt automatisierte Bedrohungen und unerwünschten Bot-Traffic für Ihre öffentlichen Apps, APIs und Websites ab. Wenn festgestellt wird, dass es sich bei eingehendem Traffic um einen Bot handelt, ergreift das System eine vom ADC-Administrator zugewiesene Aktion und generiert robuste Berichte, die Rechenschaftspflicht und Überprüfbarkeit gewährleisten.

    Bot-Management bietet die folgenden Vorteile:

    • Schützen Sie sich vor Bots, Skripten und Toolkits — Auf statischen Signaturen basierende Abwehr und Geräte-Fingerprinting bieten Schutz vor Bedrohungen sowohl gegen einfache als auch fortgeschrittene Bots.

    • Neutralisieren Sie einfache und komplexe Angriffe — Beugen Sie Angriffen wie DDoS auf App-Ebene, Kennwort-Spraying, Password Stuffing, Price Scraper, Content Scraper und mehr vor.

    • Schützen Sie Ihre APIs und Investitionen — Schützen Sie Ihre APIs vor Missbrauch, Sondierung und Datenlecks und schützen Sie Infrastrukturinvestitionen vor unerwünschtem Traffic.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/bot-management.html.

    [NSWAF-2900]

Citrix Gateway

  • Selektive Verwendung älterer oder neuester Anmeldeprotokolle für Clients

    Kunden, die die Workspace-App mit Citrix Gateway verwenden, können jetzt auf der Grundlage der Richtlinien selektiv das ältere oder das neueste Anmeldeprotokoll verwenden. Kunden können für bestimmte Clients alte Netzwerkprotokolle verwenden und Kunden auch gestatten, die native Intune-Integration mit Citrix Gateway-Clients unter Verwendung des Legacy-Protokolls zu verwenden, hauptsächlich die Intune-Konformitätsprüfung anhand der eindeutigen Gerätekennung.

    [CGOP-10879]

  • AlwaysOn vor der Anmeldung für Windows

    AlwaysOn before logon für Windows ermöglicht es Benutzern, einen VPN-Tunnel einzurichten, noch bevor sich ein Benutzer bei einem Windows-System anmeldet. Diese persistente VPN-Konnektivität wird durch die automatische Einrichtung eines VPN-Tunnels auf Geräteebene erreicht, sobald das Gerät hochgefahren ist.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html.

    [CGOP-10791]

Citrix Web App Firewall

  • Zulässige Datei-Upload-Formate

    Mit Citrix Web App Firewall können Sie jetzt die zulässigen Datei-Upload-Formate in einem Citrix Web App Firewall-Profil konfigurieren. Auf diese Weise beschränken Sie Datei-Uploads auf bestimmte Formate und schützen die Appliance vor böswilligen Uploads bei einer Übermittlung mehrerer Formulare.

    Hinweis: Die Funktion funktioniert nur, wenn Sie die Option “ExcludeFileUploadFormChecks” im WAF-Profil deaktivieren.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/file-upload-protection.html

    [NSWAF-2579]

  • Detaillierte Protokollierung des Verletzungsmusters

    Sie können jetzt das Web App Firewall-Profil so konfigurieren, dass es bei einem Angriff ein detailliertes Verletzungsmuster bereitstellt. Wenn Sie die Option Verbose Log Level konfigurieren, können Sie verschiedene Teile der Payload zusammen mit dem Angriffsmuster für forensische Analysen oder zur Fehlerbehebung protokollieren.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/detailed-troubleshooting-with-waf-logs.html

    [NSWAF-2892]

  • JSON-Inhaltsschutz

    Die Citrix Web App Firewall bietet jetzt JSON-Schutz für DOS-, XSS- und SQL-Angriffe. Die JSON-Denial-of-Service- (DoS), SQL- und XSS-Regeln untersuchen die eingehende JSON-Anfrage und überprüfen, ob Daten vorhanden sind, die den Merkmalen eines DoS-, SQL- oder XSS-Angriffs entsprechen. Wenn die Anforderung JSON-Verstöße hatte, blockiert die Appliance die Anforderung, protokolliert die Daten, sendet eine SNMP-Warnung und zeigt auch eine JSON-Fehlerseite an. Der Zweck der JSON-Schutzprüfung besteht darin, einen Angreifer daran zu hindern, eine JSON-Anfrage zu senden, um DoS-, XSS- oder SQL-Angriffe auf Ihre JSON-Anwendungen oder Websites zu starten.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/json-content-protection.html

    [NSWAF-2894]

  • WAF POST-Body-Schwellenwert zur Reduzierung der CPU-Auslastung

    Die Firewall-Signaturdatei der Anwendung enthält jetzt die CPU-Auslastung, das letzte geltende Jahr und den Schweregrad. Sie können die CPU-Auslastung, das letzte Jahr und den CVE-Schweregrad jedes Mal sehen, wenn eine Signaturdatei regelmäßig geändert und hochgeladen wird. Nachdem Sie diese Werte beobachtet haben, können Sie entscheiden, ob Sie die Signatur auf der Appliance aktivieren oder deaktivieren möchten.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html

    [NSWAF-2932]

  • Automatische Bereitstellung erlernter Daten mithilfe dynamischer Profile.

    Sie können erlernte Daten jetzt automatisch als Entspannungsregeln bereitstellen. Wenn die Web App Firewall bei der dynamischen Profilerstellung gelernte Daten innerhalb eines benutzerdefinierten Schwellenwerts aufzeichnet, sendet die Appliance eine SNMP-Warnung an den Benutzer. Wenn der Benutzer die Daten nicht innerhalb einer Übergangsfrist überspringt, stellt die Appliance die Daten automatisch als Entspannungsregel bereit. Bisher musste der Anwender die erlernten Daten manuell als Entspannungsregeln einsetzen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/dynamic-profiling.html

    [NSWAF-2895]

Clustering

  • Unterstützung für ARP-Besitzer für Striped IP

    In einem Cluster-Setup können Sie jetzt einen bestimmten Knoten so konfigurieren, dass er auf die ARP-Anfrage für eine Striped IP reagiert. Der konfigurierte Knoten reagiert auf den ARP-Verkehr. In den CLI-Befehlen “add, set, and unset ip” wird ein neues Attribut “arpOwner” eingeführt.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/clustering/cluster-overview/cluster-config-type.html#arp-owner-support-for-striped-ip.

    [NSNET-3050]

  • Trap-SNMP löschen, wenn die Clusterversion nicht übereinstimmt

    Die Versionsabweichung in einem Cluster-Setup wird jetzt mithilfe eines Clear-Trap-SNMP behoben.

    [NSNET-8545]

DNS

  • Konformität zum DNS-Flaggentag 2019

    Die Citrix ADC-Appliance entspricht jetzt vollständig dem DNS Flag Day 2019.

    [NSLB-4275]

Lizenzierung

  • Dynamische Routing-Protokolle in der Standardlizenz

    Die Citrix ADC-Standardlizenz umfasst jetzt die dynamischen Routing-Protokolle von Citrix ADC. Citrix ADC unterstützt die folgenden dynamischen Protokolle:

    • RIP (IPv4 und IPv6)

    • OSPF (IPv4 und IPv6)

    • BGP (IPv4 und IPv6)

    • IS-IS (IPv4 und IPv6)

    [NSNET-12256]

  • Neue Werte für SDX-Mindestbandbreite und minimale Instanzen

    Die Werte für die Mindestbandbreite und die Mindestinstanzen für SDX-Appliances, die die gepoolte Kapazität von Citrix ADC unterstützen, haben sich geändert. Weitere Informationen:

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [NSSVM-2770]

  • Dynamische Routing-Protokolle in der Standardlizenz

    Die Citrix ADC-Standardlizenz umfasst jetzt die dynamischen Routing-Protokolle von Citrix ADC. Citrix ADC unterstützt die folgenden dynamischen Protokolle:

    • RIP (IPv4 und IPv6)

    • OSPF (IPv4 und IPv6)

    • BGP (IPv4 und IPv6)

    • IS-IS (IPv4 und IPv6)

    [NSPLAT-6179]

Lastausgleich

  • Unterstützung für sicheren NTLM-Monitor

    Sie können jetzt das nsntlm-lwp.pl-Skript verwenden, um einen Monitor für die Überwachung eines sicheren NTLM-Servers zu erstellen.

    [NSLB-4806]

NITRO

  • Aktualisieren Sie die Servicegruppe nahtlos mit der gewünschten Mitgliedergruppe mithilfe der Desired State API

    Sie können jetzt die Desired State-API verwenden, um eine Dienstgruppe mit einer gewünschten Gruppe von Dienstgruppenmitgliedern zu aktualisieren. Mithilfe der Desired State-API können Sie eine Liste der Servicegruppenmitglieder zusammen mit ihrem Gewicht und Status (optional) in einer einzigen PUT-Anfrage für die Ressource “servicegroup_servicegroupmemberlist_binding” bereitstellen. Die Citrix ADC-Appliance vergleicht die angeforderte gewünschte Elementgruppe mit der konfigurierten Elementgruppe. Dann bindet es automatisch die neuen Mitglieder und entbindet die Mitglieder, die nicht in der Anfrage anwesend sind.

    [NSLB-4543]

  • Beschränkung der Systembenutzer auf eine bestimmte Verwaltungsschnittstelle

    Mit einer Citrix ADC-Appliance können Sie jetzt den Benutzerzugriff auf eine bestimmte Verwaltungsschnittstelle (CLI oder API) einschränken. Sie können die Liste der zulässigen Verwaltungsschnittstellen für einen bestimmten Benutzer oder eine Benutzergruppe auf Benutzerebene konfigurieren.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/restricted-management-interface-access.html.

    [NSCONFIG-1376]

Plattform

  • Einstellung der Empfangsringgröße und des Ringtyps für eine Schnittstelle

    Sie können jetzt die Empfangsringgröße und den Ringtyp für IX-, F1X-, F2X- und F4X-Schnittstellen auf Citrix ADC MPX- und SDX-Plattformen erhöhen.

    Eine größere Ringgröße bietet mehr Dämpfung, um mit hohem Traffic fertig zu werden, kann jedoch die Leistung beeinträchtigen. Eine Ringgröße von bis zu 8192 wird auf IX-Schnittstellen unterstützt. Eine Ringgröße von bis zu 4096 wird auf F1X-, F2X- und F4X-Schnittstellen unterstützt. Die Standardringgröße ist weiterhin 2048.

    Die Ringtypen von Schnittstellen sind standardmäßig elastisch. Ihre Größe nimmt je nach Paketeintrittsrate zu oder ab. Sie können den Klingeltyp als “fest” konfigurieren, sodass er sich nicht je nach Verkehrsrate ändert.

    [NSPLAT-9264]

Richtlinien

  • Verbessertes Nspepi-Tool für die Richtlinienumwandlung

    Das nspepi-Tool wurde jetzt verbessert und unterstützt nun Folgendes:

    • Umstellung der Tunnelrichtlinien und ihrer Bindungen.

    • Konvertierung der integrierten klassischen Richtlinienbindungen in CMP, CR und Tunnel.

    • Konvertierung der Authentifizierungsrichtlinie und ihrer Bindungen auf einen virtuellen Authentifizierungsserver, jedoch nicht für andere Entitätsbindungen.

    • Korrekturen für verschiedene Bugs.

    Hinweis: Wenn cmd-Richtlinien verwendet werden und der Name des Befehls konvertiert wird, müssen alle zugehörigen CMD-Richtlinien manuell geändert werden.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/appexpert/policies-and-expressions/introduction-to-policies-and-exp/converting-policy-expressions-nspepi-tool.html

    [NSPOLICY- 3159]

SSL

  • Unterstützung der optionalen Überprüfung von Client-Zertifikaten mit richtlinienbasierter Client-Authentifizierung

    Sie können die Überprüfung des Client-Zertifikats auf optional setzen, wenn Sie die richtlinienbasierte Clientauthentifizierung konfiguriert haben. Bisher war obligatorisch die einzige Option. Jetzt sind sowohl optionale als auch obligatorische Optionen verfügbar und konfigurierbar.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/ssl/ssl-actions-and-policies/config-built-in-ssl-actions.html#client-certificate-verification-with-policy-based-client-authentication.

    [NSSSL-690]

  • Unterstützung für die Anzeige von RSA 3072-Bit-Schlüsselwerten im Befehl stat ssl

    Die Ausgabe von stat ssl enthält jetzt die RSA 3072-Bit-Schlüsselaustauschwerte.

    stat-ssl-Detail

    SSL Offloading

    SSL-Karten vorhanden 8

    SSL-Karten UP 8

    SSL-Engine-Status 1

    SSL-Sitzungen (Rate) 0

    Wichtige Börsen

    RSA 512-Bit-Schlüsselbörsen 0 0

    RSA 1024-Bit-Schlüsselbörsen 0 0

    RSA 2048-Bit-Schlüsselbörsen 0 0

    RSA 3072-Bit-Schlüsselbörsen 0 106380

    RSA 4096-Bit-Schlüsselbörsen 0 0

    Fertig

    [NSSSL-1954]

  • Unterstützung für längere Namen von SSL-Entitäten

    Um Kunden dabei zu helfen, eine Standardbenennungskonvention für alle ADC-Entitäten einzuhalten, unterstützt die Citrix ADC-Appliance jetzt einen Zertifikatsnamen mit bis zu 63 Zeichen. Zuvor lag das Limit bei 31 Zeichen.

    [NSSSL-5976]

  • Verbesserungen des Intel Coleto-Chip-Gesundheitschecks

    Citrix ADC-Appliances mit dem Intel Coleto-Chip unterstützen jetzt erweiterte Zustandsprüfungen für symmetrische (SYM) und asymmetrische (ASYM) Operationen.

    [NSSSL-6299]

  • Unterstützung für fragmentierte TLS-Nachrichten

    Die Citrix ADC-Appliance unterstützt jetzt die Fragmentierung von Serverzertifikatnachrichten und Zertifikatsanforderungsnachrichten. Die maximal unterstützte Größe dieser Nachrichten in allen Datensätzen beträgt 32 KB. Zuvor wurde die Fragmentierung nicht unterstützt und die maximal unterstützte Größe der Nachrichten betrug 16 KB.

    [NSSSL-5971]

System

  • Implementierung von ICAP-Anforderungs-Timeout und Antwort-Timeout

    Um das Timeout-Problem bei der ICAP-Antwort zu lösen, können Sie den Timeout-Wert für die ICAP-Anfrage für den Parameter ‘ReqTimeout’ im ICAP-Profil konfigurieren. Auf diese Weise können Sie eine Anforderungs-Timeout-Aktion festlegen, damit die Appliance bei einer verzögerten ICAP-Antwort vom ICAP-Server eine Aktion ergreift. Wenn die Appliance innerhalb des konfigurierten Anforderungs-Timeouts keine ICAP-Antwort erhält, kann die Appliance gemäß dem im Icapprofile konfigurierten Parameter ‘ReqTimeoutAction’ eine der folgenden Aktionen ausführen.

    reqTimeoutAction: Mögliche Werte sind BYPASS, RESET, DROP.

    BYPASS: Wenn die ICAP-Antwort mit gekapselten Headern nicht innerhalb des Timeout-Werts empfangen wird, ignoriert dies die Antwort des Remote-ICAP-Servers und sendet die vollständige Anfrage/Antwort an den Client/Server

    RESET (Standard): Setzt die Client-Verbindung zurück, indem Sie sie schließen.

    DROP: Löscht die Anfrage, ohne eine Antwort an den Benutzer zu senden

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/icap-for-remote-content-inspection.html

    [NSBASE-3040, NSBASE-2264]

  • Umgang mit ICAP-Serverausfällen während der Inhaltsinspektion

    Für den Umgang mit ICAP-Serverausfällen während der Inhaltsüberprüfung können Sie mit der Citrix ADC-Appliance jetzt den Parameter ifserverdown konfigurieren und die folgenden Aktionen zuweisen.

    WEITER: Wenn der Benutzer die Inhaltsüberprüfung Bypass möchte, falls der Remoteserver ausgefallen ist, kann diese Aktion gewählt werden.

    RESET (Standard): Diese Aktion reagiert auf den Client, indem sie die Verbindung mit RST schließt.

    DROP: Diese Aktion verwirft die Pakete im Hintergrund, ohne eine Antwort an den Benutzer zu senden.

    [NSBASE-4936]

  • Integration des Intrusion Detection Systems (IDS) mit L3-Konnektivität

    Eine Citrix ADC-Appliance ist jetzt in passive Sicherheitsgeräte wie das Intrusion Detection System (IDS) integriert. In diesem Setup sendet die Appliance eine Kopie des ursprünglichen Datenverkehrs sicher an Remote-IDS-Geräte. Diese passiven Geräte speichern Protokolle und lösen Warnungen aus, wenn sie einen schlechten oder nicht konformen Datenverkehr erkennen. Es generiert auch Berichte zu Compliance-Zwecken. Wenn die Citrix ADC-Appliance in zwei oder mehr IDS-Geräte integriert ist und ein hohes Verkehrsaufkommen besteht, kann die Appliance den Lastenausgleich der Geräte durchführen, indem der Datenverkehr auf virtueller Serverebene geklont wird.

    Für erweiterten Sicherheitsschutz ist eine Citrix ADC-Appliance in passive Sicherheitsgeräte wie das Intrusion Detection System (IDS) integriert, die im Nur-Erkennungsmodus eingesetzt werden. Diese Geräte speichern Protokolle und lösen Warnungen aus, wenn ein schlechter oder nicht konformer Datenverkehr festgestellt wird. Es generiert auch Berichte zu Compliance-Zwecken. Im Folgenden sind einige der Vorteile der Integration von Citrix ADC in ein IDS-Gerät aufgeführt.

    1. Überprüfung des verschlüsselten Datenverkehrs — Die meisten Sicherheitsgeräte Bypass verschlüsselten Datenverkehr und machen Server dadurch anfällig für Angriffe. Eine Citrix ADC-Appliance kann den Datenverkehr entschlüsseln und an IDS-Geräte senden, um die Netzwerksicherheit des Kunden zu verbessern.

    2. Entlastung von IDS-Geräten von der TLS/SSL-Verarbeitung — Die TLS/SSL-Verarbeitung ist teuer und führt zu einer hohen System-CPU in Geräten zur Erkennung von Eindringlingen, wenn sie den Datenverkehr entschlüsseln. Da der verschlüsselte Datenverkehr schnell zunimmt, können diese Systeme den verschlüsselten Datenverkehr nicht entschlüsseln und überprüfen. Citrix ADC hilft beim Auslagern des Datenverkehrs von der TLS/SSL-Verarbeitung auf IDS-Geräte. Diese Art der Datenauslagerung führt dazu, dass ein IDS-Gerät ein hohes Verkehrsaufkommen unterstützt.

    3. Loadbalancing für IDS-Geräte — Die Citrix ADC-Appliance gleicht bei hohem Verkehrsaufkommen den Lastausgleich mehrerer IDS-Geräte aus, indem der Datenverkehr auf virtueller Serverebene geklont wird.

    4. Replizieren des Datenverkehrs auf passive Geräte — Der in die Appliance fließende Datenverkehr kann auf andere passive Geräte repliziert werden, um Compliance-Berichte zu erstellen. Zum Beispiel schreiben nur wenige Regierungsbehörden vor, dass jede Transaktion in einigen passiven Geräten protokolliert wird.

    5. Weiterleitung des Datenverkehrs auf mehrere passive Geräte — Manche Kunden ziehen es vor, eingehenden Traffic zu fächern oder auf mehrere passive Geräte zu replizieren.

    6. Intelligente Auswahl des Datenverkehrs — Jedes Paket, das in die Appliance fließt, muss möglicherweise nicht inhaltlich überprüft werden, z. B. das Herunterladen von Textdateien. Der Benutzer kann die Citrix ADC-Appliance so konfigurieren, dass ein bestimmter Datenverkehr (z. B. EXE-Dateien) zur Überprüfung ausgewählt und der Datenverkehr zur Datenverarbeitung an IDS-Geräte gesendet wird.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/intrusion-detection-system-for-l3.html

    [NSBASE-6800]

  • Neuer Entitätszähler für das Debuggen von virtuellen Loadbalancing-Servern

    Ein neuer Entitätszähler wurde für das Debuggen virtueller Server und für Analysezwecke hinzugefügt.

    [NSBASE-8087]

  • SNMP-Traps für den Software-Upgrade-Prozess im Dienst

    Der In Service Software Upgrade (ISSU) -Prozess für ein Hochverfügbarkeits-Setup unterstützt jetzt das Senden von SNMP-Trap-Meldungen zu Beginn und am Ende des ISSU-Migrationsvorgangs.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [NSNET-9959]

  • Rollback für den Upgrade-Prozess der in Betrieb befindlichen Software

    Hochverfügbarkeits-Setups unterstützen jetzt das Rollback des In Service Software Upgrade (ISSU) -Prozesses. Die ISSU-Rollback-Funktion ist hilfreich, wenn Sie feststellen, dass das HA-Setup nach oder während des ISSU-Prozesses nicht stabil ist oder nicht wie erwartet optimal funktioniert.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [NSNET-9958]

  • Standard-RPC-Knotenkennwörter ändern

    In HA-, Cluster- und GSLB-Bereitstellungen wird eine Warnmeldung für die NSroot- und Superuser-Anmeldung angezeigt, wenn das Standard-RPC-Knotenkennwort nicht geändert wird.

    [NSCONFIG-2224]

Videooptimierung

Behobene Probleme

Die Probleme, die in Build 41.28 angesprochen werden.

Admin-Partition

  • In einem Hochverfügbarkeits-Setup mit Administratorpartitionskonfiguration werden die vom sekundären Knoten generierten Prüfprotokolle nur dann an den SYSLOG- oder NSLOG-Server gesendet, wenn der SYSLOG- oder NSLOG-Server von der Admin-Partition aus erreichbar ist.

    [NSHELP-19399]

  • In einem partitionierten Setup zeigt der CLI-Befehl “diff ns config” irreführende Informationen an.

    [NSHELP-19530]

AppFlow

  • Eine AppFlow-Richtlinie wird nicht ausgelöst, wenn sie an einen virtuellen Lastausgleichsserver gebunden ist, der sich hinter einem virtuellen Content Switching-Server befindet.

    [NSHELP-18782, NSBASE-8180]

  • Die Citrix ADC-Appliance stürzt ab, wenn Sie ein anderes benutzerdefiniertes Analyseprofil als das intern gebundene Profil an eine AppFlow-Aktion binden.

    [NSHELP-19362]

  • Wenn die AppFlow-Funktion “clientseitige Messungen” aktiviert ist, analysiert die Citrix ADC-Appliance unerwartet die CSS-Dateien einer HTML-Seite. Jeder Fehler beim CSS-Parsen kann dazu führen, dass die HTML-Seite falsch geladen wird.

    [NSHELP-19375]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn AppFlow deaktiviert ist, aber die Frontend-Optimierung (FEO) mit clientseitigen Messungen in der FEO-Aktion aktiviert ist.

    [NSHELP-19531]

  • Eine Citrix ADC-Appliance wird möglicherweise neu gestartet, wenn der AppFlow Collector im Logstream-Transportmodus geschlossen wird.

    [NSHELP-19837]

Authentifizierung, Autorisierung und Auditing

  • Eine Citrix ADC-Appliance ermöglicht möglicherweise unbefugten Zugriff, wenn die folgenden Bedingungen erfüllt sind:

    • Entsprechende Autorisierungsrichtlinien sind nicht konfiguriert.

    • Der DefaultAuthorizationAction-Parameter im Befehl “set tm SessionParameter” ist standardmäßig ALLOW.

    [NSAUTH-6013]

  • Das SNMP sendet Traps, auch wenn die SSH-Authentifizierung mit öffentlichen Schlüsseln erfolgreich war.

    [NSHELP-18303]

  • Der Befehl probe server liefert eine entsprechende Meldung, wenn der TACACS-Server die TCP-Verbindung mit FIN- oder RST-Paketen schließt, ohne eine Authentifizierungsantwort zu senden.

    [NSHELP-18399]

  • Beim Upgrade des Citrix ADC-Cluster-Setups auf Version 10.5 auf eine höhere Version schlägt die Systemanmeldung bei einem Nicht-CCO-Knoten in der höheren Version fehl.

    [NSHELP-18511, NSAUTH-5561]

  • Eine als SAML SP konfigurierte Citrix ADC-Appliance schlägt fehl, wenn der Server einen großen RelayState-Parameternamen zusammen mit der Assertion sendet.

    [NSHELP-18559]

  • In einer Citrix Authentifizierungs-, Autorisierungs- und Audit-Abmeldenachricht wird gelegentlich ein falscher virtueller Servername angezeigt.

    [NSHELP-18751]

  • Eine Citrix ADC-Appliance kann Kerberos-Tickets durch eine eingeschränkte Delegierung nicht abrufen, wenn eine der folgenden Bedingungen erfüllt ist:

    • Der Unternehmensparameter “Realm” ist für den Benutzer konfiguriert.

    • Der Domänenname im Parameter “keytab” ist in Kleinbuchstaben geschrieben.

    [NSHELP-18946]

  • Der Puffer wird beschädigt, wenn die folgenden Bedingungen erfüllt sind:

    • Die Daten im Puffer werden überschrieben.

    • Die Verarbeitung von Kern-zu-Core-Nachrichten führt zu einem Zustand, in dem der Puffer recycelt wird.

    [NSHELP-18952]

  • Eine Citrix ADC-Appliance löscht keine unauthentifizierten HTTP OPTIONS-Anfragen, wenn User-Agent eines der in ns_aaa_activesync_useragents genannten Muster enthält.

    [NSHELP-19024]

  • Die WebAuth-Authentifizierung schlägt nach mehreren Failovers auf einem Citrix Gateway-Gerät fehl.

    [NSHELP-19050]

  • Eine Citrix ADC-Appliance kann abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Die Option zur Kennwortänderung ist in einem LDAP-Aktionsbefehl aktiviert.

    • Bei einer LDAP-Aktion mit Authentifizierungs-, Autorisierungs- und Überwachungssitzung tritt ein Problem mit der Sitzungsweiterleitung auf.

    [NSHELP-19053]

  • Die Speichernutzung einer Citrix ADC-Appliance steigt, wenn der virtuelle Citrix Gateway- oder Traffic Management-Server die Kerberos-Authentifizierung verwendet.

    [NSHELP-19085]

  • Wenn der Parameter metadatUrl konfiguriert ist und die Citrix-Appliance neu gestartet wird, wird der Befehl samlAction nicht gespeichert und die Konfiguration geht verloren.

    [NSHELP-19140]

  • Wenn Sie “Metadaten-URL importieren” festlegen und sie später bearbeiten, indem Sie die Umleitungs-URL von der Citrix ADC GUI angeben, wird die Umleitungs-URL festgelegt, aber die Metadaten-URL importieren wird nicht deaktiviert. Aus diesem Grund verwendet die Citrix ADC-Appliance die Metadaten-URL.

    [NSHELP-19202]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Eingabe für die Citrix GUI- oder NITRO API-Anmeldeanforderung einen ungültigen Benutzernamen oder Kennwortwert enthält.

    [NSHELP-19254]

  • Die Citrix-Appliance stürzt möglicherweise ab, wenn eine Anmeldeschemarichtlinie für die Authentifizierung auf noschema gesetzt ist.

    [NSHELP-19292]

  • Eine Citrix ADC-Appliance schlägt gelegentlich fehl, wenn ein DefaultAuthenticationGroup-Parameter in einem samlidpProfile-Befehl konfiguriert ist.

    [NSHELP-19301]

  • Die Anmeldung von Systembenutzern über die Citrix GUI oder die NITRO API mithilfe der rollenbasierten Zugriffsauthentifizierung (RBA) schlägt fehl, wenn über den virtuellen Lastausgleichsserver und den Loadbalancing-Dienst auf das Citrix ADC-Management zugegriffen wird.

    [NSHELP-19385]

  • Active Directory Federation Services (ADFS) kann vom Citrix ADC SAML Service Provider (SP) generierte Metadaten nicht importieren.

    [NSHELP-19390]

  • Die Base64-Dekodierung schlägt fehl, wenn eine digitale Signatur HTML-Entitätskodierungszeichen enthält.

    [NSHELP-19410]

  • Eine für SAML Identity Provider (IdP) konfigurierte Citrix ADC-Appliance kann eingehende Authentifizierungsanfragen für bestimmte Anwendungen nicht authentifizieren.

    [NSHELP-19443]

  • Wenn ein Dialog-Cookie in der Clientanfrage verarbeitet wird, bevor nach vorhandenen Sitzungen gesucht wird, sendet eine Citrix ADC-Appliance eine Seite zum Ändern des Kennworts an den Client.

    [NSHELP-19528]

  • Wenn die URL das Sonderzeichen “;” enthält, kodiert das TASS-Cookie die URL-Umleitung zum Zeitpunkt der Anmeldung.

    [NSHELP-19634]

  • Wenn die Benutzergruppenextraktion während einer Administratoranmeldung erfolgt, steigt die Speichernutzung von Citrix ADC AAA schrittweise an.

    [NSHELP-19671]

  • Die Authentifizierung schlägt möglicherweise fehl, wenn eine als SAML mit WS-Fed-Protokoll konfigurierte Citrix ADC-Appliance ein Sonderzeichen “&” im Kennwort enthält.

    [NSHELP-19740]

  • Eine 500er-Fehlermeldung wird angezeigt, wenn die folgenden Bedingungen erfüllt sind:

    • Der virtuelle Server für das Verkehrsmanagement mit aktivierter Authentifizierung, Autorisierung und Überwachung erhält eine Postanforderung ohne das Cookie.

    • Der Text des Beitrags enthält Zeilenumbrüche.

    [NSHELP-19852]

  • Eine Citrix ADC-Appliance verarbeitet nicht authentifizierte HTTP-Anfragen mit der OPTIONS-Methode, die vom virtuellen Server für Authentifizierung, Autorisierung und Überwachung des Verkehrsmanagements empfangen wurde. Zu diesem Zeitpunkt antwortet die Appliance mit einer entsprechenden HTTP 401-Fehlermeldung.

    [NSHELP-19916]

  • Eine Citrix ADC-Appliance sendet einen negativen Wert, wenn der maximale Alterswert für den HSTS-Header über 2.147.483.647 liegt.

    [ NSHELP-19945]

  • Der SAML-Attributwert in der SAML-Antwort umfasst mehrere SAML-AttributeValue-Zeilen statt einer.

    [ NSHELP-19961]

  • In einem OpenID-Connect-Mechanismus kodiert OAuth Relying Party (RP) beim API-Aufruf zur Kennwortvergabe keine Benutzernamen- oder Kennworteigenschaften.

    [ NSHELP-19987]

  • Eine als SAML Identity Provider (IdP) konfigurierte Citrix ADC-Appliance schneidet den Relaystate von Service Provider (SP) ab, wenn sie Anführungszeichen enthält.

    [NSHELP-20131]

  • Ein Citrix Gateway-Gerät kann ausfallen, wenn die folgenden Bedingungen erfüllt sind:

    • Wenn sich ein Benutzer von einer Sitzung abmeldet.

    • Die Appliance wird auf einer HDX-Plattform bereitgestellt.

    • Die SAML-Authentifizierung wird in Citrix Gateway verwendet.

    [NSHELP-20206]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie einen SAML-IdP auf einer FIPS-Appliance verwenden.

    [NSHELP-20282]

  • Ein Citrix Gateway-Gerät kann gelegentlich fehlschlagen, wenn Benutzer versuchen, sich anzumelden, wenn sie einen VPX-Snapshot erstellen.

    [NSHELP-20292]

  • Eine Citrix ADC-Appliance, die als SAML Service Provider (SP) auf dem virtuellen Server für das Verkehrsmanagement konfiguriert ist, sendet nach der SAML-Anmeldung keine Post-Text-Antwort an den Back-End-Server.

    [NSHELP-20348]

  • Das folgende Verhalten wird in der Citrix ADC GUI beobachtet:

    • Sie können die OAuth-Richtlinien nicht bearbeiten.

    • Sie können nur OAuth-Aktionen bearbeiten.

    • Die Option OAuth-Richtlinien darf nur unter Erweiterte Richtlinien und nicht unter Basisrichtlinien stehen.

    [NSHELP-2131]

  • Gelegentlich kann ein Citrix Gateway-Gerät ausfallen, wenn es die Anforderung /vpns/services.html von einem Client empfängt.

    [NSHELP-8513]

CPXCPX-Infra

  • Merkmal: Citrix ADC CPX

    Die folgenden Standard-TCP-Profile wurden nicht automatisch mit der maximalen TCP-Segmentgröße (MSS) festgelegt:

    • nstcp_default_profile

    • nstcp_internal_apps

    [NSNET-11916]

Citrix ADC BLX-Appliance

  • Auf einer Citrix ADC BLX-Appliance können Sie die Schnittstelle 0/1 nicht an ein VLAN binden, da diese Schnittstelle für die interne Kommunikation zwischen der BLX-Appliance und Linux-Hostanwendungen verwendet wird.

    [NSNET-10014]

  • Schnittstellenfunktionen (z. B. Rx, Tx, GRO, GSO und LRO) sind für Schnittstellen (Linux-Host) deaktiviert, die der Citrix ADC BLX-Appliance zugewiesen sind. Diese Funktionen bleiben auch dann im deaktivierten Zustand, wenn diese BLX-Schnittstellen für den Standard-Namespace freigegeben werden, wenn die BLX-Appliance gestoppt wird.

    [NSNET-9697]

Citrix ADC CLI

  • Wenn Sie als nsrecover-Benutzer angemeldet sind, geben die Befehle nscli -U einen Fehler aus.

    [NSCONFIG-1414]

  • Eine Citrix ADC-Appliance reagiert nicht, wenn sie die maximale Anzahl von Benutzersitzungen (ca. 1000 Sitzungen) erreicht und wenn die Verwaltungsschnittstelle nicht mehr reagiert.

    [NSHELP-19212, NSCONFIG-1369]

Citrix ADC CPX

  • Die leichtere Version der Citrix ADC CPX-Instanz wurde nicht auf Citrix ADM registriert.

    [NSCONFIG-2232]

  • Sie können kein NSIP mit /32-Bit-Subnetzmaske für Citrix ADC CPX konfigurieren.

    [NSNET-10968]

Citrix ADC GUI

  • Eine Fehlermeldung: “Die Eigenschaft ‘get’ von undefined kann nicht gelesen werden. “erscheint, wenn Sie auf der GUI-Seite der Stream Identifiers auf Action klicken.

    [NSHELP-19369]

  • Die folgende Fehlermeldung wird angezeigt, nachdem Sie die Schritte 1 bis 4 ausgeführt haben.

    “Mehrdeutiger Argumentwert []”

    1. Erstellen Sie ein SSL-Profil mit Standardwerten.

    2. Binden Sie das Profil an einen virtuellen SSL-Server.

    3. Bearbeiten Sie SSL-Parameter, ändern Sie jedoch keine Werte.

    4. Wählen Sie OK, um das SSL-Parameter-Dialogfeld zu schließen.

    [NSHELP-19402]

  • Aufgrund einiger technischer Probleme im Framework werden nicht alle Dienstgruppen in der ADC-GUI angezeigt.

    [NSUI-13754]

Citrix ADC SDX-Appliance

  • Die maximale Anzahl von Kernen, die Sie jetzt auf einer VPX-Instanz konfigurieren können, hängt von den verfügbaren Kernen auf der jeweiligen SDX-Plattform ab. Früher konnten Sie maximal nur fünf Kerne konfigurieren, selbst wenn mehr Kerne verfügbar waren.

    Informationen zur maximalen Anzahl von Kernen, die Sie einer VPX-Instanz zuweisen können, finden Sie unter https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.html

    [NSHELP-18632]

  • Nach der Wiederherstellung einer SDX-Appliance wurden die Partitions-MACs aus der Backupdatei auf den jeweiligen VPX-Instanzen, die auf der SDX-Appliance ausgeführt wurden, nicht wiederhergestellt.

    [NSHELP-19008]

  • In einem VPX-HA-Setup, das auf SDX-Appliances ausgeführt wird, wenn einer der Switches im Virtual Port Channel (VPC) ausfällt, alle Schnittstellen, die Teil der LACP-Klappe sind. Dies löst einen HA-Failover aus.

    [NSHELP-19095]

  • SDX 8900-Appliances stürzen möglicherweise ab, während Sie die SSL-Konfiguration anwenden, um die Überprüfung des Client-Zertifikats mit richtlinienbasierter Client-Authentifizierung auf optional einzustellen.

    [NSHELP-19297]

  • Nach dem Upgrade einer SDX-Appliance gehen möglicherweise der LA-Kanal und die VLAN-Konfiguration auf der Appliance verloren.

    [NSHELP-19392, NSHELP-19610]

  • Bei der Konfiguration der gepoolten Lizenzierung in der SDX 14000 FIPS-Appliance konnten Sie mindestens 25 Instanzen auschecken. Mit diesem Fix können Sie mindestens zwei Instanzen auschecken. Weitere Informationen finden Sie im Dokument zur gepoolten Kapazität von Citrix ADC:

    https://docs.citrix.com/de-de/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html.

    [NSHELP-20305]

  • Nach einem Reset-Vorgang sinkt die Übertragungsrate.

    [NSPLAT-7792]

  • Auf den Plattformen SDX 26000 und SDX 15000 wird der Verwaltungszugriff über SSH auf DOM0 möglicherweise beendet, wenn die folgenden Bedingungen erfüllt sind:

    • Mehr als eine VPX-Instanz wird gleichzeitig neu gestartet.

    • Den VPX-Instanzen sind 100 GE- oder 50 GE-Schnittstellen zugewiesen.

    [NSPLAT-9185]

  • Eine SDX-Appliance hängt möglicherweise am Ende ihres Neustartzyklus, wenn alle folgenden Bedingungen erfüllt sind:

    • Die SDX-Appliance wird gestartet.

    • Alle VPX-Instanzen, die auf der SDX-Appliance ausgeführt werden, müssen noch verfügbar sein.

    • Warme Neustartbefehle werden auf der SDX-Appliance ausgeführt.

    Auf der Citrix Hypervisor-Konsole durchläuft die SDX-Appliance daher eine regelmäßige Bereinigung und stoppt in der Zeile “Finaler Schritt des Ziels erreicht”.

    [NSPLAT-9417]

  • Nachdem Sie ein VLAN aus der Liste der zulässigen VLANs (AVL) auf einer VPX-Instanz konfiguriert haben, die auf einer SDX-Appliance ausgeführt wird, wird die Instanz nicht automatisch neu gestartet. Infolgedessen wird die Kommunikation zwischen der VPX-Instanz und AVL beendet.

    [NSSVM-135]

Citrix ADC VPX-Appliance

  • Möglicherweise können Sie mithilfe der Management-IP nicht auf eine VPX-Instanz zugreifen, wenn die Instanz über eine vCPU-Lizenz verfügt. Das Problem tritt in allen VPX-Instanzen auf, lokal und in der Cloud. Wenn die VPX-Instanz auf einer SDX-Appliance läuft, können Sie über die SDX Management Service GUI auf die Instanz zugreifen.

    [NSPLAT-10710]

  • Wenn Sie die MTU-Größe über die Citrix ADC VPX GUI festlegen, wird die Fehlermeldung “Operation nicht unterstützt” angezeigt.

    [NSPLAT-9594]

Citrix Gateway

  • Citrix Gateway-Intranetanwendungen unterstützen jetzt kommagetrennte Hostnamen für FQDN-basiertes Tunneling.

    [CGOP-10855]

  • Wenn das Citrix Gateway-Plug-in für macOS nicht installiert ist und der Benutzer versucht, von Safari aus auf VPN zuzugreifen, wird eine Fehlermeldung angezeigt.

    [CGOP-11240]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

    [CGOP-11830]

  • ESP (Encapsulating Security Payload) -Pakete werden während der Übertragung verworfen, wenn die LSN-Konfiguration auf der Citrix ADC-Appliance nicht aktiviert ist.

    [NSHELP-18502]

  • In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten abstürzen, wenn SAML konfiguriert ist.

    [NSHELP-18691]

  • Wenn ein RDP-Serverprofil auf dieselbe Portnummer und IP-Adresse wie die des virtuellen Content Switching-Servers eingestellt ist, geht die Content Switching-Konfiguration nach dem Neustart verloren.

    [ NSHELP-18818]

  • In einigen Fällen wird beim Zugriff auf das Citrix Gateway-Gerät mit einem IE-Browser die Citrix Gateway-Anmeldeseite erst nach einer Aktualisierung angezeigt.

    [NSHELP-18938]

  • In Citrix ADM meldet die Seite Analytics > Gateway Insight die beendeten VPN-Sitzungen falsch.

    [NSHELP-19037]

  • In einem Hochverfügbarkeits-Setup stürzt der sekundäre Knoten ab, wenn die entfernten Benutzerinformationen nicht mit dem Knoten synchronisiert werden.

    [NSHELP-19065]

  • Das Dialogfeld “Server ausgelastet” wird im Fenster des VPN-Plug-ins auf dem Client-Computer angezeigt, wenn der Computer länger als zwei Stunden inaktiv bleibt.

    [NSHELP-19072]

  • UDP-, DNS- und ICMP-Autorisierungsrichtlinien werden nicht für die Verbindungen zwischen einem Client im internen Netzwerk und einem VPN-Client (serverinitiierte Verbindungen) angewendet.

    [NSHELP-19142]

  • In einigen Fällen kann das auf dem Citrix Gateway-Server konfigurierte Anmeldeskript auf den Client-Computern nicht ausgeführt werden.

    [NSHELP-19163]

  • Der Advanced Endpoint Analysis (EPA) -Scan schlägt für die macOS-Geräte fehl.

    [NSHELP-19328]

  • In einigen Fällen gibt eine Citrix ADC-Appliance den Kern aus, wenn die folgenden Bedingungen erfüllt sind.

    • Die Zwei-Faktor-Authentifizierung ist für den nativen VMware Horizon Client aktiviert.

    • Radius ist als erster Authentifizierungsfaktor konfiguriert.

    • Der Radius-Server antwortet bei erfolgreicher Authentifizierung mit den Gruppennamen.

    [NSHELP-19333]

  • In einigen Fällen dauert das Abmelden vom Windows VPN-Plug-In länger als erwartet.

    [NSHELP-19394]

  • In einigen Fällen setzt das Citrix Gateway-Gerät bei der Verarbeitung der nicht authentifizierten Anfragen ein ungültiges Cookie.

    [NSHELP-19403]

  • In einigen Fällen gibt ein Citrix Gateway-Gerät den Kern aus, wenn das virtuelle PCOIP-Serverprofil auf einem virtuellen VPN-Server festgelegt ist, PCoipProfile jedoch nicht unter Sitzungsaktion festgelegt ist.

    [NSHELP-19412]

  • In einigen Fällen gibt das Citrix Gateway-Gerät den Kern aus, wenn auf das Gerät zugegriffen wird

    der vollständige VPN-Tunnelmodus.

    [NSHELP-19444]

  • Das Citrix Gateway-Plug-In für macOS kann interne Hostnamen nicht auflösen, wenn die Option Local LAN Access auf einer Citrix ADC-Appliance aktiviert ist.

    [NSHELP-19543]

  • Der DTLS-Dienst auf einem virtuellen VPN-Server funktioniert mit einem Standardsatz von Verschlüsselungen, die nicht über die Verschlüsselungsbefehle bind oder unbind über die CLI geändert werden können.

    [NSHELP-19561]

  • Die Audioqualität von Skype-Anrufen wird negativ beeinflusst, wenn mehrere Anwendungen/Verbindungen über das VPN getunnelt werden. Dies geschieht aufgrund einer unsachgemäßen Speicherverwaltung.

    [NSHELP-19630]

  • Ein Citrix Gateway erkennt die Anmeldeausdrucksrichtlinie in einem Windows-Plug-In während der nFactor-Authentifizierung nicht.

    [NSHELP-19640]

  • Die Funktion “Location Based Awareness” funktioniert auf Client-Computern nicht, wenn das Gerät von einer netzwerkfreien Zone in eine mit dem Netzwerk verbundene Zone [Internet oder Intranet] gebracht wird.

    [NSHELP-19657]

  • Wenn ein in Azure gehosteter Authentifizierungsfaktor in Citrix MFA verwendet wird, schlägt die Anmeldung bei Citrix Gateway mithilfe des Windows-Plug-ins fehl. Dies liegt daran, dass der MFA-HTTP-Timeout-Wert kleiner ist als der Timeout-Wert des Citrix Gateway Windows-Plug-ins.

    Mit diesem Fix wird der Timeout-Wert für das Citrix Gateway Windows-Plug-In erhöht, um Anmeldefehler zu vermeiden. Außerdem kann der HTTP-Timeout-Wert jetzt konfiguriert werden, indem der folgende Registrierungswert (in Sekunden) festgelegt wird:

    ComputerHkey_Local_MachineSoftwareCitrixSecure Access ClientHttpTimeout

    [NSHELP-19848]

  • In einigen Fällen schlägt der EPA-Scan auf Windows-Computern fehl.

    [NSHELP-19865]

  • In seltenen Fällen können Citrix ADC-Appliances, die in einem Hochverfügbarkeits-Setup (HA) bereitgestellt werden, abstürzen, was zu einem häufigen HA-Failover führt, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Gateway Insight ist aktiviert.

    • SSO schlägt fehl.

    [ NSHELP-19922]

  • Die Windows Intune-Registrierungsprüfung kann auf den Client-Computern nicht deaktiviert werden. Die Prüfung ist standardmäßig aktiviert.

    Mit diesem Fix kann die Windows Intune-Registrierungsprüfung deaktiviert werden.

    Um die Prüfung zu deaktivieren, setzen Sie den folgenden Registrierungseintrag auf 1:

    ComputerHKEY_LOCAL_MACHINESoftwareCitrixSecure Access Client Deaktiviere die Intune-Geräteregistrierung

    [ NSHELP-19942]

  • Die Audioqualität für VOIP-Anwendungen wird negativ beeinflusst, wenn mehrere Anwendungen oder Verbindungen über das VPN getunnelt werden.

    [NSHELP-20097]

  • Das Finden von URLs, die für die fortschrittliche clientlose VPN-Verarbeitung neu geschrieben werden müssen, führt zu einer hohen CPU-Auslastung. Infolgedessen verlangsamt sich das System.

    [ NSHELP-20122]

  • Ein Client-Computer kann keine Verbindung zu einem Citrix Gateway-Gerät herstellen, da das Gerät bei der STA-Aktualisierung ein falsches STA-Ticket sendet.

    [NSHELP-20285]

  • Beim Hinzufügen von Domänen für ein clientloses Zugriffsprofil wird eine horizontale Scrollleiste angezeigt, wenn der FQDN lang ist.

    [NSHELP-20341]

  • In einem Hochverfügbarkeits-Setup kann die sekundäre Citrix ADC-Appliance abstürzen, wenn die Sitzungszuverlässigkeit in einem Hochverfügbarkeits-Setup aktiviert ist.

    [NSHELP-5257, NSINSIGHT-1208, NSHELP-3807, NSHELP-3808, NSHELP-5414, NSHELP-5417, NSHELP-5428, NSHELP-17883, NSHELP-17894, NSHELP-17904]

  • Auf einer Anmeldeseite für virtuelle Server zur Authentifizierung, Autorisierung und Überwachung wird anstelle einer aussagekräftigen Fehlermeldung eine Fehlercodenummer angezeigt.

    [NSHELP-7872]

  • In einigen Fällen gibt ein Citrix Gateway-Gerät den Kern aus, da sich die ausstehenden STA-Aktualisierungsvorgänge unendlich ansammeln.

    [NSHELP-8684]

Citrix Web App Firewall

  • Die ursprünglichen Einstellungen der Citrix Web App Firewall werden auf die Standardeinstellungen überschrieben.

    Wenn Sie beispielsweise für einige Signaturen die Option “Aktivieren” ausgewählt haben, wird die Einstellung beim Zusammenführen von Signaturen auf “deaktivieren” überschrieben.

    [NSHELP-17841]

  • Ein Konfigurationsverlust wird beobachtet, wenn Sie ein Hochverfügbarkeits- oder Cluster-Setup neu starten, wobei die Option rfcprofile in der laufenden Konfiguration aktiviert ist.

    [ NSHELP-18856]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Konfigurationsänderungen der Citrix Web App Firewall in einem Cluster-Setup nicht ordnungsgemäß verarbeitet werden.

    [ NSHELP-18870]

  • Nachdem Sie eine Entspannungsregel hinzugefügt haben, werden ähnliche URLs nicht aus der Liste der erlernten Regeln gelöscht.

    [NSHELP-19298]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn große Formularteile verarbeitet werden und wenn der Feldkonsistenzparameter im Citrix Web App Firewall-Profil aktiviert ist.

    [NSHELP-19299]

  • Eine Citrix ADC-Appliance setzt möglicherweise Clientverbindungen zurück, wenn ein hoher XML-Verkehr besteht.

    [NSHELP-19314]

  • Wenn Sie die URL-Transformationsrichtlinie aktivieren und wenn die Antwort eines Body-Attributwerts Sonderzeichen enthält, ersetzt Content Switching in einem SSL-Offload die Sonderzeichen möglicherweise als entitätskodierte Werte.

    [NSHELP-19356]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn CONNECT-Anforderungen empfangen werden. Das Problem tritt auf, wenn Sie die Standardprofileinstellungen auf einen anderen Wert als APPFW_BYPASS, APPFW_RESET, APPFW_DROP, APPFW_BLOCK festlegen.

    [NSHELP-19603]

  • Webanfragen mit vielen Abfrageparametern erhalten möglicherweise keine Antwort, wenn der Parameter zum Schutz der Feldkonsistenz aktiviert ist.

    [NSHELP-19811]

  • Eine Citrix ADC-Appliance schlägt fehl, wenn die folgenden Bedingungen erfüllt sind:

    • Web App Firewall-Richtlinien verwenden HTTP-Regeln, die auf dem Text basieren, z. B. HTTP.REQ.BODY(..)),

    • Web App Firewall-Funktion ist deaktiviert.

    [NSHELP-19879]

  • Neue Option zur Begrenzung der durch Signatur überprüften Postbody-Bytes

    Nachdem Sie Ihre Appliance auf Citrix ADC Version 13.0 aktualisiert haben, sehen Sie jetzt eine neue Profiloption, “Signature Post Body Limit (Bytes)” mit einem Standardwert von 8192 Byte. Ihr Appliance-Upgrade setzt die Option auf den Standardwert. Sie können diese Option ändern, um die auf Signaturen überprüfte Anforderungspayload (in Byte) auf den als ‘HTTP_POST_BODY’ angegebenen Ort zu beschränken.

    Bisher hatte die Web Citrix Web App Firewall keine Option, um die Payload-Inspektion einzuschränken und die CPU unter Kontrolle zu halten.

    Navigation: Konfiguration > Sicherheit > Citrix Web App Firewall > Profile > Profileinstellungen.

    [NSWAF-2887, NSUI-13251]

Clustering

  • In einem Cluster-Setup mit ACL6-Konfiguration schleifen sich die ICMPv6-Fehlerpakete zwischen den Knoten und verursachen eine hohe CPU-Auslastung.

    [NSHELP-19535]

  • In einem Cluster-Setup kann die Cluster-Propagierung fehlschlagen, wenn eine der folgenden Bedingungen erfüllt ist:

    • Die Verbindung zwischen Cluster-Daemon und Konfigurationsdaemon schlägt fehl.

    • Erhöhung der Speichernutzung im Cluster-Daemon.

    [ NSHELP-19771]

  • In einem Cluster-Setup kann die Citrix ADC GUI unter den folgenden Bedingungen kein SSL-Zertifikat hochladen:

    • Befehle werden vom CLIP aus ausgeführt.

    • Der Befehl “sh partition” antwortet mit einer ungültigen Antwort.

    [NSHELP-19905]

  • In einem Cluster-Setup können Sie fortlaufende Fehlerprotokolle beobachten, die auf einen Verbindungsfehler zwischen dem IMI-Daemon für dynamisches Routing von ZeBos und dem internen Cluster-Daemon hinweisen. Dieses Problem tritt auf, wenn entweder der IMI-Daemon für dynamisches Routing von ZeBos oder der interne Cluster-Daemon neu gestartet wird.

    [NSNET-10655]

  • In einem Cluster-Setup wird das folgende Verhalten beobachtet:

    • Wenn Sie den Befehl enable/disable servicegroupmember, service group und server ausführen, liegt ein Konfigurationskonflikt vor.

    • Der Befehl unset setzt das Netzprofil für die Service/Service-Gruppe nicht zurück.

    [NSNET-9599]

DNS

  • Die Citrix ADC-Appliances stürzen möglicherweise ab, wenn eine zwischengespeicherte negative Antwort für eine DNS ANY-Abfrage für eine autoritative Zone gefüllt wird.

    [NSHELP-19496]

  • Sie können eine Wildcard-Domäne für die Zone hinzufügen, die Sie besitzen.

    [NSHELP-19498]

  • Eine Citrix ADC VPX-Instanz, die auf einer SDX-Appliance ausgeführt wird, stürzt möglicherweise ab, wenn eine ungültige DNS-Anfrage auf einer Jumbo-fähigen Schnittstelle empfangen wird.

    [NSHELP-19854]

GSLB

  • Die Konfiguration der GSLB Site Backup Parent List geht verloren, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Die TriggerMonitor-Option ist entweder auf MEPDOWN oder MEPDOWN_SVCDOWN gesetzt.

    • Die Citrix ADC-Appliance wird neu gestartet.

    [NSCONFIG-1760]

  • In einem GSLB-Cluster-Setup kann die MEP-Verbindung beendet werden, was zu einem MEP-Flap führt, wenn ein Knoten dem Cluster beitritt.

    [NSHELP-19532]

Lizenzierung

  • Nach dem Upgrade einer unbefristeten MPX-Lizenz auf eine Pooled Capacity-Lizenz fordert die ADM-GUI auf, die Konfiguration zu speichern und die Instanz neu zu starten. Mit diesem Fix fordert die GUI nur zum Neustart der Instanz auf.

    [NSHELP-20137]

Lastausgleich

  • Wenn LRTM auf einem Monitor aktiviert ist, der an eine Dienstgruppe gebunden ist, wird die Reaktionszeit nicht angezeigt.

    [NSHELP-12689]

  • In seltenen Fällen kann eine Citrix ADC-Appliance ausfallen, wenn der Dienst als DOWN markiert ist, bevor die SSL-Sitzung von dem Server mit der folgenden Konfiguration empfangen wird.

    • Ein virtueller Lastausgleichsserver vom Typ SSL_BRIDGE

    • Der Persistenztyp ist auf SSLSESSION ID gesetzt

    • Der Backup-Persistenztyp ist auf SOURCEIP gesetzt

    [NSHELP-18482]

  • Die inaktive Dienstnummer für einen virtuellen Lastausgleichsserver gibt möglicherweise für einige Sekunden einen großen Wert zurück, nachdem einige Dienste oder Dienstgruppenmitglieder vom virtuellen Lastausgleichsserver getrennt wurden. Dies ist ein Anzeigeproblem und hat keine Auswirkungen auf die Funktionalität.

    [NSHELP-19400]

  • Eine Citrix ADC-Appliance stürzt ab, wenn der virtuelle Server vom Typ ANY ist und die Spillover-Persistenz auf dem virtuellen Server aktiviert ist.

    [NSHELP-19540]

  • In einem Hochverfügbarkeits-Setup im INC-Modus zeigen die GUI und CLI des sekundären Knotens für einige Load-Balancing-Monitore fälschlicherweise die folgende Statusmeldung an:

    “Sonde übersprungen — sekundärer Knoten”

    [NSHELP-19617]

  • Möglicherweise geht Ihnen der Speicherplatz auf einer Citrix ADC VPX-Appliance aus, da die Appliance mehrere temporäre Dateien generiert. Wenn ein rsync-Vorgang für eine bestimmte Standortdatei ausgeführt wird, wird eine temporäre Datei für diese Standortdatei erstellt. Diese Dateien füllen das Verzeichnis /var aus.

    [ NSHELP-20020]

  • Die Pfadüberwachung für Autoscale-Servicegroups wird in einer Cluster-Bereitstellung nicht unterstützt.

    [NSLB-4660]

NITRO

  • Die Citrix ADC-Appliance antwortet mit einer internen Fehlermeldung für den NITRO-API-Aufruf von show routerdynamicrouting.

    [NSCONFIG-1325]

Netzwerke

  • In einem Hochverfügbarkeits-Setup mit konfiguriertem dynamischen OSPF-Routing generiert der neue primäre Knoten die OSPF-MD5-Sequenznummer nach einem Failover nicht in aufsteigender Reihenfolge.

    Dieses Problem wurde behoben. Damit der Fix ordnungsgemäß funktioniert, müssen Sie die Zeit zwischen dem primären und dem sekundären Knoten entweder manuell oder mithilfe von NTP synchronisieren.

    [NSHELP-18958]

  • Wenn eine PBR-Regel mit dem auf NULL gesetzten Next-Hop-Parameter für einen Load-Balancing-Dienst oder einen Monitor hinzugefügt wird, reagiert die Citrix ADC-Appliance möglicherweise nicht mehr.

    [NSHELP-19245]

  • Eine Citrix ADC-Appliance kann eine SYN+ACK-Paketschleife erstellen, die wiederum zu einer hohen CPU-Auslastung führt, wenn alle folgenden Bedingungen erfüllt sind:

    • Wenn in der ADC-Appliance eine ausstehende RNAT-Sondenverbindung zu einer IP-Adresse vorhanden ist, bei der es sich derzeit nicht um eine Citrix ADC-eigene IP-Adresse handelt.

    • Wenn Sie diese IP-Adresse als Teil der ADC-Konfiguration als ADC-eigene IP-Adresse festlegen. Fügen Sie beispielsweise einen virtuellen Lastausgleichsserver mit dieser IP-Adresse hinzu.

    [NSHELP-19376]

  • Die Citrix ADC-Appliance ermöglicht die Konfiguration über NITRO-APIs, noch bevor die Protokollmodule nicht vollständig initialisiert sind. Aus diesem Grund schlägt der Befehl write memory mit der folgenden Fehlermeldung fehl:

    “Konfiguration speichern verweigert — Module nicht bereit”

    [NSHELP-19431]

  • In einigen seltenen Fällen kann der sekundäre Knoten in einem Hochverfügbarkeits-Setup eine BGP-Sitzung über die Citrix ADC IP-Adresse (NSIP) einrichten.

    [NSHELP-19720]

  • Der BGP-Prozess kann aufgrund eines Speicherfehlers fehlschlagen, wenn er BGP-Updates mit mehreren 4-Byte-AS-Nummern im Pfad empfängt.

    [NSHELP-19860]

  • Bei einer RNAT-Regel mit deaktiviertem useproxyport-Parameter und RNAT-Clients, die auf die öffentliche INAT-IP-Adresse zugreifen, weist die Citrix ADC-Appliance möglicherweise fälschlicherweise Ports für Sitzungen zu, die sich auf die RNAT-Regel beziehen, zuordnen/aufheben. Diese falsche Zuweisung/Deallokation von Ports führt zu einem Portleck.

    [NSNET-10089]

  • Wenn Sie auf der Citrix ADC GUI zu Konfiguration > Netzwerk > Schnittstellen gehen und auf Interface Statistics klicken, wird die Schnittstellenzusammenfassung nicht angezeigt und die Fehlermeldung “Ungültiger Wert [arg]” wird angezeigt.

    [NSUI-13043]

Optimierung

  • Der Lazy-Loading-Modus lädt keine Bilder auf einer einfachen Webseite, die sich über dem Falz befinden und keine Attribute wie Höhe oder Breite haben.

    [NSHELP-19193]

  • Eine Citrix ADC-Appliance wird von selbst neu gestartet, wenn die folgenden Bedingungen erfüllt sind:

    • Die Frontend-Optimierungsfunktion ist aktiviert.

    • Zwischengespeicherte Objekte werden neu optimiert.

    [NSHELP-19428]

Plattform

  • Die SDX 14000 FIPS-Appliance stürzt möglicherweise ab und wird während der Konfiguration einer FIPS-HSM-Partition neu gestartet.

    [NSHELP-18503]

Richtlinien

  • Wenn Sie in einer Citrix ADC-Appliance die erweiterten globalen Standardrichtlinien aufheben und die Konfiguration speichern, werden die Änderungen beim nächsten Neustart nicht berücksichtigt.

    [NSHELP-19867]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Konfiguration eine Responder-Aktion mit respondwithhtmlpage als Aktionstyp enthält.

    [NSHELP-5821]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie die Responder-Aktion vom Typ Umleitungsaktion verwenden.

    [NSPOLICY- 3196]

  • Klassische richtlinienbasierte Features und Funktionen sind ab Citrix ADC 12.0 Build 56.20 veraltet. Als Alternative empfiehlt Citrix die Verwendung der erweiterten Richtlinieninfrastruktur.

    Diese Features und Funktionen werden ab der Version 13.1 von Citrix ADC im Jahr 2020 nicht mehr verfügbar sein. Außerdem werden andere kleinere Funktionen veraltet sein.

    [NSPOLICY-3228]

SNMP

  • Nach einem Upgrade in einem Hochverfügbarkeits-Setup von Version 12.1 Build 49.23 auf Version 12.1 Build 49.37 sendet der primäre Knoten während eines Neustarts keine SNMP-Coldstart-Trap-Meldung.

    [NSHELP-18631]

SSL

  • Die ADC-Appliance sendet möglicherweise gelegentlich zusätzliche Daten an den Client, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Die Appliance ist über SSL mit dem Backend-Server verbunden.

    • Die Größe der vom Server empfangenen Daten übersteigt 9.000.

    [NSHELP-11183]

  • Sie können keinen RSA-Schlüssel mithilfe der GUI erstellen, wenn der PEM-Algorithmus DES oder DES3 ist.

    [NSHELP-13018]

  • Das Safenet-Verzeichnis fehlt, wenn Sie eine VPX-Instanz auf der Citrix XenServer-, VMware ESX- oder Linux-KVM-Plattform installieren.

    [NSHELP-14582]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie eine Audit-Log-Nachrichtenaktion ausführen, die auf dem Ausdruck “ssl.origin.server_cert” basiert. Die Log-Aktion ist an eine Responder-Richtlinie gebunden.

    [NSHELP-19014]

  • Wenn das Client- und das CA-Zertifikat eine unterschiedliche Kodierung haben, wird das Client-Zertifikat fälschlicherweise zurückgewiesen, wenn -clientAuthUseBoundCAChain auf ENABLED gesetzt ist, obwohl die Client- und Serverzertifikate von derselben CA ausgestellt wurden.

    [NSHELP-19077]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, während die SSL-Aktion “clientCertFingerprint” ausgeführt wird, um den Fingerabdruck des Client-Zertifikats in den HTTP-Header der an den Server zu sendenden Anfrage einzufügen, wenn beide der folgenden Bedingungen erfüllt sind:

    • Das Sitzungsticket ist aktiviert.

    • Die SSL-Richtlinie ist an den Anforderungsbindungspunkt gebunden.

    [NSHELP-19331]

  • Ein virtueller SSL-Server kann die Verbindung mit dem Reset-Code 9820 zurücksetzen, anstatt den Datensatz wie erwartet in mehrere TCP-Pakete zu fragmentieren, wenn die folgenden Bedingungen erfüllt sind:

    • Ein TLSv1.3-fähiger virtueller Server verschlüsselt Anwendungsdaten vom Backend-Anwendungsserver, um sie an einen TLSv1.3-Client zu senden.

    • Die resultierende Länge des verschlüsselten Datensatzes ist genau ein Byte größer als die maximale TCP-Segmentgröße.

    [NSHELP-19466]

  • Der Handshake schlägt auf einer Citrix ADC SDX-Appliance mit N2-Chips fehl, da ECDSA-Chiffren auf dieser Plattform nicht unterstützt werden. Mit diesem Fix werden ECDSA-Chiffren auf dieser Plattform nicht beworben.

    [NSHELP-19614, NSHELP-20630]

  • Die CRL-Aktualisierung verwendet die alte IP-Adresse anstelle der neuen, wenn die URL von einer IP-basierten Adresse in eine auf dem Domänennamen basierende Adresse geändert wird.

    [NSHELP-19648]

  • Der Zähler ssl_tot_enc_bytes meldet falsche zu verschlüsselnde Klartext-Byte.

    [NSHELP-19830]

  • Die folgenden Appliances können abstürzen, wenn sie die Meldung “ChangeCipherSpec” von einem Client erhalten, aber nicht die Meldung “Finished”:

    • MPX 5900/8900

    • MPX 15000-50 G

    • MPX 26000-100 G

    [NSHELP-19856]

  • Wenn Sie ein Zertifikat mit einer AIA-Erweiterung zu einer Cluster-IP-Adresse (CLIP) hinzufügen, wird die folgende Fehlermeldung angezeigt, wenn Sie versuchen, das Zertifikat aus dem CLIP zu entfernen:

    ‘Interner Fehler’.

    [NSHELP-19924]

  • Wenn TLS 1.3 und SNI beide auf einem virtuellen Front-End-Server aktiviert sind, stürzt die Appliance während des TLS-Handshakes ab, wenn die folgende Abfolge von Ereignissen eintritt:

    1. Ein TLS 1.3-Client enthält die Erweiterung server_name in seiner ersten ClientHello-Nachricht.

    2. Der Server antwortet mit einer HelloRetryRequest-Nachricht.

    3. Der Client antwortet mit einer unzulässigen ClientHello-Nachricht, in der die Erweiterung server_name weggelassen wird.

    [NSHELP-20245]

  • In den beiden folgenden Fällen wird die Fehlermeldung “Fehler — Datei zu groß” angezeigt:

    • Sie aktualisieren zuerst die Citrix ADC-Software auf Version 13.0 und dann die FIPS-Firmware.

    [NSHELP-20522]

  • Der SSL-Handshake schlägt auf den folgenden Plattformen fehl, wenn die Client Key Exchange- und Client Verify-Nachrichten in einem einzigen Datensatz vorliegen.

    • MPX 59xx

    • MPX/SDX 89xx

    • MPX/SDX 261xx-100 G

    • MPX/SDX 15xxx-50G

    [NSSSL-3359, NSSSL-1608]

  • TLS- und DTLS-Handshakes mit RSA-basiertem Schlüsselaustausch schlagen am Frontend von N3-basierten Citrix ADC MPX- und SDX-Appliances fehl, wenn die folgenden Bedingungen erfüllt sind.

    1. Der TLS-Handshake schlägt fehl, wenn die TLS Client Hello-Nachricht TLSv1.2 als Protokollversion enthält, TLSv1.2 jedoch auf der Citrix ADC-Appliance deaktiviert ist. Daher handelt die Appliance eine niedrigere Version aus (TLSv1.1, TLSv1.0 oder SSLv3.0)

    2. Der DTLS-Handshake schlägt fehl, wenn die DTLS Client Hello-Nachricht DTLSv1.2 als Protokollversion enthält, die Citrix ADC-Appliance jedoch DTLSv1.0 aushandelt.

    Verwenden Sie den Befehl “show hardware”, um festzustellen, ob Ihre Appliance über N3-Chips verfügt.

    [NSSSL-6630]

  • Bei einem NITRO-Aufruf für einen virtuellen Server, an den ein Profil gebunden ist, werden auch einige Entitäten des virtuellen Servers, wie HSTS und OCSP_Stapling, die Teil des Profils sind, angezeigt.

    [NSSSL-6673]

SWG-URL-Filterung

  • Bei der Inhaltsfilterung kommt es in seltenen Fällen zu einem Wettlauf zwischen der Bewertung von Richtlinien und der Verschleierung eines privaten URL-Sets. Dieses Problem generiert einen AppFlow-Datensatz, der die URL als Klartext und nicht als “ILLEGAL” enthält.

    [NSSWG-890]

System

  • Eine Citrix ADC-Appliance stürzt ab, wenn current_tcp_profile und current_adtcp_profile nicht gesetzt sind.

    [NSHELP-18889]

  • In einer Citrix ADC-Appliance tritt ein Speicherproblem auf, wenn geschlossene Verbindungen nicht vollständig geleert werden.

    [ NSHELP-18891]

  • In einem Eckfall beendet eine Citrix ADC-Appliance Zombie-Verbindungen ohne Reset. Wenn die Peer-Side-Verbindungen Pakete senden, wenn sie aktiv sind, und die Appliance die Verbindung zurücksetzt, wenn sie verarbeitet werden.

    [NSHELP-18998]

  • Die politische Bewertung könnte fehlschlagen, wenn die folgenden Bedingungen erfüllt sind:

    • 256 Richtlinienausdrücke verweisen auf denselben benutzerdefinierten Header.

    • Der Zähler für die benutzerdefinierte Header-Referenz wird auf 0 umgestellt (8-Bit-Zähler).

    [NSHELP-19082]

  • Ein Konfigurationsverlust tritt jedes Mal auf, wenn eine Hochverfügbarkeitskonfigurationssynchronisierung zusammen mit einem Hochverfügbarkeitsfehler stattfindet.

    [NSHELP-19210]

  • Der primäre Knoten kann die Antwort des sekundären Knotens nicht lesen, wodurch die Verbindung zurückgesetzt wird. Infolgedessen wird die Verbindung auf dem sekundären Knoten geschlossen.

    [NSHELP-19432]

  • Eine Citrix ADC-Appliance stürzt ab, wenn Sie den TCP-Profilwert auf NULL setzen.

    [NSHELP-19555]

  • Eine sichere Kennwortvalidierung erfolgt für MONITOR-Passwörter, die für externe Server erstellt wurden. Wenn Sie die Konfiguration für ein starkes Kennwort (System > globale Einstellung) auf einer Citrix ADC-Appliance aktivieren, erlauben Sie der Appliance nicht, ein schwaches Kennwort für den LDAP-Monitor zu konfigurieren.

    [NSHELP-19582]

  • Der SNMP-Alarm auf dem SDX-Gerät funktioniert nicht für Datenträger-, Speicher- oder Temperaturparameter, sondern nur für die CPU.

    [NSHELP-19713]

  • In einigen Fällen kommt es zu einer Verzögerung oder einem Timeout bei der Verbindung zum Backend-Server. Dies geschieht, weil die Appliance die Verbindung freigegeben und den Port freigegeben hat. Wenn die Appliance denselben Port wiederverwendet, um eine neue Verbindung mit dem Server herzustellen, kommt es zu einer Verzögerung oder einem Timeout, da sich die Verbindung auf dem Server im Status TIME_WAIT befindet.

    [ NSHELP-19772]

  • In seltenen Fällen kann ein Clusterknoten abstürzen, wenn ein Client oder Server ein Paket in der falschen Reihenfolge sendet, gefolgt von einem sequenzierten Paket mit der FIN-Nachricht.

    [NSHELP-19824]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein erneut übertragenes TCP-Segment auf einer Schnittstelle mit MTU > 1500 Byte empfangen wird als:

    • Jumbo-Rahmen oder

    • Satz von IP-Fragmenten

    [NSHELP-19920, NSHELP-20273]

  • Eine TCP-Transaktionsverzögerung wird beobachtet, wenn eine Citrix ADC-Appliance die TCP-Verbindung nicht verwenden kann, um eine Verbindung zum Backend-Server herzustellen. In diesem Fall öffnet die Appliance eine neue Verbindung, um die Client-Anforderungen nach einer gewissen Wartezeit an den Backend-Server weiterzuleiten. Die Wartezeit reicht von 400 ms bis 600 ms.

    [NSHELP-9118]

  • Die Optionen Global Binding und Show Binding funktionieren auf der GUI-Seite der Content Inspection Policy nicht. Alternativ können Sie diese Parameter über die Befehlsschnittstelle konfigurieren.

    [NSUI-13193, NSUI-11561]

Telco

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Die Appliance empfängt zwei HTTP-Anfragen beim Abrufen von Abonnenteninformationen.

    • Es liegt ein falscher Vorgang vor, um den normalen Verkehrsfluss wieder aufzunehmen.

    [NSHELP-18955]

Bekannte Probleme

Die Probleme, die in Version 13.0 bestehen.

Authentifizierung, Autorisierung und Auditing

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.

    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und geben Sie den Befehl show adfsproxyprofile <profile name> an. Er zeigt den Status des Proxyprofils an.

    [NSAUTH-5916]

  • Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

    [NSAUTH-6106]

  • Der Protokollwechsel von HTTP zu WebSockets schlägt fehl, wenn SSO auf einer Citrix ADC-Appliance konfiguriert ist.

    [NSAUTH-6354]

  • In seltenen Fällen schlägt die Authentifizierung fehl, wenn die Verbindung zum LDAP-Server über HTTPS hergestellt wird.

    [NSHELP-20181]

  • Die Citrix ADC-Appliance stürzt nach einem Upgrade auf Version 13.0 aufgrund eines Pufferüberlaufs ab.

    [NSHELP-20416, NSAUTH-6770]

  • Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

    [NSHELP-563]

Citrix ADC BLX-Appliance

  • Eine Citrix ADC BLX-Appliance kann aufgrund einer DPDK-Fehlkonfiguration (z. B. wenn Hugepages nicht konfiguriert sind) auf dem Linux-Host nicht gestartet werden. Sie müssen den Startbefehl (systemctl start blx) zweimal ausführen, um die Citrix ADC BLX-Appliance zu starten.

    [NSNET-11107]

  • Eine Citrix ADC BLX-Appliance mit DPDK-Unterstützung kann nicht gestartet werden und gibt den Kern aus, wenn DPDK auf dem Linux-Host falsch konfiguriert ist (z. B. wenn Hugepages nicht konfiguriert sind).

    Weitere Informationen zur Konfiguration von DPDK auf einem Linux-Host für die Citrix ADC BLX-Appliance finden Sie unter https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html.

    [NSNET-11349]

Citrix ADC GUI

  • Wenn die Funktion “Kennwortänderung für den nsroot-Benutzer erzwingen, wenn das Standard-NSroot-Kennwort verwendet wird” aktiviert ist und das nsroot-Kennwort bei der ersten Anmeldung an der Citrix ADC-Appliance geändert wird, wird die Änderung des nsroot-Kennworts nicht an Nicht-CCO-Knoten weitergegeben. Wenn sich ein nsroot-Benutzer an Nicht-CCO-Knoten anmeldet, fragt die Appliance daher erneut nach einer Kennwortänderung.

    [NSCONFIG-2370]

  • Sie können mit dem Suchfilter in der ADC-GUI nicht nach einer Entität suchen, wenn der Entitätsname ein Leerzeichen enthält.

    [NSHELP-20506]

  • Wenn Sie die Syslog-GUI-Seite aufrufen, erscheint die folgende Fehlermeldung: “Die Eigenschaft ‘0’ von undefined kann nicht gelesen werden”.

    [NSHELP-20574]

  • Mit der GUI können Sie die TTL oder den Nameserver einer Bindung nicht ändern oder deaktivieren, sobald ein domänenbasierter Dienst (DBS) -Server an eine Dienstgruppe gebunden ist und die Servernamen aufgelöst sind.

    [NSUI-13060]

  • Wenn Sie in der Citrix ADM GUI zu System > Diagnostic > Saved v/s Running gehen, werden keine Daten angezeigt. Dies passiert, wenn die Größe der ns.conf-Datei über 10 MB liegt.

    Problemumgehung: Verwenden Sie CLI, um gespeicherte und laufende Daten zu überprüfen, indem Sie den Befehl “diff ns config” verwenden.

    [NSUI-13242]

Citrix ADC SDX-Appliance

  • Auf SDX 22XXX- und 24XXX-Appliances löst der SDX Management Service während der Systemzustandsüberwachung Fehlwarnungen aus.

    [NSHELP-19795]

  • Wenn der Name der Sicherungsdatei ein Sonderzeichen enthält, schlägt das Wiederherstellen der SDX-Appliance für dieses Backup fehl. Mit dem Fix wird eine Fehlermeldung angezeigt, wenn die Backupdatei ein Sonderzeichen enthält.

    [ NSHELP-19951]

  • Die folgenden Fehlermeldungen können angezeigt werden, wenn Sie mehr als 100 VLANs in der TrunkAllowedVLAN-Liste auf einer Schnittstelle in der Citrix ADC-Instanz konfigurieren:

    FEHLER: Zeitlimit für Vorgang überschritten

    FEHLER: Kommunikationsfehler mit der Packet-Engine

    [NSNET-4312]

  • Der Health Monitoring-Alarm stellt die PSU-Nummerierung falsch dar. Wenn das Stromversorgungskabel von PSU #1 getrennt wird, sendet die Gesundheitsüberwachung einen falschen Alarm, dass das Netzteil #2 ausgefallen ist.

    [NSPLAT-4985]

  • Auf SDX 8200/8400/8600-Plattformen hängt die SDX-Appliance an der Citrix Hypervisor-Konsole, wenn die SDX-Appliance oder die darauf laufenden VPX-Instanzen mehrmals neu gestartet werden. Wenn die Appliance hängt, erscheint die Meldung “INFO: rcu_sched detected stalls on CPUs/Tasks”. Problemumgehung: - Starten Sie die SDX-Appliance neu, indem Sie die NMI-Taste auf der Rückseite drücken.

    • From the LOM GUI, use NMI to restart the appliance.

    • Use LOM to restart the SDX appliance.

    [ NSPLAT-9155]

Citrix ADC VPX-Appliance

  • Wenn Sie versuchen, sich unmittelbar nach der Bereitstellung in Azure bei einer Citrix ADC VPX-Instanz anzumelden, funktionieren der Benutzername und das Kennwort möglicherweise nicht. Dieses Problem tritt auf, weil es nach der Bereitstellung einer Citrix ADC VPX-Instanz bis zu einer Minute dauern kann, bis die vom Benutzer angegebenen Anmeldeinformationen (Benutzername und Kennwort) beim ersten Start aktiv sind.

    Problemumgehung: Warten Sie eine Minute und melden Sie sich erneut an.

    [NSPLAT-10962]

  • Eine auf AWS bereitgestellte Citrix ADC VPX-Instanz kann nicht über die konfigurierten IP-Adressen (VIP, ADC IP, SNIP) kommunizieren, wenn die folgenden Bedingungen erfüllt sind:

    • Der AWS-Instanztyp ist M5/C5, die auf einem KVM-Hypervisor basieren

    • Die VPX-Instanz hat mehr als eine Netzwerkschnittstelle

    Dies ist eine AWS-Einschränkung, und AWS plant, das Problem bald zu beheben.

    Problemumgehung: Konfigurieren Sie separate VLANs für ADC IP, VIP und SNIP. Weitere Informationen zur Konfiguration von VLANs finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/networking/interfaces/configuring-vlans.html

    [NSPLAT-9830]

Citrix-Bot-Verwaltung

  • Die Geräte-Fingerprinting-Technik zur Erkennung von Bot-Traffic funktioniert nicht für XML-Antworten.

    [NSDOC-1047]

Citrix Gateway

  • Wenn Sie in Outlook Web App (OWA) 2013 im Einstellungsmenü auf “Optionen” klicken, wird das Dialogfeld “Kritischer Fehler” angezeigt. Außerdem reagiert die Seite nicht mehr.

    [CGOP-7269]

  • Auf den StoreFront-Server kann nicht zugegriffen werden, da das Citrix Gateway-Gerät die IP-Adresse des Client-Computers verwendet, anstatt das SNIP zu verwenden, um Datenverkehr an den StoreFront-Server zu senden.

    [NSHELP-19476]

  • In einigen Fällen gibt das nach außen gerichtete Citrix Gateway in einer Double-Hop-Bereitstellung mit aktiviertem ICA Insight den Kern für ein bestimmtes Netzwerkverkehrsmuster aus.

    [NSHELP-19487]

  • In Einzelfällen kommt es zu einem Speicherfehler, der einen Core-Dump verursacht, während ein beschädigter SSL-VPN-Authentifizierungs-, Autorisierungs- und Audit-Sitzungseintrag nach Ablauf des Timeouts gelöscht wird.

    [ NSHELP-19775]

  • Wenn Sie im XenApp- und XenDesktop-Assistenten auf “Retrieve Store” klicken, wird die folgende Fehlermeldung angezeigt. “StorePath konnte nicht vom StoreFront-FQDN abgerufen werden. “

    Problemumgehung: Geben Sie den Store manuell in “Receiver for Web Path” ein. “

    [NSHELP-20249]

  • Wenn Reverse-Split-Tunneling aktiviert ist, werden Intranetrouten entweder mit falschen Präfixwerten hinzugefügt oder gar nicht hinzugefügt.

    [NSHELP-20825]

  • Nach einem Upgrade von Citrix ADC und dem Gateway-Plug-In auf Version 13.0 Build 41.20 tritt bei Benutzern beim Versuch, den VPN-Tunnel einzurichten, ein BSOD-Fehler (Continuous Blue Screen of Death) auf.

    [NSHELP-20832]

  • Im AlwaysOn-Dienst mit Benutzer-Persona fällt der Maschinentunnel zeitweise aus, wenn sich der Benutzer abmeldet.

    [NSHELP-21163]

  • Für den Befehl “add vpn intranetApplication” wird die Beschreibung des Parameters “protocol” in der Manpage falsch angezeigt. Die Beschreibung hat “BOTH” als möglichen Wert anstelle von “ANY”. Die Manpage zeigt jedoch die möglichen Werte, die für die Konfiguration erforderlich sind, korrekt an.

    [NSHELP-8392]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [NSINSIGHT-2059]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [NSINSIGHT-2108]

  • Die ICA-Verbindung führt zu einem Skip-Parse während der ICA-Analyse, wenn Benutzer den MAC-Receiver zusammen mit Version 6.5 von Citrix Virtual App and Desktops (früher Citrix XenApp und XenDesktop) verwenden.

    Problemumgehung: Führen Sie ein Upgrade des Receivers auf die neueste Version der Citrix Workspace-App durch.

    [NSINSIGHT-924]

Citrix SDX-Appliance

  • Das Upgrade von SDX 26000-100G 15000-50 G-Appliances kann länger dauern. Infolgedessen zeigt das System möglicherweise die Meldung “Der Management Service konnte nach 1 Stunde 20 Minuten nicht verfügbar sein. Wenden Sie sich an den Administrator.”

    Problemumgehung: Ignorieren Sie die Meldung, warten Sie einige Zeit und melden Sie sich an der Appliance an.

    [NSSVM-3018]

Citrix Web App Firewall

  • Beim Bereitstellen einer Relaxationsregel mithilfe des Visualizers für gelernte Regeln wird eine Fehlermeldung angezeigt, die besagt, dass die Regel bereits hinzugefügt wurde.

    [NSHELP-18582]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Speichernutzung hoch ist und Speicherwerte aufgrund eines Anwendungsfehlers nicht freigegeben werden.

    [ NSHELP-18863]

  • In einem Hochverfügbarkeits-Setup kann die Aktivierung der IP-Reputationsfunktion zu Fehlern bei der Befehlsweiterleitung für hohe Verfügbarkeit führen.

    [ NSHELP-20010]

CloudBridge Connector

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie CloudBridge Connector, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln über die Citrix ADC GUI oder CLI hinzufügen.

    [NSUI-13024]

Clustering

  • Eine hohe CPU-Auslastung wird auf einer Citrix ADC-Appliance oder in einem Cluster-Setup beobachtet, wenn der Befehl “show ns ip” viele IP-Adressen anzeigt.

    [NSHELP-11193]

  • In einem Citrix ADC-Cluster-Setup kann der Flow-Prozessorknoten unter den folgenden Bedingungen auf eine SYN-Cookie-Ablehnung für eine TCP-Verbindung stoßen:

    • SYN-Cookie ist aktiviert

    • Der SYN-Spoof-Schutz ist deaktiviert

    Der Flow-Prozessorknoten verarbeitet die neuen TCP-Flusspakete als Streupakete und reagiert darauf mit einem Verbindungsreset.

    [NSHELP-20098]

GSLB

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein Backend-Server AUSGEFALLEN ist und die Appliance bei der Auswahl eines neuen Backend-Servers versucht, Serverinformationen wie RTT zu sammeln.

    [NSHELP-11969]

Lastausgleich

  • Die Umleitung einer HTTPS-URL schlägt fehl, wenn die URL das Sonderzeichen% enthält.

    [ NSHELP-19993]

  • Eine Citrix ADC VPX-Appliance wird mehrmals neu gestartet, nachdem sie nicht reagiert hat.

    [NSHELP-20435]

Netzwerke

  • Wenn die Citrix ADC-Appliance im Rahmen des Befehls remove eine große Anzahl von Serververbindungen bereinigt, wird der Pitboss-Prozess möglicherweise neu gestartet. Dieser Pitboss-Neustart kann zum Absturz der ADC-Appliance führen.

    [NSHELP-136]

  • Wenn ein statischer virtueller Server mit derselben IP-Adresse eines vorhandenen dynamischen virtuellen Servers (RNAT) hinzugefügt wird, stürzt die ADC-Appliance möglicherweise während einer Namenssuche in der Hashtabelle ab.

    [NSHELP-15851]

  • Beim Neustart der Citrix ADC-Appliance wird die Standardroute erstellt, bevor die IP-Adresse der Schnittstelle gefüllt wird. Aufgrund dieses Problems wird der nächste Hop einer Route auf NULL gesetzt, was zu einem Marsfehler führt.

    [NSHELP-16407]

Plattform

  • Auf der Citrix ADC SDX 26000-100G-Plattform wird die Schnittstelle nach dem Neustart der Appliance möglicherweise nicht angezeigt.

    Problemumgehung: Stellen Sie sicher, dass die automatische Aushandlung auf ON gesetzt ist. Um den Status der automatischen Aushandlung zu überprüfen und zu bearbeiten, navigieren Sie zu SDX GUI > System > Interfaces.

    [ NSPLAT-11985]

  • Die folgenden Citrix ADC SDX-Appliances werden mit VPX Version 13.0-41.x möglicherweise nicht richtig gestartet. Führen Sie ein Upgrade auf VPX Version 13.0-47.x oder spätere Builds durch.

    • SDX 11xxx

    • SDX 14xxx

    • SDX 14xxx-40S

    • SDX 14xxx-40G

    • SDX 14xxx FIPS

    • SDX 22 xxx

    • SDX 24 xxx

    • SDX 25xxx

    [NSSSL-7044]

SSL

  • In einem Cluster-Setup zeigt die laufende Konfiguration auf der Cluster-IP-Adresse (CLIP) die DEFAULT_BACKEND-Verschlüsselungsgruppe, die an Entitäten gebunden ist, wohingegen sie auf Knoten fehlt. Dies ist ein Display-Problem.

    [NSHELP-13466]

  • Der HTTPS-ECV-Monitor schlägt während eines SSL-Handshakes fehl, wenn alle der folgenden Bedingungen erfüllt sind:

    • Der Monitor ist an ein SSL-Profil gebunden.

    • Die Wiederverwendung von Sitzungen ist im SSL-Profil aktiviert.

    • Der Monitor ist an zwei oder mehr Backend-Server gebunden.

    • Auf den Servern laufen verschiedene Protokollversionen (z. B. TLS1.0 und TLS1.2).

    [NSHELP-18384]

  • Wenn Ihre ADC-Appliance in eine nicht unterstützte Version von Thales HSM integriert ist, stürzt die Appliance ab, nachdem der HSM-Schlüssel und das Zertifikat generiert, das Zertifikatsschlüsselpaar auf der Appliance installiert und an den virtuellen SSL-Server gebunden wurden. Mit diesem Fix meldet die Appliance einen Fehler, anstatt abzustürzen.

    [NSHELP-20352]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.

    FEHLER: CRL Refresh ist deaktiviert

    [NSSSL-6106]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:

    • add azure application

    • add azure keyvault

    • add ssl certkey with hsmkey option

    [NSSSL-6484, NSSSL-6379, NSSSL-6380]

System

  • Während einer Clear Config reagiert die MetricsCollector-Anwendung, die auf einer Citrix ADC-Appliance ausgeführt wird, nicht, aber sie wird möglicherweise vom PITBOSS-Modul neu gestartet.

    [NSBASE-7846]

  • Eine Citrix ADC-Appliance generiert möglicherweise einen falschen SNMP SYN Flood Entity Trap, wenn einige interne Verbindungen zu einer Diskrepanz zwischen der Anzahl der empfangenen TCP-SYN und der Anzahl der hergestellten TCP-Verbindungen führen.

    [NSHELP-18671]

  • Bei der rollenbasierten Authentifizierung (RBA) dürfen Gruppennamen nicht mit dem Zeichen “#” beginnen.

    [NSHELP-20266]

  • Die Speichernutzung steigt, wenn Sie das Proxy-Protokoll aktivieren und wenn aufgrund einer Netzwerküberlastung eine erneute Übertragung erfolgt.

    [NSHELP-20613]

  • Eine Citrix ADC-Appliance setzt MPTCP-Unterflüsse zurück, wenn ein Unterfluss länger als das Leerlaufzeitlimit aktiv und aktiv ist.

    [NSHELP-20648]

  • Eine Citrix ADC-Appliance setzt einen MPTCP-Subflow zurück, wenn sie eine einfache Bestätigung erhält, bevor der Subflow als MTPCP bestätigt wird.

    [NSHELP-20649]

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [NSPOLICY-1267]

URL-Filterung

  • In einem zusammengesetzten URLSet-Ausdruck wie <URL expression>. URLSET_MATCHES_ANY(URLSET1 || URLSET2)dem Feld “Urlset Matched” in einem Appflow-Datensatz spiegelt das Feld “Urlset Matched” nur den Status des zuletzt ausgewerteten URLSets wider. Wenn die angeforderte URL beispielsweise nur zu URLSET1 gehört, wird das Feld “URLSet Matched” auf 0 gesetzt, obwohl die URL zu einem der URLSets gehört. Infolgedessen ändert URLSET1 das Feld “URLSet Matched” auf 1, während URLSET2 es auf 0 zurücksetzt.

    [NSSWG-1100]

Videooptimierung

  • In bestimmten Szenarien kann es zu einem allmählichen Anstieg der Citrix ADC-Speicherauslastung kommen, wenn Sie die Videoerkennung in einem Cluster-Setup aktivieren. Der Anstieg ist jedoch gering genug, um den normalen Systembetrieb nicht zu beeinträchtigen

    [NSVIDEOOPT-921]

Versionshinweise für Citrix ADC 13.0-41.28 Release