Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Versionshinweise für Citrix ADC 13.0-47.24 Release

February 12, 2024
Beitrag von: 
C

Dieses Dokument mit den Versionshinweisen beschreibt die Verbesserungen und Änderungen, listet die behobenen Probleme auf und spezifiziert die vorhandenen Probleme für die Citrix ADC Version 13.0 Build 47.24.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.
  • Der Abschnitt mit bekannten Problemen ist kumulativ. Es enthält Probleme, die in dieser Version neu gefunden wurden, und Probleme, die in früheren Versionen von Citrix ADC 13.0 nicht behoben wurden.
  • Die [# XXXXXX]-Kennungen unter den Problembeschreibungen sind interne Tracking-IDs, die vom Citrix ADC-Team verwendet werden.
  • Build 47.24 ersetzt Build 47.22
  • Build 47.22 enthält die Behebung des CGOP-11856-Problems.

Was ist neu

Die Erweiterungen und Änderungen, die in Build 47.24 verfügbar sind.

Citrix Gateway

  • Unterstützung zum Filtern von Benutzerzertifikaten

    Um Zertifikate zu filtern, die für die Authentifizierung von Benutzerzertifikaten verwendet werden, können Administratoren die folgende Registrierung mit einer durch Kommas getrennten Liste von Zertifizierungsstellen konfigurieren:

    “HKLMSOFTWARECitrixSecure Access ClientUserCertCaList”

    [CGOP-11856]

Behobene Probleme

Die Probleme, die in Build 13.0-47.24 behoben wurden.

AppFlow

  • In HDX Insight zeigt die Verfügbarkeit für beendete Sitzungen die tatsächliche Sitzungsverfügbarkeit unabhängig vom ausgewählten Intervall an.

    [NSHELP-21380]

Authentifizierung, Autorisierung und Auditing

  • Eine Citrix ADC-Appliance überspringt den Benutzer, um weitere Gruppen unter den folgenden Bedingungen zu berücksichtigen:
    • Ein Benutzer ist ein direktes Mitglied der verschachtelten Gruppe.
    • Ein Benutzer ist bereits Mitglied früherer Levelgruppen.

    [NSHELP-21945]

  • Bei einem Citrix ADC Hochverfügbarkeits- und Cluster-Setup führt eine Verzögerung beim Freigeben des Speicherplatzes zu einer Anhäufung des Speichers.

    [NSHELP-21917]

  • Eine Citrix ADC-Appliance kann während der Auditprotokollierung abstürzen, wenn die Benutzerauthentifizierung mit einer zusätzlichen Anmeldeanforderung wie einer Kennwortänderung oder einer RADIUS-Herausforderung aufgefordert wird.

    [NSHELP-21703]

  • Ein Citrix Gateway-Gerät, das als SAML IdP für die Workspace-Anmeldung konfiguriert ist, kann bei der Abmeldung gelegentlich einen HTTP-404-Fehler zurückgeben.

    [NSHELP-21650]

  • Eine Citrix ADC-Appliance stürzt möglicherweise bei der Verbindungsbereinigung ab, wenn die folgenden Bedingungen erfüllt sind:
    • Der Datenverkehr wird von einem VPN-Setup geleitet.
    • SSO ist im Gange.
    • Seltenes Timing-Problem beim Schließen einer Client-Verbindung.

    [NSHELP-21504]

  • Eine Citrix ADC-Appliance, die für domänenübergreifendes Kerberos bereitgestellt wird, kann SSO möglicherweise nicht ausführen, wenn der Parameter KcdAccount mithilfe einer Keytab-Datei konfiguriert wird.

    [NSHELP-21406]

  • Eine als Forward-Proxy konfigurierte Citrix ADC-Appliance erlaubt keine NTLM-Authentifizierung mit HTTP 1.0-Clients.

    [NSHELP-21349]

  • In seltenen Fällen kann ein Citrix Gateway-Gerät abstürzen, wenn ein ungültiges HTTP-Paket empfangen wird.

    [NSHELP-21342]

  • Eine Citrix ADC-Appliance, die ein NTLM-Protokoll verwendet, kann SSO für die MAPI-Clients (Messaging Application Programming Interface) nicht ausführen.

    [NSHELP-21270]

  • Eine Citrix ADC-Appliance stürzt möglicherweise während der Authentifizierung, Autorisierung und Überwachung ab, wenn eine Paket-Engine eine Antwort zum Entfernen doppelter Sitzungen generiert.

    [NSHELP-21172]

  • Eine als SAML bereitgestellte Citrix ADC-Appliance kann gelegentlich keine SAML-basierte Abmeldung durchführen.

    [NSHELP-21093]

  • Die nFactor Flows-Seite auf der Citrix ADC GUI wird nicht mit Internet Explorer geöffnet.

    [NSHELP-21065]

  • In seltenen Fällen kann das Citrix Gateway-Gerät ausfallen, wenn Benutzer zur Eingabe eines einmaligen Codes aufgefordert werden.

    [NSHELP-20967]

  • Eine Citrix ADC-Appliance kann unter den folgenden Umständen ausfallen:
    • Die Citrix ADC-Appliance wurde mit OAuth- oder SAML-IdP-Aktionen sowie der Aktualisierung von Metadateninformationen aus einer externen Quelle konfiguriert.
    • Die Konfiguration wird geändert, während Daten von der externen Quelle abgerufen werden oder wenn die Authentifizierung läuft. Das gleiche Problem tritt auf, wenn Sie einen Befehl clear config ausführen.

    [NSHELP-20646]

  • Wenn der aktive Sync-Client eine HEAD-Anfrage sendet, authentifiziert die Citrix ADC-Appliance die 200 OK-Antwort nicht.

    [NSHELP-20125]

  • Der Protokollwechsel von HTTP zu WebSockets schlägt fehl, wenn SSO auf einer Citrix ADC-Appliance konfiguriert ist.

    [NSAUTH-6354]

  • Wenn Sie den virtuellen Authentifizierungsserver mithilfe der Optionen “End-to-End-Anmeldetest” oder “Endbenutzerverbindung testen” auf der Seite “Authentifizierungs-LDAP-Server erstellen” in der Citrix ADC GUI bearbeiten, wird eine Fehlermeldung angezeigt.

    [NSAUTH-6339]

Citrix ADC SDX-Appliance

  • Wenn Sie einen LDAP-Server unter SDX GUI > Konfiguration > System > Authentifizierung > LDAP hinzufügen, werden Sonderzeichen, die im Formulareingabetextfeld verwendet werden, nicht dekodiert, bevor sie angezeigt werden. Und das Zeichen “&” im Feld Basis-DN wird durch “&” ersetzt.

    [NSHELP-21488]

  • Nachdem Sie die SDX-Appliance in einem beliebigen Build auf Version 13.0 aktualisiert haben, kann auf Citrix ADC-Instanzen, die ohne Verwaltungsschnittstellen (0/1, 0/2) bereitgestellt wurden, nicht mehr zugegriffen werden.

    [NSHELP-21412]

  • Wenn Sie versuchen, mehrere VPX-Instanzen gleichzeitig neu zu starten, die auf einer SDX-Appliance ausgeführt werden, verschwinden der Kanal und die Datenschnittstellen für VPX-Instanzen aus dem SDX Management Service.

    [NSHELP-21124]

  • Nach dem Upgrade einer SDX-Appliance listet der SDX Management Service möglicherweise keine Ethernet-Schnittstellen auf. Dies passiert, wenn der Teil des Upgrades nach der Installation nicht erfolgreich ist.

    [NSHELP-21068]

  • Auf einer SDX-Appliance können gelegentlich Ereignisse mit hoher CPU-Auslastung auftreten. Dieser Anstieg ist darauf zurückzuführen, dass das Appliance-Backup ein CPU-intensiver Prozess ist. Die hohe CPU-Auslastung ist vorübergehend.

    [NSHELP-21063]

  • Die Appliance verliert die Schnittstellendetails, wenn mehr als drei Instanzen für den Neustart oder das Herunterfahren ausgewählt werden.

    [NSHELP-21040]

Citrix Gateway

  • Das Windows VPN-Plug-In stürzt ab, wenn die Sprache des Plug-In-Clients auf Chinesisch eingestellt ist.

    [NSHELP-21946]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn sie für Advanced Clientless VPN konfiguriert ist.

    [NSHELP-21819]

  • Nach einem Upgrade von Citrix Gateway auf Version 13.0 Build 47.24 schlägt die DNS-Auflösung über einen VPN-Tunnel fehl, da der lokale DNS-Server mit einem falsch positiven Ergebnis reagiert.

    [NSHELP-21794]

  • Die Enterprise Web Apps zeigen möglicherweise einen Fehler an, wenn die Cookies gesetzt wurden und gleichzeitig ablaufen.

    [NSHELP-21772]

  • Die Citrix Gateway-Anmeldeseite reagiert nicht mehr, wenn RFWebUI-basierte benutzerdefinierte Designs oder nFactor mit benutzerdefinierten Designs verwendet werden.

    [NSHELP-21763]

  • Die Bindungen der Intranetanwendung an die Authentifizierungs-, Autorisierungs- und Überwachungsgruppe gehen verloren, wenn Sie die Citrix ADC-Appliance nach dem Upgrade auf Version 13.0 Build 47.x neu starten.

    [NSHELP-21733]

  • Sie können nicht auf Links zugreifen, die mit 1https oder 0https beginnen.

    [NSHELP-21469]

  • Sie können eine Anwendung, die Advanced Clientless VPN verwendet, nicht über Lesezeichen starten, wenn der POST-Text der clientlosen VPN-Anwendung HTML-Code enthält, der mit ‘(einfache Anführungszeichen) oder “(doppelte Anführungszeichen) kodiert ist.

    [NSHELP-21361]

  • Es kann lange dauern, bis das Citrix Gateway VPN-Plug-In einen Tunnel zu einem Computer eingerichtet hat, wenn die Proxy-PAC-Datei nicht erreichbar ist.

    [NSHELP-21355]

  • In einigen Fällen gibt Citrix Gateway den Kern aus, wenn die folgenden Bedingungen erfüllt sind:

    • Die EDT Insight-Funktionalität ist für das Citrix Gateway-Gerät aktiviert.
    • Die Appliance empfängt ein defektes CGP-BINDRESP-Paket vom VDA.

    [NSHELP-21296]

  • Auf einigen Computern werden die Schaltflächen im EPA-Prompt-Fenster (JA, NEIN, IMMER) nicht auf dem EPA-Plug-In-Bildschirm angezeigt.

    [NSHELP-21276]

  • In einem Citrix Gateway-Hochverfügbarkeits-Setup stürzt der sekundäre Knoten während der Hochverfügbarkeitssynchronisierung ab, wenn die Protokollierung auf der Citrix Web App Firewall global aktiviert ist.

    [NSHELP-21254]

  • Wenn Sie clientloses VPN (CVPN) auf Citrix Gateway konfiguriert haben, stürzt die Appliance möglicherweise aufgrund einer fehlerhaften Rewrite-Behandlung ab.

    [NSHELP-21244]

  • In einem Citrix Gateway-Setup mit hoher Verfügbarkeit stürzt der sekundäre Knoten möglicherweise ab, wenn Gateway Insight aktiviert ist.

    [NSHELP-21184]

  • Wenn zwei oder mehr Client-Computer versuchen, eine VPN-Tunnelverbindung zu demselben Gateway herzustellen, schlägt die Ping-Verbindung von einem Client-Computer zu einem anderen Computer fehl.

    [NSHELP-21169]

  • Manchmal stürzt die Citrix ADC-Appliance während der Übertragungsanmeldung ab.

    [NSHELP-21134]

  • Benutzer können sich nicht bei Citrix Gateway anmelden, wenn der Hostname des virtuellen VPN-Servers “cvpn” in seinem Namen enthält.

    [NSHELP-21119]

  • Wenn Sie den erweiterten clientlosen VPN-Zugriff konfiguriert haben, können die Lesezeichen von SAP-Anwendungen nicht richtig angezeigt werden, wenn in den Enterprise Web Apps eine Kodierung wie (‘x3a’ oder ‘&%23x3a’ für ‘:’) verwendet wird.

    [NSHELP-21072]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab und gibt den Kern aus, wenn die Speicherzuweisung für Client- und Server-Prozesssteuerungsblöcke fehlschlägt.

    [NSHELP-20961]

  • Wenn Reverse-Split-Tunneling aktiviert ist, werden Intranetrouten entweder mit falschen Präfixwerten hinzugefügt oder gar nicht hinzugefügt.

    [NSHELP-20825]

  • In einem Citrix Gateway-Hochverfügbarkeits-Setup stürzt der sekundäre Knoten möglicherweise ab, wenn keine Richtlinien konfiguriert sind und Sie den Knoten von Version 12.0 auf Version 13.0 aktualisieren.

    [NSHELP-20790]

  • Wenn auf die Backend-Server nicht zugegriffen werden kann, gehen den Clients die Verbindungen aus und es sind keine neuen Verbindungen zum Backend erfolgreich.

    [NSHELP-20535]

  • Ein für den ICA-Proxy konfiguriertes Citrix Gateway-Gerät stürzt manchmal ab.

    [NSHELP-20478]

  • In einigen Fällen gibt das nach außen gerichtete Citrix Gateway in einer Double-Hop-Bereitstellung mit aktiviertem ICA Insight den Kern für ein bestimmtes Netzwerkverkehrsmuster aus.

    [NSHELP-19487]

  • Sie können jetzt die RFWebUI-Parameter wie LogInformTimeout und Session Timeout konfigurieren, indem Sie die Datei plugins.xml bearbeiten.

    [NSHELP-19221]

  • Nach einem Upgrade von Citrix ADC und dem Gateway-Plug-In auf Version 13.0 Build 41.20 tritt bei Benutzern beim Versuch, den VPN-Tunnel einzurichten, ein BSOD-Fehler (Continuous Blue Screen of Death) auf.

    [CGOP-12099]

Citrix Web App Firewall

  • Die Citrix ADC-Appliance blockiert Closure-URLs nach zwei Minuten, wenn der URL-Schließschutz aktiviert ist.

    [NSWAF-3292]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein Web App Firewall-Profil die Richtlinienaktionen APPFW_DROP und APPFW_RESET verwendet.

    [NSHELP-21283]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn APPFW_DROP und APPFW_RESET als Web App Firewall-Richtlinienaktionen verwendet werden.

    [NSHELP-21220]

  • Die Citrix ADC-Appliance stürzt möglicherweise aufgrund eines Speicherfehlers ab, wenn die Citrix Web App Firewall-Funktion aktiviert ist.

    [NSHELP-21201]

  • Eine Citrix ADC-Appliance stürzt möglicherweise aufgrund eines Fehlers bei der Speicherzuweisung ab.

    [NSHELP-21071]

  • Eine Citrix ADC-Appliance setzt die Verbindung zurück, wenn eine eingehende GWT-Anfrage eine Abfragezeichenfolge in der URL enthält.

    [NSHELP-20564]

  • Nach einem Upgrade von Build 12.0-58.15 auf 12.0-62.8 funktioniert die URL-Transformationsfunktion für einige URLs nicht. Das Problem wird durch eine falsche Kanonisierung beim Umschreiben von URLs verursacht.

    [NSHELP-20460]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie einen langsamen FTP/HTTP-Server zum Herunterladen von Signaturen verwenden und wenn die Downloadzeit mehr als 10 Minuten beträgt.

    [NSHELP-18331]

Lastausgleich

  • Die Citrix ADC-Appliance stürzt möglicherweise während der GSLB-Synchronisierung ab. Dieses Problem tritt auf, wenn der Befehl “set gslb service” auf einem nicht existierenden GSLB-Dienst ausgeführt wird.

    [NSHELP-21304]

  • Nach dem Verbindungsfailover, wenn die sekundäre Appliance zur neuen primären Appliance wird, wird ein Paketverlust beobachtet.

    [NSHELP-21155]

  • Wenn Sie den Befehl set service <servicename> ausführen, wird die folgende Fehlermeldung angezeigt:
    “Die IP-Adresse kann auf einem domänenbasierten Server nicht festgelegt werden.”

    Diese Fehlermeldung wird angezeigt, wenn der Server mit einem Namen mit mehr als 32 Zeichen konfiguriert ist.

    [NSHELP-20939]

  • Wenn Sie bei einem GSLB-Setup in einem Cluster den Befehl set rpcnode ausführen, wird die Quell-IP-Adresse in einem RPC-Knoten in die NSIP-Adresse geändert. Daher verwendet GSLB beim Initiieren einer MEP-Verbindung die NSIP-Adresse anstelle der SNIP-Adresse.

    [NSHELP-20552]

  • Wenn Sie in einem Cluster-Setup den Befehl “unset lb vserver test -RedirectFromPort” ausführen, wird der HTTP-Umleitungsport für den virtuellen Lastausgleichsserver nicht aus der Datenbank gelöscht.

    [NSHELP-20518]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Persistenz im IPv6-Hochverfügbarkeits-Setup aktiviert ist.

    [NSHELP-20219]

Sonstiges

  • In einem zusammengesetzten URLSet-Ausdruck wie <URL expression>.URLSET_MATCHES_ANY(URLSET1 || URLSET2)dem Feld “Urlset Matched” in einem Appflow-Datensatz spiegelt das Feld “Urlset Matched” nur den Status des zuletzt ausgewerteten URLSets wider. Wenn die angeforderte URL beispielsweise nur zu URLSET1 gehört, wird das Feld URLSet Matched auf 0 gesetzt, obwohl die URL zu einem der URLSets gehört. Infolgedessen ändert URLSET1 das Feld URLSet Matched auf 1, während URLSET2 es auf 0 zurücksetzt.

    [NSSWG-1100]

  • Die URL-Filterung schlägt fehl, wenn hinter dem Domänennamen eine eingehende URL einen doppelten Schrägstrich hat. Das Schema “http://” wird vorangestellt. Zum Beispiel www.example.com//index.html

    [NSSWG-1082]

  • Das folgende Verhalten wird in einer Citrix ADC-Appliance und in Citrix Gateway beobachtet:
    • Die Citrix ADC-Appliance reagiert möglicherweise nicht mehr, wenn sie als Proxy bereitgestellt wird und SSO für die Back-End-Anwendungen aktiviert ist.
    • Das gleiche Verhalten wird in Citrix Gateway mit der Konfiguration des ausgehenden Proxys beobachtet.

    [NSHELP-21437]

  • Die Citrix ADC-Appliance stürzt möglicherweise zeitweise ab, wenn die DWR-Überprüfung
    (Device Watchdog Request) für die Policy and Charging Rules Function (PCRF) aktiviert ist und der PCRF nicht mehr erreichbar ist.

    [NSHELP-20827]

  • Wenn Sie den Befehl show techsupport -scope cluster ausführen, wird der folgende Fehler für alle Citrix ADC SDX-Appliances angezeigt:

    Dies ist eine Instanz mit geringer Bandbreite

    [NSHELP-20666]

Netzwerke

  • Eine Citrix ADC BLX-Appliance mit DPDK-Unterstützung kann nicht gestartet werden und gibt den Kern aus, wenn DPDK auf dem Linux-Host falsch konfiguriert ist (z. B. wenn Hugepages nicht konfiguriert sind).

    Weitere Informationen zur Konfiguration von DPDK auf einem Linux-Host für die Citrix ADC BLX-Appliance finden Sie unter https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html

    [NSNET-11349]

  • Eine Citrix ADC BLX-Appliance kann aufgrund einer DPDK-Fehlkonfiguration (z. B. wenn Hugepages nicht konfiguriert sind) auf dem Linux-Host nicht gestartet werden. Sie müssen den Startbefehl (systemctl start blx) zweimal ausführen, um die Citrix ADC BLX-Appliance zu starten.

    [NSNET-11107]

  • Der Befehl sh IP BGP summary in der VTYSH-Befehlszeile zeigt die 32-Bit-ASN-Werte fälschlicherweise als negative Werte an.

    [NSHELP-21234]

  • Auf einer Citrix ADC-Appliance werden Verwaltungsverbindungen zu IPv6-Subnetz-IP-Adressen möglicherweise zurückgesetzt, wenn Sie den Grundvorgang Clear Config ausführen.

    [NSHELP-21206]

  • Während des Set-Partitionsvorgangs wird der maximale Speicher der Partition jetzt auf nur NS_SYS_MEM_FREE () erhöht. Zuvor wurde es auf den maximal verfügbaren Speicher erhöht, damit die konfigurierte Partition nach dem Neustart der Citrix ADC-Appliance nicht verloren geht.

    [NSHELP-21159]

  • Der Citrix ADC kann den nächsten Hop von Intermediate System to Intermediate System (IS-IS) nicht installieren, da die Authentifizierungsinformationen (AUTH) auf den empfangenen großen Link State PDUs (LSPs) fehlen.

    [NSHELP-21062]

  • Nach einem Systemneustart kündigt die Citrix ADC-Appliance 180 Sekunden lang Routen mit einer reduzierten Metrik an.

    [NSHELP-20842]

  • Die FTP-Datenverbindung im passiven Modus reagiert während der transparenten virtuellen Serverbereitstellung im MAC-Modus nicht mehr.

    [NSHELP-20698]

  • Die Citrix ADC-Appliance überspringt möglicherweise Policy-Based Routes (PBR) -Regeln für ausgehende Monitorpakete vom Typ UDP und ICMP.

    [NSHELP-20545]

Plattform

  • Wenn Sie die Citrix ADC VPX-Appliance warm neu starten, können die Abonnementlizenzen unter den folgenden Bedingungen verloren gehen:

    • Verwendung der auf Elastic Network Adapter (ENA) basierenden AWS-Instanztypen: C5, C5n, M4 und M5.
    • Aktivierung der ENA-Schnittstelle auf vorhandenen unterstützten AWS-Instanzen.

    [NSPLAT-13467]

  • Tx-Stalls können auf Citrix ADC MPX-Appliances auftreten, die 10G IXGBE-Ports verwenden, und Citrix ADC SDX-Appliances, die 10G IXGBEVF-Ports verwenden.

    [ NSPLAT-13338 ]

  • Unterstützung für neue Citrix ADC SDX-HardwareplattformenDiese Version unterstützt jetzt die folgenden neuen Plattformen:

    [NSPLAT-12815]

  • Nach dem Upgrade der Citrix ADC SDX 8900- und SDX 15000 50G-Appliances auf Version 11.1 63.9 werden 10G-NICs auf den Appliances nicht angezeigt. Dieses Problem verhindert, dass die VPX-Instanzen gestartet werden. Infolgedessen werden die Instanzen nicht mehr erreichbar.

    [ NSPLAT-12093 ]

  • In einigen Fällen, wenn Sie eine oder mehrere VPX-Instanzen auf einer Citrix ADC SDX-Appliance mit Fortville-NICs neu starten, geht LACP auf den Schnittstellen möglicherweise in den Status “Standard” über.

    [NSHELP-21091, NSHELP-20769, NSHELP-23159, NSHELP-23191]

  • In einigen Fällen reagiert die SDX 14000-Appliance möglicherweise nicht mehr und muss neu gestartet werden.

    [NSHELP-21017]

  • Bei der VPX-Bereitstellung auf der Cisco CSP 2100-Plattform können gelegentlich Pakete verworfen werden, wenn mehr als eine virtuelle Funktion (VF) aus der physischen Netzwerkschnittstellenkarte (pNIC) erstellt wird.

    [NSHELP-20991]

  • Bei Appliances, die Fortville-Schnittstellen enthalten, kann ein Tx-Stall beobachtet werden, wenn ein Paket mehr als acht Deskriptoren umfasst. Der Stall kann dazu führen, dass die Schnittstelle in den fehlerhaft deaktivierten Zustand übergeht.

    [NSHELP-20800]

Richtlinien

  • Eine Citrix ADC-Appliance kann abstürzen, wenn beim Umschreiben von Chunk-Daten nur wenige Netzwerkpuffer vorhanden sind.

    [NSHELP-20847]

SSL

  • In einigen Fällen können die folgenden Appliances abstürzen, während SSL-Verkehr ausgeführt wird:
    • MPX 59xx
    • MPX/SDX 89xx
    • MPX/SDX MPX 26xxx
    • MPX/SDX 26xxx-50S
    • MPX/SDX 26xxx-100 g
    • MPX/SDX 15xxx-50G

    [NSSSL-7606]

  • Die richtlinienbasierte Clientauthentifizierung mit obligatorischer Zertifikatsüberprüfung schlägt fehl, wenn die Clientauthentifizierung mit optionalem Client-Zertifikat auch auf dem virtuellen Server konfiguriert ist.

    [NSHELP-21190]

System

  • Analyseberichte werden nicht auf der Citrix ADM GUI angezeigt, wenn Sie:
    1. Installieren Sie ADM 12.1.52.15 oder höher.
    2. Wählen Sie den Logstream-Transportmodus, um Analysen für Instanzen zu konfigurieren.

    [NSHELP-21618]

  • Eine Citrix ADC-Appliance setzt HTTP/2-Streams auf einer Clientverbindung mit einem HTTP/2-RST_STREAM nach einem Leerlauf-Timeout nicht zurück.

    [NSHELP-21537]

  • Eine Clientverbindung reagiert nicht mehr, wenn Sie Multiplexing in einem HTTP/2-Profil auf einer Citrix ADC-Appliance aktivieren.

    [NSHELP-21434]

  • Eine Citrix ADC-Appliance leitet keine Antwort an den Client weiter, wenn sie sowohl Trailer- als auch Inhaltslängenheader enthält.

    [NSHELP-21427]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein Speicherzuweisungsfehler für den sicheren HTTP/2-Monitor auftritt.

    [NSHELP-21400]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die AppQoE-Aktion fehlschlägt.

    [NSHELP-21393]

  • Eine HTTP-Transaktion kann fehlschlagen, wenn eine Citrix ADC-Appliance eine HTTP/2-Anfrage mit mehreren Cookie-Namen-Wert-Paaren an den Back-End-Server sendet.

    [NSHELP-21373]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn sie eine HTTP/1.1-Anfrage mit einer HTTP/2.0-Version empfängt. Jede Client-Anfrage mit einer HTTP/2.0-Version betrachtet die Appliance als HTTP/2.0-Anfrage und verarbeitet sie. Dies führt zu einem Absturz.

    [NSHELP-21187]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Appflow Client-Side Measurements aktiviert ist, wenn große HTTP-Antworten bereitgestellt werden.

    [NSHELP-21099]

  • Der Befehl show connectiontable zeigt einige Einträge an, die den genannten Filter unter den folgenden Bedingungen nicht erfüllen:
    • Der Befehl wird bei hohem Datenverkehr ausgeführt.
    • Der Befehl wird mit einem IP- oder Portfilter verwendet.

    [NSBASE - 9509]

Benutzeroberfläche

  • Die gepoolte Kapazitätslizenzierung von Citrix ADC schlägt möglicherweise fehl, wenn die Latenz zwischen ADC und ADM hoch ist. Dieses Problem tritt auf, wenn die Latenz mehr als 200 ms beträgt.

    Der Citrix ADC-Lizenzclient versucht wiederholt, die Lizenzen von ADM auszuchecken. In einem Hochverfügbarkeits- und Cluster-Setup werden Lizenzkonfigurationen unnötig neu angewendet, wenn die Synchronisation ausgelöst wird. Die Weitergabe und Synchronisation der gepoolten Lizenzbefehle sind deaktiviert. Jeder Knoten muss unabhängig lizenziert werden, indem Sie sich beim NSIP des Knotens anmelden. Sie können nur Show-Befehle auf der Cluster-IP ausführen.

    [NSUI-14868, NSHELP-22045]

  • Nach dem Upgrade auf Build 12.1-55.x wird die Appliance möglicherweise ohne Lizenz gestartet, wenn die Pool-Lizenzierung konfiguriert ist. Infolgedessen sind alle Funktionen deaktiviert und jede Konfiguration, die lizenzabhängig ist, fehlt in der laufenden Konfiguration. Führen Sie einen Warmstart durch, um die Poollizenz und die Konfiguration wiederherzustellen.
    Vorsicht: Führen Sie “Save Config” nicht aus und erzwingen Sie keinen HA-Failover auf einer nicht lizenzierten Appliance.

    [NSUI-7869]

  • KeyError-Ausnahmen werden beobachtet, wenn die Zählabfrage in einer Citrix ADC-Appliance nicht funktioniert.

    [NSHELP-20979]

  • Die Details der Serverstatistiken für den Lastausgleich sind im Citrix ADC GUI-Dashboard falsch ausgerichtet.

    [NSHELP-20752]

  • Während einer Partitionsbereitstellung kann eine partitionierte Appliance abstürzen, wenn Sie die Befehle “uiinternal” und dann “clear config” in der Standardpartition ausführen.

    [NSHELP-20247]

  • In bestimmten Szenarien wird der Benutzername (angegeben mit einem Zeichen “%u”) in der Eingabeaufforderung nicht korrekt angezeigt.

    [ NSHELP-19991 ]

  • Die Citrix ADC-Befehlsschnittstelle und die GUI zeigen die Einstellung des Systemzeitparameters für einige SNMP-Alarme nicht an.

    [NSHELP-19958]

  • Sie können mit der Citrix ADC GUI keine Backupdatei abrufen, wenn der Dateiname 61 bis 63 Zeichen lang ist, obwohl die maximale Grenze 63 Zeichen beträgt.

    [NSHELP-11667]

  • Das Citrix Gateway-Gerät sendet für jede Anmeldung an der Appliance doppelte RADIUS-Zugriffsanforderungen an den RADIUS-Authentifizierungsdienst.

    [NSHELP-11148]

Bekannte Probleme

Die Probleme, die in Version 13.0 bestehen.

Appflow

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein Timing-Problem auftritt, wenn die Appflow-Aktion nach Abschluss einer Transaktion und vor dem Schließen einer Verbindung entfernt wird.

    [NSBASE-9345]

Authentifizierung, Autorisierung und Auditing

  • Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

    [NSAUTH-6106]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.

    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und geben Sie den Befehl show adfsproxyprofile <profile name> an. Er zeigt den Status des Proxyprofils an.

    [NSAUTH-5916]

  • Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

    [NSHELP-563]

Citrix ADC GUI

  • Wenn die Funktion “Kennwortänderung für den nsroot-Benutzer erzwingen, wenn das Standard-NSroot-Kennwort verwendet wird” aktiviert ist und das nsroot-Kennwort bei der ersten Anmeldung an der Citrix ADC-Appliance geändert wird, wird die Änderung des nsroot-Kennworts nicht an Nicht-CCO-Knoten weitergegeben. Wenn sich ein nsroot-Benutzer an Nicht-CCO-Knoten anmeldet, fragt die Appliance daher erneut nach einer Kennwortänderung.

    [NSCONFIG-2370]

Citrix ADC SDX-Appliance

  • Der NTP-Dienst von Citrix ADC SDX Management Service reagiert auf NTP-Abfragen. Der Management Service bietet jedoch keine Option zum Konfigurieren von Einschränkungen für NTP-Abfragen.

    Problemumgehung: Ändern Sie manuell /flash/mpsconfig/ntp.conf und aktivieren Sie dann vom Management Service aus erneut die NTP-Synchronisierung, damit die Änderung wirksam wird. Diese Änderung geht jedoch verloren, wenn die NTP-Serverkonfigurationen geändert werden.

    [NSHELP-12246]

  • Die folgenden Fehlermeldungen können angezeigt werden, wenn Sie mehr als 100 VLANs in der TrunkAllowedVLAN-Liste auf einer Schnittstelle in der Citrix ADC-Instanz konfigurieren:

    FEHLER: Zeitlimit für Vorgang überschritten

    FEHLER: Kommunikationsfehler mit der Packet-Engine

    [NSNET-4312]

Citrix ADC VPX-Appliance

  • Eine auf AWS bereitgestellte Citrix ADC VPX-Instanz kann nicht über die konfigurierten IP-Adressen (VIP, ADC IP, SNIP) kommunizieren, wenn die folgenden Bedingungen erfüllt sind:

    • Der AWS-Instanztyp ist M5/C5, die auf einem KVM-Hypervisor basieren

    • Die VPX-Instanz hat mehr als eine Netzwerkschnittstelle

    Dies ist eine AWS-Einschränkung, und AWS plant, das Problem bald zu beheben.

    Problemumgehung: Konfigurieren Sie separate VLANs für ADC IP, VIP und SNIP. Weitere Informationen zur Konfiguration von VLANs finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/networking/interfaces/configuring-vlans.html

    [NSPLAT-9830]

  • Nachdem Sie eine Citrix ADC VPX-Instanz auf eine niedrigere Version heruntergestuft haben, bleibt die Instanz beim Neustart hängen. Dieses Problem tritt auf, wenn Ihrer Instanz mehr als ein CPU-Kern zugewiesen ist.

    [NSPLAT-12603]

Citrix Gateway

  • Wenn Sie in Outlook Web App (OWA) 2013 im Einstellungsmenü auf “Optionen” klicken, wird das Dialogfeld “Kritischer Fehler” angezeigt. Außerdem reagiert die Seite nicht mehr.

    [CGOP-7269]

  • Wenn die StoreFront-FQDN-Auflösung auf dem Client länger als erwartet dauert, verwendet Citrix Gateway die Client-IP-Adresse als Quell-IP-Adresse, um Datenverkehr an den StoreFront-Server zu senden.

    [NSHELP-19476]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [NSINSIGHT-2059]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [NSINSIGHT-2108]

  • Die ICA-Verbindung führt zu einem Skip-Parse während der ICA-Analyse, wenn Benutzer den MAC-Receiver zusammen mit Version 6.5 von Citrix Virtual App and Desktops (früher Citrix XenApp und XenDesktop) verwenden.

    Problemumgehung: Führen Sie ein Upgrade des Receivers auf die neueste Version der Citrix Workspace-App durch.

    [NSINSIGHT-924]

Citrix SDX-Appliance

  • Das Upgrade von SDX 26000-100G 15000-50 G-Appliances kann länger dauern. Infolgedessen zeigt das System möglicherweise die Meldung “Der Management Service konnte nach 1 Stunde 20 Minuten nicht verfügbar sein. Wenden Sie sich an den Administrator.”

    Problemumgehung: Ignorieren Sie die Meldung, warten Sie einige Zeit und melden Sie sich an der Appliance an.

    [NSSVM-3018]

Citrix Web App Firewall

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Speichernutzung hoch ist und Speicherwerte aufgrund eines Anwendungsfehlers nicht freigegeben werden.

    [ NSHELP-18863]

CloudBridge Connector

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie Cloudbridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der Citrix ADC GUI oder CLI hinzufügen.

    [NSUI-13024]

Lastausgleich

  • Eine Citrix ADC VPX-Appliance wird mehrmals neu gestartet, nachdem sie nicht reagiert hat.

    [NSHELP-20435]

Netzwerke

  • Wenn die Citrix ADC-Appliance im Rahmen des Befehls remove eine große Anzahl von Serververbindungen bereinigt, wird der Pitboss-Prozess möglicherweise neu gestartet. Dieser Pitboss-Neustart kann zum Absturz der ADC-Appliance führen.

    [NSHELP-136]

Plattform

  • Auf der Citrix ADC SDX 26000-100G-Plattform wird die Schnittstelle nach dem Neustart der Appliance möglicherweise nicht angezeigt.

    Problemumgehung: Stellen Sie sicher, dass die automatische Aushandlung auf ON gesetzt ist. Um den Status der automatischen Aushandlung zu überprüfen und zu bearbeiten, navigieren Sie zu SDX GUI > System > Interfaces.

    [ NSPLAT-11985]

SSL

  • In einem Cluster-Setup zeigt die laufende Konfiguration auf der Cluster-IP-Adresse (CLIP) die DEFAULT_BACKEND-Verschlüsselungsgruppe, die an Entitäten gebunden ist, wohingegen sie auf Knoten fehlt. Dies ist ein Display-Problem.

    [NSHELP-13466]

  • Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:

    • add azure application

    • add azure keyvault

    • add ssl certkey with hsmkey option

    [NSSSL-6484, NSSSL-6379, NSSSL-6380]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.

    FEHLER: CRL Refresh ist deaktiviert

    [NSSSL-6106]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

System

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [NSPOLICY-1267]

Web Citrix Web App Firewall

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein Fehlerfall bei der Kreditkartenüberprüfung falsch behandelt wurde.

    [NSHELP-20562]

Was ist neu in früheren Versionen von Citrix ADC 13.0

Die Verbesserungen und Änderungen, die in Citrix ADC 13.0-Versionen vor Build 47.24 verfügbar waren. Die unter der Problembeschreibung angegebene Build-Nummer gibt den Build an, in dem diese Erweiterung oder Änderung bereitgestellt wurde.

AppFlow

  • Unterstützung für Logstream in Admin-Partitionen

    Eine Citrix ADC-Appliance kann jetzt Logstream-Datensätze von Admin-Partitionen senden.

    [Aus Build 41.28]

    [NSBASE-4777]

  • Überwachung von Logstream-Datensätzen über die NSIP-Adresse

    Eine Citrix ADC-Appliance kann jetzt mithilfe der NSIP-Adresse eine Verbindung zu Citrix ADM herstellen, um Logstream-Datensätze zu senden.

    [Aus Build 41.28]

    [NSBASE-7400]

Authentifizierung, Autorisierung und Auditing

  • Unterstützung der Erneuerung des Vertrauens für ADFSPIP

    Sie können jetzt das Vertrauen der vorhandenen Zertifikate erneuern, die kurz vor dem Ablauf stehen oder wenn das vorhandene Zertifikat nicht gültig ist. Die Vertrauenserneuerung von Zertifikaten erfolgt nur, wenn die Vertrauensstellung zwischen der Citrix ADC-Appliance und dem ADFS-Server hergestellt ist.

    [Aus Build 47.22]

    [NSAUTH-27]

  • Unterstützung von Name-Wert-Attributen für OAuth-Authentifizierung

    Sie können jetzt OAuth-Authentifizierungsattribute mit einem eindeutigen Namen zusammen mit Werten konfigurieren. Die Namen werden im OAuth-Aktionsparameter konfiguriert und die Werte werden durch Abfragen der Namen abgerufen. Durch Angabe des Attributwerts für den Namen können Administratoren einfach nach dem Attributwert suchen, der dem Attributnamen zugeordnet ist. Außerdem müssen sich Administratoren das Attribut nicht mehr nur anhand seines Wertes merken.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/oauth-authentication.html#name-value-attribute-support-for-oauth-authentication.

    [Aus Build 41.28]

    [NSAUTH-5563]

  • Unterstützung für benutzerdefinierte Authentifizierungsklassenreferenzen für SAML SP

    Sie können jetzt ein benutzerdefiniertes Referenzattribut für die Authentifizierungsklasse im SAML-Aktionsbefehl konfigurieren. Mit dem benutzerdefinierten Klassenreferenzattribut für die Authentifizierung können Sie die Klassennamen in den entsprechenden SAML-Tags anpassen.

    [Aus Build 47.22]

    [NSAUTH-603, NSAUTH-58, NSHELP-451]

  • Verbesserungen von nFactor Visualizer

    Die folgenden Verbesserungen wurden im nFactor Visualizer vorgenommen:

    • Admins können nun die Faktoren, die keine Verbindungen haben, verschieben, indem sie die Faktoren per Drag & Drop in das Papierkorbsymbol ziehen.

    • Die nFactor-Flows können jetzt auch auf der Seite Authentication Virtual Server angezeigt werden.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.html#enhancements-to-the-nfactor-visualizer.

    [Aus Build 41.28]

    [NSAUTH-6159]

  • Unterstützung der auf Client-Zertifikaten basierenden Authentifizierung für das Active Directory Federation Service Proxy Integration Protocol

    Die auf Clientzertifikaten basierende Authentifizierung wird jetzt für das Active Directory Federation Service Proxy Integration Protocol unterstützt.

    Hinweis: Diese Funktion befindet sich derzeit in der technischen Vorschauversion.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/adfspip-compliance.html#client-certificate-based-authentication-on-adfs-server.

    [Aus Build 41.28]

    [NSAUTH-6457]

  • Standard-Cache-Richtlinie für die Authentifizierung virtueller Server für verbesserte Leistung

    Eine Citrix ADC-Appliance kann jetzt Standard-Cache-Richtlinien auf alle virtuellen Authentifizierungsserver anwenden. Diese Richtlinien werden standardmäßig verknüpft, wenn ein virtueller Authentifizierungs-, Autorisierungs- und Überwachungsserver erstellt wird. Infolgedessen werden alle GUI-Seiten zwischengespeichert und von einem Citrix ADC-Cache-Modul aus bereitgestellt, wodurch die Belastung der Management-CPU und des HTTP-Daemons reduziert wird. Außerdem können mehr Benutzer gleichzeitig bedient werden.

    [Aus Build 47.22]

    [NSAUTH-6654]

  • Unterstützung für die Verschlüsselung von OTP-Daten und die Migration vorhandener OTP-Daten in eine verschlüsselte Form

    Aus Sicherheitsgründen können Sie die geheimen OTP-Daten jetzt in einem verschlüsselten Format anstelle von Klartext speichern. Ab Citrix ADC Version 13.0 Build 41.xx werden OTP-Daten automatisch in einem verschlüsselten Format gespeichert, wenn die erforderliche Konfiguration festgelegt ist. Für bestehende OTP-Daten im Klartext können Sie jedoch das OTP-Verschlüsselungstool verwenden, um vom Klartext zum verschlüsselten Format zu migrieren. Das OTP-Verschlüsselungstool kann auch verwendet werden, um die vorhandenen Zertifikate auf neue Zertifikate zu aktualisieren.

    Das OTP-Verschlüsselungstool befindet sich in der “var”

    Verzeichnis “etscalerotptool”. Sie müssen das Tool von diesem Speicherort herunterladen und das Tool mit den erforderlichen AD-Anmeldeinformationen und Voraussetzungen ausführen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/native-otp-authentication/otp-encrypt-secret.html und https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/native-otp-authentication/otp-encryption-tool.html.

    [Aus Build 41.28]

    [NSAUTH-74]

  • Assertion Consumer Service (ACS) -URL-Unterstützung für SAML IdP

    Eine als SAML Identity Provider (IdP) konfigurierte Citrix ADC-Appliance unterstützt jetzt die ACS-Indizierung zur Verarbeitung von SAML Service Provider (SP) -Anfragen. Der SAML-IdP importiert die ACS-Indizierungskonfiguration aus SP-Metadaten oder ermöglicht die manuelle Eingabe von ACS-Indexinformationen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/saml-authentication/citrix-adc-saml-idp.html#assertion-consumer-service-url-support-for-saml-idp.

    [Aus Build 41.28]

    [NSHELP-20228]

Citrix ADC BLX-Appliance

  • DPDK-Unterstützung für Citrix ADC BLX-Appliances

    Citrix ADC BLX-Appliances unterstützen jetzt das Data Plane Development Kit (DPDK), eine Reihe von Linux-Bibliotheken und Netzwerkschnittstellencontrollern für eine bessere Netzwerkleistung. Die Citrix ADC BLX-Appliance unterstützt DPDK nur im dedizierten Modus.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html.

    [Aus Build 41.28]

    [NSNET-2456]

  • Unterstützung des dynamischen IPv4-OSPF-Routing-Protokolls für Citrix ADC BLX-Appliances

    Citrix ADC BLX-Appliances unterstützen jetzt das dynamische Routing-Protokoll IPv4 OSPF (OSPFv2).

    [Aus Build 47.22]

    [NSNET-7783]

  • Unterstützung des dynamischen BGP-Routing-Protokolls für Citrix ADC BLX-Appliances

    Citrix ADC BLX-Appliances unterstützen jetzt die dynamischen Routing-Protokolle IPv4 und IPv6 BGP.

    [Aus Build 41.28]

    [NSNET-7785]

  • Ubuntu Linux-Host-Unterstützung für Citrix ADC BLX-Appliances

    Die Citrix ADC BLX-Appliance unterstützt jetzt die Ausführung in Ubuntu Linux-Systemen.

    [Aus Build 41.28]

    [NSNET-9259]

Citrix ADC CPX-Appliance

  • Der Standardwert des Parameterwerts MonitorConnectionClose ist in der leichteren Version von Citrix ADC CPX auf RESET gesetzt

Um eine Monitor-Probe-Verbindung mithilfe globaler Loadbalancing-Parameter zu schließen, können Sie MonitorConnectionClose auf FIN oder RESET konfigurieren. Wenn Sie den Parameter MonitorConnectionClose auf konfigurieren;

-  FIN: The appliance performs a complete TCP handshake.

-  RESET: The appliance closes the connection after receiving the SYN-ACK from the service.

In lighter version of Citrix ADC CPX, the monitorConnectionClose parameter value is set to RESET by default and cannot be changed to FIN at the global level. However, you can change the monitorConnectionClose parameter to FIN at the service level.

[From Build 41.28]

[ NSLB-4610]

Citrix ADC GUI

  • Unterstützung für die Frontend-Optimierung für die Admin-Partition

    Sie können die Frontend-Optimierungsfunktion jetzt auch im Partitionsmodus auf der Seite “Erweiterte Funktionen konfigurieren” aktivieren.

    [Aus Build 41.28]

    [NSUI-12800]

  • Unterstützung bei der Identifizierung der Ursache, aufgrund derer ein Dienst- oder Servicegruppenstatus als DOWN markiert wird

    Sie können jetzt die Monitorprobe-Informationen für die Dienste oder Dienstgruppen, die sich im Status DOWN befinden, auf der GUI anzeigen, ohne zur Monitor-Binding-Schnittstelle navigieren zu müssen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-services.html#identify-the-cause-for-the-service-state-marked-down-by-using-the-gui.

    [Aus Build 41.28]

    [NSUI-12906]

  • Unterstützung bei der Identifizierung der Ursache, weshalb ein virtueller Serverstatus als DOWN markiert ist

    Sie können jetzt die Monitorprüfinformationen auf der GUI für den virtuellen Server anzeigen, der DOWN ist, ohne zur Monitor-Binding-Schnittstelle navigieren zu müssen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-vserver.html#identify-the-cause-for-the-virtual-server-state-marked-down-by-using-the-gui.

    [Aus Build 41.28]

    [NSUI-13255]

  • Geführte Interaktion für SSL-Zertifikate

    Die Citrix ADC GUI bietet jetzt eine geführte Interaktion für einige allgemeine, aber detaillierte Aufgaben im Zusammenhang mit dem Erstellen, Importieren und Aktualisieren von SSL-Zertifikaten. Sie werden aufgefordert, die geführte Interaktion zu aktivieren, wenn Sie Ihre Appliance zum ersten Mal starten. Wenn diese Option aktiviert ist, können Sie sie jederzeit explizit deaktivieren, indem Sie zu System > Einstellungen > CUXIP-Einstellungen ändern gehen und das Kontrollkästchen CUXIP aktivieren deaktivieren.

    Hinweis: Diese Funktion ist nur für SSL-Zertifikate in der Citrix ADC GUI verfügbar.

    [Aus Build 41.28]

    [NSUI-13389]

  • Farbanzeigen für den Speicherplatzverbrauch auf der Upgrade-GUI

    Auf dem Bildschirm “Speicherplatz überprüfen” der Citrix ADC GUI (System > Systeminformationen > Systemupgrade > Speicherplatz prüfen) wurde eine Farbanzeige für den aktuell verwendeten Speicherplatz hinzugefügt.

    Die GUI zeigt den aktuell belegten Speicherplatz in Prozent in den folgenden Farben an:

    • Grün, wenn der aktuell genutzte Speicherplatz =< 80% ist

    • Rot, wenn der aktuell genutzte Speicherplatz > 80% ist

    [Aus Build 47.22]

    [NSUI-13699]

  • Systemprotokoll für die Citrix ADC-Botverwaltung

    Auf der GUI-Seite des Log-Viewers gibt es jetzt die Option, Bot-bezogene Operationen herauszufiltern, die protokolliert werden.

    [Aus Build 47.22]

    [NSUI-13722]

  • GUI-Unterstützung für Bot-Statistiken

    Im neuen Bot-Bereich auf der Dashboard-Seite werden Bot-bezogene Statistiken angezeigt.

    [Aus Build 47.22]

    [NSUI-13945]

Citrix ADC SDX-Appliance

  • ADC Platinum-Lizenz mit SWG-Funktionen

    Die Funktionen von Citrix Secure Web Gateway (SWG) sind jetzt in die Citrix ADC Premium-Lizenz integriert und SWG wird nicht mehr als separate Instanzlizenz angeboten. Nach dem Upgrade einer SDX-Appliance auf 13.0 47.x wird eine vorhandene SWG-Instanz, die auf der Appliance ausgeführt wird, als Citrix ADC-Instanz im SDX Management Service-Dashboard angezeigt.

    [Aus Build 47.22]

    [# NSSVM-2806]

Citrix ADC VPX-Appliance

  • Citrix ADC VPX-Metriken im Azure-Monitor

    Sie können jetzt die Metriken des Azure Monitor Service verwenden, um eine Reihe von Citrix ADC VPX-Ressourcen wie CPU, Speicherauslastung und Durchsatz zu überwachen. Der Metrics Service überwacht Citrix ADC VPX-Ressourcen, die auf Azure ausgeführt werden, in Echtzeit. Sie können den Metrics Explorer verwenden, um auf die gesammelten Daten zuzugreifen.

    [Aus Build 47.22]

    [NSPLAT-10104]

  • Ein neuer Parameter zum Verschieben der Master-Clock-Quelle von CPU0 auf CPU1

    Für eine Citrix ADC VPX-Instanz können Sie jetzt die Master-Clock-Quelle von CPU0 (Management-CPU) auf CPU1 verschieben. Um die Master-Clock-Quelle zu ändern, wird der Parameter -masterclockcpu1 zum Befehl “set ns vpxparam” hinzugefügt. Dieser Parameter hat die folgenden Optionen:

    • JA — Erlaube der VM, die Master-Clock-Quelle von CPU0 auf CPU1 zu verschieben.

    • NEIN — VM verwendet CPU0 als Master-Clock-Quelle. Standardmäßig ist CPU0 die Master-Clock-Quelle.

    [Aus Build 47.22]

    [NSPLAT-10859]

  • Unterstützung für hohe Verfügbarkeit in der Google Cloud Platform

    Jetzt können Sie Citrix VPX-Instanzen als HA-Paar auf der Google Cloud Platform zonenübergreifend innerhalb derselben Region bereitstellen. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-google-cloud-ha.html.

    [Aus Build 41.28]

    [NSPLAT-7714]

  • Stellen Sie ein VPX-HA-Paar in AWS mithilfe einer privaten IP-Migration bereit

    Jetzt können Sie VPX-Instanzen als HA-Paar in derselben Zone im INC-Modus (Independent Network Configuration) bereitstellen, indem Sie die private IP-Migration verwenden, wodurch die Failover-Zeit erheblich reduziert wird. Zuvor wurden VPX-HA-Knoten mithilfe der Netzwerkschnittstellenmigration (ENI) bereitgestellt, was eine längere Failover-Zeit mit sich bringt. Weitere Informationen:

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/how-aws-ha-works.html

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/vpx-aws-ha.html

    [Aus Build 41.28]

    [NSPLAT-7718]

  • Unterstützung für den neuen AWS-Instanztyp

    Ab dieser Version werden die folgenden AWS-Instanztypen für die VPX-Bereitstellung in den bestehenden Regionen und der neu hinzugefügten Region Paris unterstützt.

    • C5: c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge

    • C5n: c5n.large, c5n.xlarge, c5n.2xlarge, c5n.4xlarge, c5n.9xlarge, c5n.18xlarge

    • M5: m5.large, m5.xlarge,m5.2xlarge,m5.4xlarge, m5.12xlarge,m5.24xlarge

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [Aus Build 41.28]

    [NSPLAT-8729]

  • Unterstützung für die Region Paris für die AWS-Bereitstellung

    Jetzt können Sie VPX-Instanzen in AWS in der Region Paris bereitstellen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [Aus Build 41.28]

    [NSPLAT-8730]

  • Azure-Diensttags für VPX-Loadbalancing-Dienstgruppen

    Für eine ADC Citrix VPX-Instanz, die in Azure Cloud bereitgestellt wird, können Sie jetzt Load Balancing-Dienstgruppen erstellen, die einem Azure-Tag zugeordnet sind. Die VPX-Instanz überwacht ständig virtuelle Azure-Maschinen (VMs) oder Netzwerkschnittstellen (NICs) oder beides mit dem entsprechenden Tag und aktualisiert die Dienstgruppe entsprechend. Immer wenn eine VM oder NIC mit dem entsprechenden Tag hinzugefügt oder gelöscht wird, erkennt der ADC die entsprechende Änderung und fügt die VM- oder NIC-IP-Adresse automatisch zur Dienstgruppe hinzu oder löscht sie aus der Dienstgruppe.

    Sie können die Azure-Tag-Einstellung zu einer VPX-Instanz hinzufügen, indem Sie die VPX-GUI verwenden.

    Weitere Informationen zu Azure-Tags finden Sie im Microsoft-Dokument: https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-using-tags

    Weitere Informationen zu Azure-Tags für die Citrix ADC VPX-Bereitstellung finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-on-azure/tags.html.

    [Aus Build 41.28]

    [NSPLAT-8768]

  • Neue abonnementbasierte Angebote für Citrix ADC VPX auf GCP

    Für die Google Cloud Platform (GCP) sind jetzt die folgenden abonnementbasierten Angebote verfügbar:

    • Citrix ADC VPX Express-Lizenz

    • Citrix ADC VPX 10-Mbit/s-Editionen (Standard/Erweitert/Premium)

    [Aus Build 47.22]

    [NSPLAT-8772]

  • Unterstützung für die Region Hongkong für die AWS-Bereitstellung

    Sie können jetzt VPX-Instanzen in AWS in der Region Hongkong bereitstellen.

    [Aus Build 47.22]

    [NSPLAT-9166]

Citrix-Bot-Verwaltung

  • Citrix-Bot-Verwaltung

    Das Erkennen und Abwehren von Bot-Bedrohungen ist in der heutigen Welt ein zentrales Sicherheitsbedürfnis. Dies wird durch den Einsatz eines Bot-Managementsystems erreicht. Citrix Bot Management schützt Ihre Webanwendungen, Apps und APIs sowohl vor einfachen als auch vor fortgeschrittenen Sicherheitsangriffen. Citrix Bot Management verwendet die folgenden sechs Erkennungsmechanismen, um den Bot-Typ zu erkennen und Gegenmaßnahmen zu ergreifen.

    Bei den Techniken handelt es sich um Bot-Positivliste, Bot-Sperrliste, IP-Reputation, Geräte-Fingerprinting, Ratenbegrenzung und statische Signaturen.

    IP-Reputation. Dieser Mechanismus erkennt anhand einer aktiv aktualisierten Datenbank bösartiger IP-Adressen, ob es sich bei eingehendem Verkehr um einen Bot handelt.

    Fingerabdrücke auf dem Gerät. Das Geräte-Fingerprinting injiziert Javascript in den HTTP-Stream und wertet die von diesem Javascript zurückgegebenen Eigenschaften aus, um festzustellen, ob es sich bei dem eingehenden Verkehr um einen Bot handelt oder nicht.

    Ratenbegrenzung. Die Erkennungsrate begrenzt mehrere Anfragen, die von demselben Client per Sitzung, Cookie oder IP kommen.

    Bot-Signaturen. Die Erkennungstechnik erkennt und blockiert Bots auf der Grundlage von mehr als 3.500 Signaturen, die vom Citrix Threat Research-Team erstellt wurden. Bots können z. B. unautorisierte URLs sein, die Websites durchsuchen, Brute-Forcing-Logins oder solche, die nach Sicherheitslücken suchen

    Weiße Listefür Bots. Die Positivliste ist eine anpassbare Liste von URLs, IPs, CIDR-Blöcken und Richtlinienausdrücken, die den eingehenden Datenverkehr, der einem dieser Parameter entspricht, auf die Positivliste setzt und zulässt.

    Bot-Sperrliste. Die Sperrliste ist eine anpassbare Liste von URLs, IPs, CIDR-Blöcken und Richtlinienausdrücken, die den eingehenden Datenverkehr, der einem dieser Parameter entspricht, auf die Sperrliste setzt und verweigert.

    Citrix Bot Management wehrt automatisierte Bedrohungen und unerwünschten Bot-Traffic für Ihre öffentlichen Apps, APIs und Websites ab. Wenn festgestellt wird, dass es sich bei eingehendem Traffic um einen Bot handelt, ergreift das System eine vom ADC-Administrator zugewiesene Aktion und generiert robuste Berichte, die Rechenschaftspflicht und Überprüfbarkeit gewährleisten.

    Bot-Management bietet die folgenden Vorteile:

    • Schützen Sie sich vor Bots, Skripten und Toolkits — Auf statischen Signaturen basierende Abwehr und Geräte-Fingerprinting bieten Schutz vor Bedrohungen sowohl gegen einfache als auch fortgeschrittene Bots.

    • Neutralisieren Sie einfache und komplexe Angriffe — Beugen Sie Angriffen wie DDoS auf App-Ebene, Kennwort-Spraying, Password Stuffing, Price Scraper, Content Scraper und mehr vor.

    • Schützen Sie Ihre APIs und Investitionen — Schützen Sie Ihre APIs vor Missbrauch, Sondierung und Datenlecks und schützen Sie Infrastrukturinvestitionen vor unerwünschtem Traffic.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/bot-management.html.

    [Aus Build 41.28]

    [NSWAF-2900]

Citrix Gateway

  • AlwaysOn vor der Anmeldung für Windows

    AlwaysOn before logon für Windows ermöglicht es Benutzern, einen VPN-Tunnel einzurichten, noch bevor sich ein Benutzer bei einem Windows-System anmeldet. Diese persistente VPN-Konnektivität wird durch die automatische Einrichtung eines VPN-Tunnels auf Geräteebene erreicht, sobald das Gerät hochgefahren ist.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html.

    [Aus Build 41.28]

    [CGOP-10791]

  • Selektive Verwendung älterer oder neuester Anmeldeprotokolle für Clients

    Kunden, die die Workspace-App mit Citrix Gateway verwenden, können jetzt auf der Grundlage der Richtlinien selektiv das ältere oder das neueste Anmeldeprotokoll verwenden. Kunden können für bestimmte Clients alte Netzwerkprotokolle verwenden und Kunden auch gestatten, die native Intune-Integration mit Citrix Gateway-Clients unter Verwendung des Legacy-Protokolls zu verwenden, hauptsächlich die Intune-Konformitätsprüfung anhand der eindeutigen Gerätekennung.

    [Aus Build 41.28]

    [CGOP-10879]

  • VPN-Client-Unterstützung unter Ubuntu 18.04 LTS

    VPN-Clients werden jetzt auf Ubuntu 18.04 LTS unterstützt.

    [Aus Build 47.22]

    [CGOP-11067]

Citrix Web App Firewall

  • Zulässige Datei-Upload-Formate

    Mit Citrix Web App Firewall können Sie jetzt die zulässigen Datei-Upload-Formate in einem Citrix Web App Firewall-Profil konfigurieren. Auf diese Weise beschränken Sie Datei-Uploads auf bestimmte Formate und schützen die Appliance vor böswilligen Uploads bei einer Übermittlung mehrerer Formulare.

    Hinweis: Die Funktion funktioniert nur, wenn Sie die Option “ExcludeFileUploadFormChecks” im WAF-Profil deaktivieren.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/file-upload-protection.html

    [Aus Build 41.28]

    [NSWAF-2579]

  • Detaillierte Protokollierung des Verletzungsmusters

    Sie können jetzt das Web App Firewall-Profil so konfigurieren, dass es bei einem Angriff ein detailliertes Verletzungsmuster bereitstellt. Wenn Sie die Option Verbose Log Level konfigurieren, können Sie verschiedene Teile der Payload zusammen mit dem Angriffsmuster für forensische Analysen oder zur Fehlerbehebung protokollieren.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/detailed-troubleshooting-with-waf-logs.html

    [Aus Build 41.28]

    [NSWAF-2892]

  • JSON-Inhaltsschutz

    Die Citrix Web App Firewall bietet jetzt JSON-Schutz für DOS-, XSS- und SQL-Angriffe. Die JSON-Denial-of-Service- (DoS), SQL- und XSS-Regeln untersuchen die eingehende JSON-Anfrage und überprüfen, ob Daten vorhanden sind, die den Merkmalen eines DoS-, SQL- oder XSS-Angriffs entsprechen. Wenn die Anforderung JSON-Verstöße hatte, blockiert die Appliance die Anforderung, protokolliert die Daten, sendet eine SNMP-Warnung und zeigt auch eine JSON-Fehlerseite an. Der Zweck der JSON-Schutzprüfung besteht darin, einen Angreifer daran zu hindern, eine JSON-Anfrage zu senden, um DoS-, XSS- oder SQL-Angriffe auf Ihre JSON-Anwendungen oder Websites zu starten.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/json-content-protection.html

    [Aus Build 41.28]

    [NSWAF-2894]

  • Automatische Bereitstellung erlernter Daten mithilfe dynamischer Profile.

    Sie können erlernte Daten jetzt automatisch als Entspannungsregeln bereitstellen. Wenn die Web App Firewall bei der dynamischen Profilerstellung gelernte Daten innerhalb eines benutzerdefinierten Schwellenwerts aufzeichnet, sendet die Appliance eine SNMP-Warnung an den Benutzer. Wenn der Benutzer die Daten nicht innerhalb einer Übergangsfrist überspringt, stellt die Appliance die Daten automatisch als Entspannungsregel bereit. Bisher musste der Anwender die erlernten Daten manuell als Entspannungsregeln einsetzen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/dynamic-profiling.html

    [Aus Build 41.28]

    [NSWAF-2895]

  • WAF POST-Body-Schwellenwert zur Reduzierung der CPU-Auslastung

    Die Firewall-Signaturdatei der Anwendung enthält jetzt die CPU-Auslastung, das letzte geltende Jahr und den Schweregrad. Sie können die CPU-Auslastung, das letzte Jahr und den CVE-Schweregrad jedes Mal sehen, wenn eine Signaturdatei regelmäßig geändert und hochgeladen wird. Nachdem Sie diese Werte beobachtet haben, können Sie entscheiden, ob Sie die Signatur auf der Appliance aktivieren oder deaktivieren möchten.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html

    [Aus Build 41.28]

    [NSWAF-2932]

  • Maskierung sensibler Daten mithilfe eines Regex-Musters

    Die erweiterte Richtlinienfunktion REGEX_REPLACE in einem Protokollausdruck, der an ein Citrix Web App Firewall (WAF) -Profil gebunden ist, ermöglicht es Ihnen, vertrauliche Daten in WAF-Protokollen zu maskieren.

    [Aus Build 47.22]

    [NSWAF-3816]

  • Einfache und lesbare Namen der IP-Reputationskategorien

    Die Kategorienamen der IP-Reputations-Bot-Erkennung sind jetzt als lesbare Namen verfügbar.

    [Aus Build 47.22]

    [NSWAF-3824]

  • Dynamisches Profiling zum Erlernen von Start-URLs

    Dynamisches Profiling ist jetzt für die Start-URL-Sicherheitsprüfung verfügbar, um neue URLs zu erkennen und zu lernen.

    [Aus Build 47.22]

    [NSWAF-3934]

Clustering

  • Betriebsansicht basierend auf der Backplane-Schnittstelle

    In einem Cluster-Setup können Sie nun eine Betriebsansicht erhalten, die auf Heartbeat-Meldungen basiert, die nur auf der Backplane-Schnittstelle empfangen werden.

    Stellen Sie sich ein Beispiel für einen Cluster mit zwei Knoten vor, der aus Knoten 1 und Knoten 2 besteht. Die beiden Knoten senden und empfangen Heartbeat-Nachrichten an und voneinander auf allen aktivierten Schnittstellen. Wenn die Backplane-basierte Ansicht aktiviert ist, basiert die Betriebsansicht auf Heartbeats, die nur auf der Backplane-Schnittstelle empfangen werden. Wenn Knoten 1 die Heartbeat-Nachrichten von Knoten 2 auf der Backplane-Schnittstelle nicht empfängt, wird entweder Knoten 1 oder Knoten 2 operativ INAKTIV gemacht, auch wenn Knoten 1 Heartbeat von Knoten 2 über die Datenschnittstelle empfängt. In der Standardeinstellung ist die Backplane-Ansicht deaktiviert. Wenn diese Option deaktiviert ist, hängt ein Knoten nicht nur vom Heartbeat-Empfang über die Backplane ab.

    [Aus Build 47.22]

    [NSHELP-15871]

  • Unterstützung für ARP-Besitzer für Striped IP

    In einem Cluster-Setup können Sie jetzt einen bestimmten Knoten so konfigurieren, dass er auf die ARP-Anfrage für eine Striped IP reagiert. Der konfigurierte Knoten reagiert auf den ARP-Verkehr. In den CLI-Befehlen “add, set, and unset ip” wird ein neues Attribut “arpOwner” eingeführt.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/clustering/cluster-overview/cluster-config-type.html#arp-owner-support-for-striped-ip.

    [Aus Build 41.28]

    [NSNET-3050]

  • Trap-SNMP löschen, wenn die Clusterversion nicht übereinstimmt

    Die Versionsabweichung in einem Cluster-Setup wird jetzt mithilfe eines Clear-Trap-SNMP behoben.

    [Aus Build 41.28]

    [NSNET-8545]

DNS

  • Konformität zum DNS-Flaggentag 2019

    Die Citrix ADC-Appliance entspricht jetzt vollständig dem DNS Flag Day 2019.

    [Aus Build 41.28]

    [NSLB-4275]

GSLB

  • Ausdruck für virtuellen Zielserver einer GSLB-Content Switching-Aktion zuordnen

    Es wurde jetzt Unterstützung hinzugefügt, um einen virtuellen Zielserverausdruck einer GSLB-Content Switching-Aktion zuzuordnen. Dadurch kann der virtuelle GSLB-Content Switching-Server Richtlinienausdrücke verwenden, um den Namen des virtuellen GSLB-Zielservers zu erstellen, während die DNS-Anfragen verarbeitet werden.

    [Aus Build 47.22]

    [NSLB-4751]

  • Unterstützung von GSLB für Wildcard-Domänen

    Es wurde jetzt Unterstützung hinzugefügt, um eine Wildcard-DNS-Domäne an einen virtuellen GSLB-Server zu binden. Benutzer, die auf die Anwendungen hinter einer Wildcard-Domäne zugreifen, werden an das optimale Rechenzentrum weitergeleitet, das diese Anwendungen hostet. Die Platzhalterdomäne verarbeitet Anforderungen für nicht vorhandene Domänen und Unterdomänen. In einer Zone können Sie Abfragen für alle nicht existierenden Domänen oder Unterdomänen an einen bestimmten Server umleiten, indem Sie die Platzhalterdomänen verwenden. Sie müssen nicht für jede dieser Domänen einen separaten Resource Record (RR) erstellen.

    [Aus Build 47.22]

    [NSLB-4792]

  • Ermitteln Sie mithilfe der API-Methode den GSLB-Dienst mit der besten Leistung

    Die API-basierte GSLB-Methode wird jetzt für GSLB-Bereitstellungen unterstützt, um den GSLB-Dienst mit der besten Leistung auszuwählen. Bei dieser Methode löst GSLB eine HTTP (S) REST-API-Anfrage an den konfigurierten API-Server aus, wenn GSLB eine DNS-Anfrage von einem Client empfängt. Basierend auf der Antwort der API sendet GSLB eine DNS-Antwort, die die IP-Adresse des GSLB-Dienstes mit der besten Leistung enthält.

    [Aus Build 47.22]

    [NSLB-5194]

Lizenzierung

  • Dynamische Routing-Protokolle in der Standardlizenz

    Die Citrix ADC-Standardlizenz umfasst jetzt die dynamischen Routing-Protokolle von Citrix ADC. Citrix ADC unterstützt die folgenden dynamischen Protokolle:

    • RIP (IPv4 und IPv6)

    • OSPF (IPv4 und IPv6)

    • BGP (IPv4 und IPv6)

    • IS-IS (IPv4 und IPv6)

    [Aus Build 41.28]

    [NSNET-12256]

  • Dynamische Routing-Protokolle in der Standardlizenz

    Die Citrix ADC-Standardlizenz umfasst jetzt die dynamischen Routing-Protokolle von Citrix ADC. Citrix ADC unterstützt die folgenden dynamischen Protokolle:

    • RIP (IPv4 und IPv6)

    • OSPF (IPv4 und IPv6)

    • BGP (IPv4 und IPv6)

    • IS-IS (IPv4 und IPv6)

    [Aus Build 41.28]

    [NSPLAT-6179]

  • Neue Werte für SDX-Mindestbandbreite und minimale Instanzen

    Die Werte für die Mindestbandbreite und die Mindestinstanzen für SDX-Appliances, die die gepoolte Kapazität von Citrix ADC unterstützen, haben sich geändert. Weitere Informationen:

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [Aus Build 41.28]

    [NSSVM-2770]

Lastausgleich

  • Unterstützung für sicheren NTLM-Monitor

    Sie können jetzt das nsntlm-lwp.pl-Skript verwenden, um einen Monitor für die Überwachung eines sicheren NTLM-Servers zu erstellen.

    [Aus Build 41.28]

    [NSLB-4806]

  • Unterstützung für Autoscale-API

    Sie können die Dienstgruppe von nicht automatisch skalieren auf den Typ der gewünschten State-API (DSA) mit automatischer Skalierung einstellen, wenn alle angegebenen Bedingungen übereinstimmen. Verwenden Sie für diese Konfiguration das API-Argument autoscale im Befehl “set serviceGroup”.

    [Aus Build 47.22]

    [NSLB-5311]

  • Begrenzen der Anzahl gleichzeitiger Anforderungen für eine Clientverbindung

    Sie können jetzt die Anzahl der gleichzeitigen Anfragen für eine einzelne Client-Verbindung einschränken. Sie können die Server vor Sicherheitslücken schützen, indem Sie die Anzahl der gleichzeitigen Anfragen begrenzen. Wenn die Clientverbindung das angegebene Höchstlimit erreicht, löscht die Citrix ADC-Appliance nachfolgende Anfragen auf der Verbindung, bis die Anzahl ausstehender Anfragen den Grenzwert unterschreitet.

    [Aus Build 47.22]

    [NSLB-5315]

NITRO

  • Beschränkung der Systembenutzer auf eine bestimmte Verwaltungsschnittstelle

    Mit einer Citrix ADC-Appliance können Sie jetzt den Benutzerzugriff auf eine bestimmte Verwaltungsschnittstelle (CLI oder API) einschränken. Sie können die Liste der zulässigen Verwaltungsschnittstellen für einen bestimmten Benutzer oder eine Benutzergruppe auf Benutzerebene konfigurieren.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/restricted-management-interface-access.html.

    [Aus Build 41.28]

    [NSCONFIG-1376]

  • Aktualisieren Sie die Servicegruppe nahtlos mit der gewünschten Mitgliedergruppe mithilfe der Desired State API

    Sie können jetzt die Desired State-API verwenden, um eine Dienstgruppe mit einer gewünschten Gruppe von Dienstgruppenmitgliedern zu aktualisieren. Mithilfe der Desired State-API können Sie eine Liste der Servicegruppenmitglieder zusammen mit ihrem Gewicht und Status (optional) in einer einzigen PUT-Anfrage für die Ressource “servicegroup_servicegroupmemberlist_binding” bereitstellen. Die Citrix ADC-Appliance vergleicht die angeforderte gewünschte Elementgruppe mit der konfigurierten Elementgruppe. Dann bindet es automatisch die neuen Mitglieder und entbindet die Mitglieder, die nicht in der Anfrage anwesend sind.

    [Aus Build 41.28]

    [NSLB-4543]

Netzwerke

  • Unterstützung für ISSU-Statistiken

    Sie können jetzt die Statistiken zur Überwachung des aktuellen ISSU-Prozesses in einem Hochverfügbarkeits-Setup einsehen. In der ISSU-Statistik werden folgende Informationen angezeigt:

    • Aktueller Stand des ISSU-Migrationsvorgangs

    • Startzeit des ISSU-Migrationsvorgangs

    • Endzeit des ISSU-Migrationsvorgangs

    • Startzeit des ISSU Rollback-Vorgangs

    [Aus Build 47.22]

    [NSNET-11457]

  • Verbindungs-Failover-Unterstützung für FTP-Verbindungen über den zufälligen Port des FTP-Servers

    Mit dem Verbindungs-Failover kann der primäre Knoten in einem Hochverfügbarkeits-Setup Verbindungs- und Persistenzinformationen an den sekundären Knoten duplizieren. Die Statusinformationen der Verbindung werden regelmäßig mit dem sekundären Knoten geteilt, wenn die Verbindungsspiegelung aktiviert ist.

    Ein Hochverfügbarkeits-Setup der Citrix ADC-Appliance unterstützt das Verbindungsfailover für eine FTP-Verbindung, für die der FTP-Server einen zufälligen Datenport verwendet.

    Der primäre Knoten sendet die FTP-bezogenen Verbindungsinformationen in regelmäßigen Abständen an den sekundären Knoten. Die sekundäre Appliance verwendet diese Informationen nur im Falle eines Failovers.

    Um das Verbindungsfailover für eine Lastausgleichskonfiguration vom Typ FTP zu aktivieren, aktivieren Sie den Parameter connFailover (Connection Failover) des virtuellen Lastausgleichsservers über die CLI oder der GUI.

    Damit die Citrix ADC-Appliance eine FTP-Verbindung verarbeiten kann, für die der FTP-Server einen zufälligen Port verwendet, müssen Sie außerdem den globalen Citrix ADC-Parameter aktivieren: aftpAllowRandomSourcePort (Enable Random Source Port Selection for Active FTP).

    [Aus Build 47.22]

    [NSNET-7685, NSNET-9529]

  • Unterstützung für die Reservierung des Quellports für RNAT-Verbindungen zu Servern

    Für eine Anforderung, die auf eine RNAT-Konfiguration trifft, bei der eine oder mehrere RNAT-IP-Adressen und “Proxy-Portparameter verwenden” deaktiviert sind, verwendet die Citrix ADC-Appliance eine der RNAT-IP-Adresse und den Quellport der RNAT-Anforderung für die Verbindung mit Servern.

    Vor dieser Version schlägt die RNAT-Verbindung (unter Verwendung des Quellports des RNAT-Clients) zum Server fehl, wenn derselbe Quellport bereits in einigen anderen Verbindungen verwendet wurde.

    • Quellport weniger als 1024. Standardmäßig behält sich die Citrix ADC-Appliance die ersten 1024 Ports einer IP-Adresse im Besitz von Citrix ADC (einschließlich RNAT-IP-Adressen) vor. Vor dieser Version schlägt die RNAT-Verbindung (unter Verwendung des Quellports des RNAT-Clients) zum Server fehl, wenn der Quellport der RNAT-Anfrage kleiner oder gleich 1024 ist. Mit dieser Version wird die RNAT-Verbindung (unter Verwendung des Quellports des RNAT-Clients) zum Server erfolgreich sein, wenn der Quellport der RNAT-Anfrage kleiner oder gleich 1024 ist.

    • Quellport größer als 1024. Vor dieser Version schlägt die RNAT-Verbindung (unter Verwendung des Quellports des RNAT-Clients) zum Server fehl, wenn derselbe Quellport bereits in einigen anderen Verbindungen verwendet wurde. Mit dieser Version können Sie im Parameter Retain Source Port Range im Rahmen einer RNAT-Konfiguration einen Bereich von RNAT-Client-Quellports angeben. Die Citrix ADC-Appliance behält diese RNAT-Client-Quellports an der RNAT-IP-Adresse vor, die nur für die RNAT-Verbindung zu Servern verwendet werden.

    [Aus Build 47.22]

    [NSNET-9797]

Plattform

  • Einstellung der Empfangsringgröße und des Ringtyps für eine Schnittstelle

    Sie können jetzt die Empfangsringgröße und den Ringtyp für IX-, F1X-, F2X- und F4X-Schnittstellen auf Citrix ADC MPX- und SDX-Plattformen erhöhen.

    Eine größere Ringgröße bietet mehr Dämpfung, um mit hohem Traffic fertig zu werden, kann jedoch die Leistung beeinträchtigen. Eine Ringgröße von bis zu 8192 wird auf IX-Schnittstellen unterstützt. Eine Ringgröße von bis zu 4096 wird auf F1X-, F2X- und F4X-Schnittstellen unterstützt. Die Standardringgröße ist weiterhin 2048.

    Die Ringtypen von Schnittstellen sind standardmäßig elastisch. Ihre Größe nimmt je nach Paketeintrittsrate zu oder ab. Sie können den Klingeltyp als “fest” konfigurieren, sodass er sich nicht je nach Verkehrsrate ändert.

    [Aus Build 41.28]

    [NSPLAT-9264]

Richtlinien

  • Neuer Richtlinienausdruck zur Anzeige der GMT-Zeit in der lokalen Zeitzone

    Ein neuer Richtlinienausdruck “SYS.TIME.TO_LOCAL” ist jetzt verfügbar, um die GMT-Zeit in der lokalen Zeitzone anzuzeigen.

    [Aus Build 47.22]

    [ NSHELP-16098, NSPOLICY-58]

  • Hinzufügen benutzerdefinierter Header als Antwort mit der Responder-Aktion für HTML-Seiten

    Eine Citrix ADC-Appliance kann jetzt mit einem benutzerdefinierten Header in der Responsewithhtmlpage Responder-Aktion antworten. Sie können bis zu acht benutzerdefinierte Header konfigurieren. Bisher reagierte die Appliance nur mit statischen Headern wie Content-type:text/html und Content-Length:<value>.

    Hinweis: Wenn Sie benutzerdefinierte Header konfigurieren, können Sie den Header-Wert “Content-Type” überschreiben.

    [Aus Build 47.22]

    [NSPOLICY- 2329]

  • Verbessertes Nspepi-Tool für die Richtlinienumwandlung

    Das nspepi-Tool wurde jetzt verbessert und unterstützt nun Folgendes:

    • Umstellung der Tunnelrichtlinien und ihrer Bindungen.

    • Konvertierung der integrierten klassischen Richtlinienbindungen in CMP, CR und Tunnel.

    • Konvertierung der Authentifizierungsrichtlinie und ihrer Bindungen auf einen virtuellen Authentifizierungsserver, jedoch nicht für andere Entitätsbindungen.

    • Korrekturen für verschiedene Bugs.

    Hinweis: Wenn cmd-Richtlinien verwendet werden und der Name des Befehls konvertiert wird, müssen alle zugehörigen CMD-Richtlinien manuell geändert werden.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/appexpert/policies-and-expressions/introduction-to-policies-and-exp/converting-policy-expressions-nspepi-tool.html

    [Aus Build 41.28]

    [NSPOLICY- 3159]

  • Generieren Sie zufällige und eindeutige HMAC-Schlüsselwerte ähnlich wie EncryptionParams

    Sie können jetzt automatisch eine zufällige Verschlüsselung oder einen HMAC-Schlüssel generieren.

    add ns encryptionKey <name> -method <method> -keyValue AUTO

    add ns hmacKey <name> -digest <digest> -keyValue AUTO

    Der “AUTO” KeyValue kann in den set-Befehlen verwendet werden, um neue Schlüssel für bestehende EncrytionKey- und HMacKey-Objekte zu generieren.

    Die automatische Schlüsselgenerierung ist nützlich, wenn die Citrix ADC-Appliance Daten mit dem Schlüssel verschlüsselt und entschlüsselt oder einen HMAC-Schlüssel generiert und überprüft.

    Hinweis: Da der Schlüsselwert selbst bei der Anzeige bereits verschlüsselt ist, können Sie den generierten Schlüsselwert nicht zur Verwendung durch eine andere Partei abrufen.

    [Aus Build 47.22]

    [NSPOLICY- - 3287]

  • Option zur Bereitstellung von Kommentaren für Muster, die an einen Mustersatz oder einen Datensatz gebunden sind.

    Mit dem Befehl “bind policy patset” können Sie jetzt Kommentare für Muster eingeben, die an einen Mustersatz gebunden sind.

    bind policy patset <name> <string> [-index <positive_integer>]

    [-charset ( ASCII | UTF_8 )] [-comment <string>]

    Hierbei gilt:

    Kommentieren. Geben Sie Kommentare zu den Mustern ein, die an einen Mustersatz gebunden sind.

    Mit dem Befehl “bind policy dataset” können Sie jetzt Kommentare für Muster eingeben, die an einen Datensatz gebunden sind.

    bind policy dataset <name> <value> [-index <positive_integer>] [-comment <string>]

    Hierbei gilt:

    Kommentieren. Geben Sie Kommentare zu den Mustern ein, die an einen Datensatz gebunden sind.

    [Aus Build 47.22]

    [NSPOLICY- - 3298]

  • Erlaube harmlose SYS-Funktionen

    SYS-Funktionen wie SYS.TIME, SYS.RANDOM, SYS.NSIP, SYS.UUID usw. sind jetzt im Ausdrucks-Evaluator und auch an anderen Stellen zulässig, an denen sie zuvor nicht zugelassen waren.

    Einige SYS-Funktionen sind jedoch im Ausdrucksevaluator und an anderen Stellen, an denen sie zuvor nicht zulässig waren, immer noch nicht zulässig. Ein Beispiel ist SYS.HTTP_CALLOUT.

    [Aus Build 47.22]

    [NSPOLICY-3302]

  • Konvertieren klassischer Filterbefehle in erweiterte Filterbefehle

    Das nspepi-Tool kann jetzt Befehle, die auf klassischen Filteraktionen wie add, bind usw. basieren, in erweiterte Filterbefehle umwandeln.

    Das Nepepi-Tool unterstützt jedoch die folgenden Filterbefehle nicht.

    • add filter action <action Name> FORWARD <service name>

    • add filter action <action name> ADD prebody

    • add filter action <action name> ADD postbody

    Hinweis:

    • Wenn in ns.conf Rewrite- oder Responder-Funktionen vorhanden sind und deren Richtlinien global mit dem GOTO-Ausdruck als END oder USER_INVOCATION_RESULT gebunden sind und der Bindungstyp REQ_X oder RES_X ist, konvertiert das Tool Bind-Filterbefehle teilweise und gibt Kommentare aus. Es wird eine Warnung angezeigt, um manuelle Anstrengungen zu unternehmen.

    • Wenn Rewrite- oder Responder-Funktionen vorhanden sind und deren Richtlinien an virtuelle Server gebunden sind (z. B. Loadbalancing, Content Switching oder Cache-Umleitung) vom Typ HTTPS mit GOTO - END oder USER_INVOCATION_RESULT, konvertiert das Tool Bind-Filterbefehle teilweise und kommentiert dann aus. Es wird eine Warnung angezeigt, um manuelle Anstrengungen zu unternehmen.

    [Aus Build 47.22]

    [NSPOLICY- - 509]

SSL

  • Unterstützung für die Anzeige von RSA 3072-Bit-Schlüsselwerten im Befehl stat ssl

    Die Ausgabe von stat ssl enthält jetzt die RSA 3072-Bit-Schlüsselaustauschwerte.

    stat-ssl-Detail

    SSL Offloading

    SSL-Karten vorhanden 8

    SSL-Karten UP 8

    SSL-Engine-Status 1

    SSL-Sitzungen (Rate) 0

    Wichtige Börsen

    RSA 512-Bit-Schlüsselbörsen 0 0

    RSA 1024-Bit-Schlüsselbörsen 0 0

    RSA 2048-Bit-Schlüsselbörsen 0 0

    RSA 3072-Bit-Schlüsselbörsen 0 106380

    RSA 4096-Bit-Schlüsselbörsen 0 0

    Fertig

    [Aus Build 41.28]

    [NSSSL-1954]

  • Unterstützung für fragmentierte TLS-Nachrichten

    Die Citrix ADC-Appliance unterstützt jetzt die Fragmentierung von Serverzertifikatnachrichten und Zertifikatsanforderungsnachrichten. Die maximal unterstützte Größe dieser Nachrichten in allen Datensätzen beträgt 32 KB. Zuvor wurde die Fragmentierung nicht unterstützt und die maximal unterstützte Größe der Nachrichten betrug 16 KB.

    [Aus Build 41.28]

    [NSSSL-5971]

  • SSL-Titel: Sehen Sie sich die SSL-Chip-Auslastung auf Citrix ADC-Appliances mit Intel Coleto-Chips an Sie können jetzt die SSL-Chip-Auslastung auf den folgenden Citrix ADC MPX-Appliances anzeigen. Diese Geräte enthalten den Intel Coleto-Chip. - MPX 5900 - MPX 8900 - MPX 15000-50G - MPX 26000 - MPX 26000-50S - MPX 26000-100G Geben Sie in der Befehlszeile Folgendes ein: stat ssl.

    [Aus Build 47.22]

    [NSSSL-5975]

  • Unterstützung für längere Namen von SSL-Entitäten

    Um Kunden dabei zu helfen, eine Standardbenennungskonvention für alle ADC-Entitäten einzuhalten, unterstützt die Citrix ADC-Appliance jetzt einen Zertifikatsnamen mit bis zu 63 Zeichen. Zuvor lag das Limit bei 31 Zeichen.

    [Aus Build 41.28]

    [NSSSL-5976]

  • Verbesserungen des Intel Coleto-Chip-Gesundheitschecks

    Citrix ADC-Appliances mit dem Intel Coleto-Chip unterstützen jetzt erweiterte Zustandsprüfungen für symmetrische (SYM) und asymmetrische (ASYM) Operationen.

    [Aus Build 41.28]

    [NSSSL-6299]

  • Unterstützung der optionalen Überprüfung von Client-Zertifikaten mit richtlinienbasierter Client-Authentifizierung

    Sie können die Überprüfung des Client-Zertifikats auf optional setzen, wenn Sie die richtlinienbasierte Clientauthentifizierung konfiguriert haben. Bisher war obligatorisch die einzige Option. Jetzt sind sowohl optionale als auch obligatorische Optionen verfügbar und konfigurierbar.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/ssl/ssl-actions-and-policies/config-built-in-ssl-actions.html#client-certificate-verification-with-policy-based-client-authentication.

    [Aus Build 41.28]

    [NSSSL-690]

  • Unterstützung für heterogene Cluster-Bereitstellungen mit unterschiedlichen Plattformen

    Sie können jetzt eine heterogene Cluster-Bereitstellung von Citrix ADC MPX-Appliances mit unterschiedlicher Anzahl von Paket-Engines erstellen, indem Sie den SSL-Parameter “Heterogeneous SSL HW” auf ENABLED setzen. Um beispielsweise einen Cluster von Appliances auf Cavium-Chip-Basis (MPX 14000 oder ähnlich) und Intel-Coleto-Chip-basierten Appliances (MPX 15000 oder ähnlich) zu bilden, aktivieren Sie den SSL-Parameter “Heterogeneous SSL HW”. Um einen Cluster von Plattformen mit demselben Chip zu bilden, behalten Sie den Standardwert (DISABLED) für diesen Parameter bei.

    Die Funktion wird auf VPX-Instanzen, die auf Citrix ADC SDX-Appliances gehostet werden, nicht unterstützt.

    Hinweise zu den Plattformen, die bei der Bildung eines heterogenen Clusters unterstützt werden, finden Sie unter

    https://docs.citrix.com/en-us/citrix-adc/13/clustering/support-for-heterogeneous-cluster.html.

    [Aus Build 47.22]

    [NSSSL-7149]

  • Unterstützung für das DTLSv1.2-Protokoll am Frontend einer Citrix ADC VPX-Appliance

    Das DTLS 1.2-Protokoll wird jetzt im Frontend einer Citrix ADC VPX-Appliance unterstützt. Bei der Konfiguration eines virtuellen DTLS-Servers müssen Sie jetzt DTLS1 oder DTLS12 angeben.

    [Aus Build 47.22]

    [NSSSL-7188]

  • Automatisierte Zertifikatsverknüpfung

    Die Verknüpfung von SSL-Zertifikaten ist jetzt automatisiert. Das heißt, wenn die Zwischenzertifikate der Zertifizierungsstelle und das Stammzertifikat auf der Appliance vorhanden sind, müssen Sie nicht mehr jedes Zertifikat manuell mit seinem Aussteller verknüpfen.

    Wenn alle Zertifikate auf der Appliance verfügbar sind und Sie im Endbenutzerzertifikat auf die Schaltfläche “Link” klicken, wird die potenzielle Kette angezeigt. Klicken Sie in der Kette auf “Zertifikat verknüpfen”, um alle Zertifikate zu verknüpfen.

    [Aus Build 47.22]

    [NSSSL-7190, NSUI-12903]

System

  • Unterstützung für erweiterte Audit-Log-Richtlinien

    Sie können jetzt eine erweiterte Audit-Log-Richtlinie an einen virtuellen Lastausgleichsserver binden.

    [Aus Build 47.22]

    [CGOP-6824]

  • Implementierung von ICAP-Anforderungs-Timeout und Antwort-Timeout

    Um das Timeout-Problem bei der ICAP-Antwort zu lösen, können Sie den Timeout-Wert für die ICAP-Anfrage für den Parameter ‘ReqTimeout’ im ICAP-Profil konfigurieren. Auf diese Weise können Sie eine Anforderungs-Timeout-Aktion festlegen, damit die Appliance bei einer verzögerten ICAP-Antwort vom ICAP-Server eine Aktion ergreift. Wenn die Appliance innerhalb des konfigurierten Anforderungs-Timeouts keine ICAP-Antwort erhält, kann die Appliance gemäß dem im Icapprofile konfigurierten Parameter ‘ReqTimeoutAction’ eine der folgenden Aktionen ausführen.

    reqTimeoutAction: Mögliche Werte sind BYPASS, RESET, DROP.

    BYPASS: Wenn die ICAP-Antwort mit gekapselten Headern nicht innerhalb des Timeout-Werts empfangen wird, ignoriert dies die Antwort des Remote-ICAP-Servers und sendet die vollständige Anfrage/Antwort an den Client/Server

    RESET (Standard): Setzt die Client-Verbindung zurück, indem Sie sie schließen.

    DROP: Löscht die Anfrage, ohne eine Antwort an den Benutzer zu senden

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/icap-for-remote-content-inspection.html

    [Aus Build 41.28]

    [NSBASE-3040, NSBASE-2264]

  • Umgang mit ICAP-Serverausfällen während der Inhaltsinspektion

    Für den Umgang mit ICAP-Serverausfällen während der Inhaltsüberprüfung können Sie mit der Citrix ADC-Appliance jetzt den Parameter ifserverdown konfigurieren und die folgenden Aktionen zuweisen.

    WEITER: Wenn der Benutzer die Inhaltsüberprüfung Bypass möchte, falls der Remoteserver ausgefallen ist, kann diese Aktion gewählt werden.

    RESET (Standard): Diese Aktion reagiert auf den Client, indem sie die Verbindung mit RST schließt.

    DROP: Diese Aktion verwirft die Pakete im Hintergrund, ohne eine Antwort an den Benutzer zu senden.

    [Aus Build 41.28]

    [NSBASE-4936]

  • Unterstützung für Rewrite Policy Expression für den Betrieb ohne Proxy-Protokoll

    Beim Stripped-Vorgang im Proxy-Protokoll werden nun Rewrite-Richtlinienausdrücke verwendet, um dem HTTP-Header Clientdetails wie Quell-IP-Adresse, Ziel-IP-Adresse, Quellport und Zielport hinzuzufügen. Die Rewrite-Richtlinie wertet den Ausdruck aus und wenn “wahr”, wird die entsprechende Rewrite-Policy-Aktion ausgelöst und die Client-Details werden im HTTP-Header an den Backend-Server weitergeleitet.

    [Aus Build 47.22]

    [NSBASE-4988]

  • Client-IP-Adresse in einer TCP-Option

    Citrix ADC verwendet jetzt die TCP-Optionskonfiguration, um die Client-IP-Adresse an den Backend-Server zu senden. Die Appliance fügt eine TCP-Optionsnummer hinzu, die die Client-IP-Adresse in das erste Datenpaket einfügt und es an den Backend-Server weiterleitet. Die TCP-Optionskonfiguration kann in den folgenden Szenarien verwendet werden.

    • Ursprüngliche Client-IP-Adresse lernen

    • Sprache für eine Website wählen

    • Ausgewählte IP-Adressen auf die Sperrliste setzen

    [Aus Build 47.22]

    [NSBASE-6553, NSUI-14692]

  • Integration des Intrusion Detection Systems (IDS) mit L3-Konnektivität

    Eine Citrix ADC-Appliance ist jetzt in passive Sicherheitsgeräte wie das Intrusion Detection System (IDS) integriert. In diesem Setup sendet die Appliance eine Kopie des ursprünglichen Datenverkehrs sicher an Remote-IDS-Geräte. Diese passiven Geräte speichern Protokolle und lösen Warnungen aus, wenn sie einen schlechten oder nicht konformen Datenverkehr erkennen. Es generiert auch Berichte zu Compliance-Zwecken. Wenn die Citrix ADC-Appliance in zwei oder mehr IDS-Geräte integriert ist und ein hohes Verkehrsaufkommen besteht, kann die Appliance den Lastenausgleich der Geräte durchführen, indem der Datenverkehr auf virtueller Serverebene geklont wird.

    Für erweiterten Sicherheitsschutz ist eine Citrix ADC-Appliance in passive Sicherheitsgeräte wie das Intrusion Detection System (IDS) integriert, die im Nur-Erkennungsmodus eingesetzt werden. Diese Geräte speichern Protokolle und lösen Warnungen aus, wenn ein schlechter oder nicht konformer Datenverkehr festgestellt wird. Es generiert auch Berichte zu Compliance-Zwecken. Im Folgenden sind einige der Vorteile der Integration von Citrix ADC in ein IDS-Gerät aufgeführt.

    1. Überprüfung des verschlüsselten Datenverkehrs — Die meisten Sicherheitsgeräte Bypass verschlüsselten Datenverkehr und machen Server dadurch anfällig für Angriffe. Eine Citrix ADC-Appliance kann den Datenverkehr entschlüsseln und an IDS-Geräte senden, um die Netzwerksicherheit des Kunden zu verbessern.

    2. Entlastung von IDS-Geräten von der TLS/SSL-Verarbeitung — Die TLS/SSL-Verarbeitung ist teuer und führt zu einer hohen System-CPU in Geräten zur Erkennung von Eindringlingen, wenn sie den Datenverkehr entschlüsseln. Da der verschlüsselte Datenverkehr schnell zunimmt, können diese Systeme den verschlüsselten Datenverkehr nicht entschlüsseln und überprüfen. Citrix ADC hilft beim Auslagern des Datenverkehrs von der TLS/SSL-Verarbeitung auf IDS-Geräte. Diese Art der Datenauslagerung führt dazu, dass ein IDS-Gerät ein hohes Verkehrsaufkommen unterstützt.

    3. Loadbalancing für IDS-Geräte — Die Citrix ADC-Appliance gleicht bei hohem Verkehrsaufkommen den Lastausgleich mehrerer IDS-Geräte aus, indem der Datenverkehr auf virtueller Serverebene geklont wird.

    4. Replizieren des Datenverkehrs auf passive Geräte — Der in die Appliance fließende Datenverkehr kann auf andere passive Geräte repliziert werden, um Compliance-Berichte zu erstellen. Zum Beispiel schreiben nur wenige Regierungsbehörden vor, dass jede Transaktion in einigen passiven Geräten protokolliert wird.

    5. Weiterleitung des Datenverkehrs auf mehrere passive Geräte — Manche Kunden ziehen es vor, eingehenden Traffic zu fächern oder auf mehrere passive Geräte zu replizieren.

    6. Intelligente Auswahl des Datenverkehrs — Jedes Paket, das in die Appliance fließt, muss möglicherweise nicht inhaltlich überprüft werden, z. B. das Herunterladen von Textdateien. Der Benutzer kann die Citrix ADC-Appliance so konfigurieren, dass ein bestimmter Datenverkehr (z. B. EXE-Dateien) zur Überprüfung ausgewählt und der Datenverkehr zur Datenverarbeitung an IDS-Geräte gesendet wird.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/intrusion-detection-system-for-l3.html

    [Aus Build 41.28]

    [NSBASE-6800]

  • Neuer Entitätszähler für das Debuggen von virtuellen Loadbalancing-Servern

    Ein neuer Entitätszähler wurde für das Debuggen virtueller Server und für Analysezwecke hinzugefügt.

    [Aus Build 41.28]

    [NSBASE-8087]

  • Update für die IP-Adresse des Lizenzservers

    Sie können jetzt die IP-Adresse des Lizenzservers in einer VPX-Instanz aktualisieren, ohne dass dies Auswirkungen auf die zugewiesene Lizenzbandbreite und den Datenverlust hat. Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-vpx-check-in-check-out.html#update-a-licensing-server-ip-address

    [Aus Build 47.22]

    [NSCONFIG-1974]

  • Standard-RPC-Knotenkennwörter ändern

    In HA-, Cluster- und GSLB-Bereitstellungen wird eine Warnmeldung für die NSroot- und Superuser-Anmeldung angezeigt, wenn das Standard-RPC-Knotenkennwort nicht geändert wird.

    [Aus Build 41.28]

    [NSCONFIG-2224]

  • Rollback für den Upgrade-Prozess der in Betrieb befindlichen Software

    Hochverfügbarkeits-Setups unterstützen jetzt das Rollback des In Service Software Upgrade (ISSU) -Prozesses. Die ISSU-Rollback-Funktion ist hilfreich, wenn Sie feststellen, dass das HA-Setup nach oder während des ISSU-Prozesses nicht stabil ist oder nicht wie erwartet optimal funktioniert.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [Aus Build 41.28]

    [NSNET-9958]

  • SNMP-Traps für den Software-Upgrade-Prozess im Dienst

    Der In Service Software Upgrade (ISSU) -Prozess für ein Hochverfügbarkeits-Setup unterstützt jetzt das Senden von SNMP-Trap-Meldungen zu Beginn und am Ende des ISSU-Migrationsvorgangs.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [Aus Build 41.28]

    [NSNET-9959]

Videooptimierung

Behobene Probleme in früheren Versionen von Citrix ADC 13.0

Die Probleme, die in Citrix ADC 13.0-Versionen vor Build 47.24 behoben wurden. Die unter der Problembeschreibung angegebene Build-Nummer gibt den Build an, in dem dieses Problem behoben wurde.

Admin-Partition

  • Der Befehl “stat system memory” zeigt möglicherweise einen falschen Wert für das Feld “Free Memory (MB)” an, wenn die Citrix ADC-Appliance in der Standardpartition eine Speichernutzung von 100% erreicht.

    [Aus Build 47.22]

    [NSHELP-19239]

  • In einem Hochverfügbarkeits-Setup mit Administratorpartitionskonfiguration werden die vom sekundären Knoten generierten Prüfprotokolle nur dann an den SYSLOG- oder NSLOG-Server gesendet, wenn der SYSLOG- oder NSLOG-Server von der Admin-Partition aus erreichbar ist.

    [Aus Build 41.28]

    [NSHELP-19399]

  • In einem partitionierten Setup zeigt der CLI-Befehl “diff ns config” irreführende Informationen an.

    [Aus Build 41.28]

    [NSHELP-19530]

  • Die Citrix ADC-Appliance fügt möglicherweise nicht die Packet Engine (PE) -ID-Informationen zu den SNMP-Trap-Nachrichten im Zusammenhang mit der Admin-Partition hinzu.

    [Aus Build 47.22]

    [ NSHELP-19966]

  • In einem partitionierten Setup verlangsamt sich DNS und es tritt ein Timeout auf, nachdem eine Admin-Partition erstellt wurde.

    [Aus Build 47.22]

    [ NSHELP-19996]

AppFlow

  • Eine AppFlow-Richtlinie wird nicht ausgelöst, wenn sie an einen virtuellen Lastausgleichsserver gebunden ist, der sich hinter einem virtuellen Content Switching-Server befindet.

    [Aus Build 41.28]

    [NSHELP-18782, NSBASE-8180]

  • Die Citrix ADC-Appliance stürzt ab, wenn Sie ein anderes benutzerdefiniertes Analyseprofil als das intern gebundene Profil an eine AppFlow-Aktion binden.

    [Aus Build 41.28]

    [NSHELP-19362]

  • Wenn die AppFlow-Funktion “clientseitige Messungen” aktiviert ist, analysiert die Citrix ADC-Appliance unerwartet die CSS-Dateien einer HTML-Seite. Jeder Fehler beim CSS-Parsen kann dazu führen, dass die HTML-Seite falsch geladen wird.

    [Aus Build 41.28]

    [NSHELP-19375]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn AppFlow deaktiviert ist, aber die Frontend-Optimierung (FEO) mit clientseitigen Messungen in der FEO-Aktion aktiviert ist.

    [Aus Build 41.28]

    [NSHELP-19531]

  • Eine Citrix ADC-Appliance wird möglicherweise neu gestartet, wenn der AppFlow Collector im Logstream-Transportmodus geschlossen wird.

    [Aus Build 41.28]

    [NSHELP-19837]

  • Die Citrix ADC-Appliance reagiert möglicherweise nicht mehr, wenn Sie die AppFlow-Aktion entfernen, während der Datenverkehr durch die Appliance fließt.

    [Aus Build 47.22]

    [NSHELP-20523, NSHELP-21692]

Authentifizierung, Autorisierung und Auditing

  • Eine Citrix ADC-Appliance ermöglicht möglicherweise unbefugten Zugriff, wenn die folgenden Bedingungen erfüllt sind:

    • Entsprechende Autorisierungsrichtlinien sind nicht konfiguriert.

    • Der DefaultAuthorizationAction-Parameter im Befehl “set tm SessionParameter” ist standardmäßig ALLOW.

    [Aus Build 41.28]

    [NSAUTH-6013]

  • Das vom AD zur Citrix ADC-Appliance abgerufene LDAP-DN-Attribut wird gekürzt, wenn die Attributlänge mehr als 128 Byte beträgt.

    [Aus Build 47.22]

    [NSAUTH-7210]

  • Das SNMP sendet Traps, auch wenn die SSH-Authentifizierung mit öffentlichen Schlüsseln erfolgreich war.

    [Aus Build 41.28]

    [NSHELP-18303]

  • Der Befehl probe server liefert eine entsprechende Meldung, wenn der TACACS-Server die TCP-Verbindung mit FIN- oder RST-Paketen schließt, ohne eine Authentifizierungsantwort zu senden.

    [Aus Build 41.28]

    [NSHELP-18399]

  • Beim Upgrade des Citrix ADC-Cluster-Setups auf Version 10.5 auf eine höhere Version schlägt die Systemanmeldung bei einem Nicht-CCO-Knoten in der höheren Version fehl.

    [Aus Build 41.28]

    [NSHELP-18511, NSAUTH-5561]

  • Eine als SAML SP konfigurierte Citrix ADC-Appliance schlägt fehl, wenn der Server einen großen RelayState-Parameternamen zusammen mit der Assertion sendet.

    [Aus Build 41.28]

    [NSHELP-18559]

  • In einer Citrix Authentifizierungs-, Autorisierungs- und Audit-Abmeldenachricht wird gelegentlich ein falscher virtueller Servername angezeigt.

    [Aus Build 41.28]

    [NSHELP-18751]

  • Eine Citrix ADC-Appliance kann Kerberos-Tickets durch eine eingeschränkte Delegierung nicht abrufen, wenn eine der folgenden Bedingungen erfüllt ist:

    • Der Unternehmensparameter “Realm” ist für den Benutzer konfiguriert.

    • Der Domänenname im Parameter “keytab” ist in Kleinbuchstaben geschrieben.

    [Aus Build 47.22]

    [NSHELP-18946]

  • Eine Citrix ADC-Appliance kann Kerberos-Tickets durch eine eingeschränkte Delegierung nicht abrufen, wenn eine der folgenden Bedingungen erfüllt ist:

    • Der Unternehmensparameter “Realm” ist für den Benutzer konfiguriert.

    • Der Domänenname im Parameter “keytab” ist in Kleinbuchstaben geschrieben.

    [Aus Build 41.28]

    [NSHELP-18946]

  • Der Puffer wird beschädigt, wenn die folgenden Bedingungen erfüllt sind:

    • Die Daten im Puffer werden überschrieben.

    • Die Verarbeitung von Kern-zu-Core-Nachrichten führt zu einem Zustand, in dem der Puffer recycelt wird.

    [Aus Build 41.28]

    [NSHELP-18952]

  • Eine Citrix ADC-Appliance löscht keine unauthentifizierten HTTP OPTIONS-Anfragen, wenn User-Agent eines der in ns_aaa_activesync_useragents genannten Muster enthält.

    [Aus Build 41.28]

    [NSHELP-19024]

  • Die WebAuth-Authentifizierung schlägt nach mehreren Failovers auf einem Citrix Gateway-Gerät fehl.

    [Aus Build 41.28]

    [NSHELP-19050]

  • Eine Citrix ADC-Appliance kann abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Die Option zur Kennwortänderung ist in einem LDAP-Aktionsbefehl aktiviert.

    • Bei einer LDAP-Aktion mit Authentifizierungs-, Autorisierungs- und Überwachungssitzung tritt ein Problem mit der Sitzungsweiterleitung auf.

    [Aus Build 41.28]

    [NSHELP-19053]

  • Die Speichernutzung einer Citrix ADC-Appliance steigt, wenn der virtuelle Citrix Gateway- oder Traffic Management-Server die Kerberos-Authentifizierung verwendet.

    [Aus Build 41.28]

    [NSHELP-19085]

  • Wenn die Anzahl der Authentifizierungs-, Autorisierungs- und Überwachungssitzungen hoch ist, dauert es länger, eine Benutzersitzung zu beenden.

    [Aus Build 47.22]

    [NSHELP-19131]

  • Wenn der Parameter metadatUrl konfiguriert ist und die Citrix-Appliance neu gestartet wird, wird der Befehl samlAction nicht gespeichert und die Konfiguration geht verloren.

    [Aus Build 41.28]

    [NSHELP-19140]

  • Wenn Sie “Metadaten-URL importieren” festlegen und sie später bearbeiten, indem Sie die Umleitungs-URL von der Citrix ADC GUI angeben, wird die Umleitungs-URL festgelegt, aber die Metadaten-URL importieren wird nicht deaktiviert. Aus diesem Grund verwendet die Citrix ADC-Appliance die Metadaten-URL.

    [Aus Build 41.28]

    [NSHELP-19202]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Eingabe für die Citrix GUI- oder NITRO API-Anmeldeanforderung einen ungültigen Benutzernamen oder Kennwortwert enthält.

    [Aus Build 41.28]

    [NSHELP-19254]

  • Die Citrix-Appliance stürzt möglicherweise ab, wenn eine Anmeldeschemarichtlinie für die Authentifizierung auf noschema gesetzt ist.

    [Aus Build 41.28]

    [NSHELP-19292]

  • Eine Citrix ADC-Appliance schlägt gelegentlich fehl, wenn ein DefaultAuthenticationGroup-Parameter in einem samlidpProfile-Befehl konfiguriert ist.

    [Aus Build 41.28]

    [NSHELP-19301]

  • Die Anmeldung von Systembenutzern über die Citrix GUI oder die NITRO API mithilfe der rollenbasierten Zugriffsauthentifizierung (RBA) schlägt fehl, wenn über den virtuellen Lastausgleichsserver und den Loadbalancing-Dienst auf das Citrix ADC-Management zugegriffen wird.

    [Aus Build 41.28]

    [NSHELP-19385]

  • Active Directory Federation Services (ADFS) kann vom Citrix ADC SAML Service Provider (SP) generierte Metadaten nicht importieren.

    [Aus Build 41.28]

    [NSHELP-19390]

  • Die Base64-Dekodierung schlägt fehl, wenn eine digitale Signatur HTML-Entitätskodierungszeichen enthält.

    [Aus Build 41.28]

    [NSHELP-19410]

  • Eine für SAML Identity Provider (IdP) konfigurierte Citrix ADC-Appliance kann eingehende Authentifizierungsanfragen für bestimmte Anwendungen nicht authentifizieren.

    [Aus Build 41.28]

    [NSHELP-19443]

  • Wenn ein Dialog-Cookie in der Clientanfrage verarbeitet wird, bevor nach vorhandenen Sitzungen gesucht wird, sendet eine Citrix ADC-Appliance eine Seite zum Ändern des Kennworts an den Client.

    [Aus Build 47.22]

    [NSHELP-19528]

  • Wenn ein Dialog-Cookie in der Clientanfrage verarbeitet wird, bevor nach vorhandenen Sitzungen gesucht wird, sendet eine Citrix ADC-Appliance eine Seite zum Ändern des Kennworts an den Client.

    [Aus Build 41.28]

    [NSHELP-19528]

  • Wenn die URL das Sonderzeichen “;” enthält, kodiert das TASS-Cookie die URL-Umleitung zum Zeitpunkt der Anmeldung.

    [Aus Build 41.28]

    [NSHELP-19634]

  • Wenn die Benutzergruppenextraktion während einer Administratoranmeldung erfolgt, steigt die Speichernutzung von Citrix ADC AAA schrittweise an.

    [Aus Build 41.28]

    [NSHELP-19671]

  • In seltenen Fällen kann es bei der Bearbeitung von Authentifizierungs-, Autorisierungs- und Überwachungssitzungen zu Speicherverlusten kommen.

    [Aus Build 47.22]

    [NSHELP-19703]

  • Die Authentifizierung schlägt möglicherweise fehl, wenn eine als SAML mit WS-Fed-Protokoll konfigurierte Citrix ADC-Appliance ein Sonderzeichen “&” im Kennwort enthält.

    [Aus Build 41.28]

    [NSHELP-19740]

  • Eine Citrix ADC-Appliance kann im OTP-Verwaltungsablauf abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Das OTP-Anmeldeschema wird als erster Faktor verwendet.

    • Die E-Mail-Authentifizierung wird als zweiter Faktor verwendet.

    [Aus Build 47.22]

    [NSHELP-19759]

  • In einigen Fällen gibt eine Citrix ADC-Appliance den Kern aus, wenn der Befehl “show aaa group -loggedIn” ausgegeben wird.

    [Aus Build 47.22]

    [NSHELP-19793]

  • Eine 500er-Fehlermeldung wird angezeigt, wenn die folgenden Bedingungen erfüllt sind:

    • Der virtuelle Server für das Verkehrsmanagement mit aktivierter Authentifizierung, Autorisierung und Überwachung erhält eine Postanforderung ohne das Cookie.

    • Der Text des Beitrags enthält Zeilenumbrüche.

    [Aus Build 41.28]

    [NSHELP-19852]

  • Eine Citrix ADC-Appliance verarbeitet nicht authentifizierte HTTP-Anfragen mit der OPTIONS-Methode, die vom virtuellen Server für Authentifizierung, Autorisierung und Überwachung des Verkehrsmanagements empfangen wurde. Zu diesem Zeitpunkt antwortet die Appliance mit einer entsprechenden HTTP 401-Fehlermeldung.

    [Aus Build 41.28]

    [NSHELP-19916]

  • Eine Citrix ADC-Appliance sendet einen negativen Wert, wenn der maximale Alterswert für den HSTS-Header über 2.147.483.647 liegt.

    [Aus Build 41.28]

    [ NSHELP-19945]

  • Der SAML-Attributwert in der SAML-Antwort umfasst mehrere SAML-AttributeValue-Zeilen statt einer.

    [Aus Build 47.22]

    [ NSHELP-19961]

  • Der SAML-Attributwert in der SAML-Antwort umfasst mehrere SAML-AttributeValue-Zeilen statt einer.

    [Aus Build 41.28]

    [ NSHELP-19961]

  • In einem OpenID-Connect-Mechanismus kodiert OAuth Relying Party (RP) beim API-Aufruf zur Kennwortvergabe keine Benutzernamen- oder Kennworteigenschaften.

    [Aus Build 41.28]

    [ NSHELP-19987]

  • Auf der Seite AAA Group auf der Citrix ADC GUI wird die IP-Adresse nicht im Feld Intranet-IP-Adresse angezeigt.

    [Aus Build 47.22]

    [NSHELP-20068]

  • Eine als SAML Identity Provider (IdP) konfigurierte Citrix ADC-Appliance schneidet den Relaystate von Service Provider (SP) ab, wenn sie Anführungszeichen enthält.

    [Aus Build 47.22]

    [NSHELP-20131]

  • Eine als SAML Identity Provider (IdP) konfigurierte Citrix ADC-Appliance schneidet den Relaystate von Service Provider (SP) ab, wenn sie Anführungszeichen enthält.

    [Aus Build 41.28]

    [NSHELP-20131]

  • Wenn Sie das RFWebUI-Portaldesign nicht auf einer Citrix ADC-Appliance konfigurieren, stellen Sie möglicherweise die folgenden Änderungen fest:

    • Die angezeigten OTP-Verwaltungsseiten werden unterschiedlich angezeigt oder die OTP-Verwaltung funktioniert möglicherweise nicht.

    • Die Appliance zeigt unerwartetes Verhalten.

    [Aus Build 47.22]

    [ NSHELP-20144]

  • In seltenen Fällen schlägt die Authentifizierung fehl, wenn die Verbindung zum LDAP-Server über HTTPS hergestellt wird.

    [Aus Build 47.22]

    [NSHELP-20181]

  • Ein Citrix Gateway-Gerät kann ausfallen, wenn die folgenden Bedingungen erfüllt sind:

    • Wenn sich ein Benutzer von einer Sitzung abmeldet.

    • Die Appliance wird auf einer HDX-Plattform bereitgestellt.

    • Die SAML-Authentifizierung wird in Citrix Gateway verwendet.

    [Aus Build 41.28]

    [NSHELP-20206]

  • Ein Citrix Gateway-Gerät kann ausfallen, wenn die folgenden Bedingungen erfüllt sind:

    • Wenn sich ein Benutzer von einer Sitzung abmeldet.

    • Die Appliance wird auf einer HDX-Plattform bereitgestellt.

    • Die SAML-Authentifizierung wird in Citrix Gateway verwendet.

    [Aus Build 47.22]

    [NSHELP-20206]

  • Das Anmeldeschemaprofil des sekundären Knotens zeigt die Bezeichnungen auf der GUI-Seite “Authentifizierungs-Anmeldeschema konfigurieren” nicht korrekt an.

    [Aus Build 47.22]

    [NSHELP-20234]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie einen SAML-IdP auf einer FIPS-Appliance verwenden.

    [Aus Build 41.28]

    [NSHELP-20282]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie einen SAML-IdP auf einer FIPS-Appliance verwenden.

    [Aus Build 47.22]

    [NSHELP-20282]

  • Ein Citrix Gateway-Gerät kann gelegentlich fehlschlagen, wenn Benutzer versuchen, sich anzumelden, wenn sie einen VPX-Snapshot erstellen.

    [Aus Build 41.28]

    [NSHELP-20292]

  • Ein Citrix Gateway-Gerät kann gelegentlich fehlschlagen, wenn Benutzer versuchen, sich anzumelden, wenn sie einen VPX-Snapshot erstellen.

    [Aus Build 47.22]

    [NSHELP-20292]

  • Sie können eine Autorisierungsrichtlinie nicht über die Citrix ADC GUI-Schnittstelle aufheben.

    [Aus Build 47.22]

    [NSHELP-20298]

  • Eine als SAML Service Provider (SP) konfigurierte Citrix ADC-Appliance kann die von bestimmten IdPs gesendeten Assertionen möglicherweise nicht validieren, wenn der Namespace von SAML nicht vollständig definiert ist.

    [Aus Build 47.22]

    [NSHELP-20307]

  • Eine Citrix ADC-Appliance, die als SAML Service Provider (SP) auf dem virtuellen Server für das Verkehrsmanagement konfiguriert ist, sendet nach der SAML-Anmeldung keine Post-Text-Antwort an den Back-End-Server.

    [Aus Build 47.22]

    [NSHELP-20348]

  • Eine Citrix ADC-Appliance, die als SAML Service Provider (SP) auf dem virtuellen Server für das Verkehrsmanagement konfiguriert ist, sendet nach der SAML-Anmeldung keine Post-Text-Antwort an den Back-End-Server.

    [Aus Build 41.28]

    [NSHELP-20348]

  • In einer Citrix ADC-Appliance wird ein Speicherleck beobachtet, wenn die folgenden Bedingungen erfüllt sind:

    • Ein zweiter Faktor ist als Pass-Through konfiguriert.

    • Der Puffer wird nicht freigegeben.

    [Aus Build 47.22]

    [NSHELP-20390]

  • Die Citrix ADC-Appliance stürzt nach einem Upgrade auf Version 13.0 aufgrund eines Pufferüberlaufs ab.

    [Aus Build 47.22]

    [NSHELP-20416, NSAUTH-6770]

  • Ein FQDN im SSL-Zertifikat kann in einer Citrix ADC-Appliance aufgrund eines Pufferüberlaufs abstürzen.

    [Aus Build 47.22]

    [NSHELP-20476]

  • Mit der Citrix ADC GUI-Schnittstelle können Sie nicht mehrere Zertifikate entbinden.

    [Aus Build 47.22]

    [NSHELP-20598]

  • Eine Citrix Gateway-Appliance kann ausfallen, wenn Gateway zusammen mit IdP-Ketten als SAML IdP konfiguriert ist.

    [Aus Build 47.22]

    [NSHELP-20667]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn der Parameter SamlSigningCertName nicht in einem SamlAction-Befehl konfiguriert ist.

    [Aus Build 47.22]

    [NSHELP-20674]

  • Eine Citrix ADC-Appliance kann die Microsoft Outlook 2016-Benutzer möglicherweise nicht authentifizieren, wenn das Kennwort Umlaut-Zeichen enthält.

    [Aus Build 47.22]

    [NSHELP-20682]

  • Ein Kerberos-SSO kann fehlschlagen, wenn eine Citrix ADC-Appliance in einer Multidomänen-Umgebung (Parent-Child-Domäne) bereitgestellt wird und sich die Benutzer in der übergeordneten Domäne und die Dienste in der untergeordneten Domäne befinden.

    [Aus Build 47.22]

    [NSHELP-20910]

  • Der SAML-MetadataURL-Parameter funktioniert nicht, nachdem eine Citrix ADC-Appliance neu gestartet wurde.

    [Aus Build 47.22]

    [NSHELP-21006]

  • In seltenen Fällen schlägt die nFactor-Anmeldung fehl, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Die Citrix ADC-Appliance ist für die Zertifikatsauthentifizierung mit einem Fallback auf LDAP konfiguriert.

    • Die Zertifikatsauthentifizierung schlägt fehl.

    [Aus Build 47.22]

    [NSHELP-21118]

  • Wenn Citrix ADC für formularbasiertes SSO konfiguriert ist und Name-Wert-Paare in der Konfiguration angegeben sind, werden diese Werte ignoriert, wenn die Werte im Formular fehlen.

    [Aus Build 47.22]

    [NSHELP-21139]

  • Das folgende Verhalten wird in der Citrix ADC GUI beobachtet:

    • Sie können die OAuth-Richtlinien nicht bearbeiten.

    • Sie können nur OAuth-Aktionen bearbeiten.

    • Die Option OAuth-Richtlinien darf nur unter Erweiterte Richtlinien und nicht unter Basisrichtlinien stehen.

    [Aus Build 41.28]

    [NSHELP-2131]

  • Wenn Sie über die Citrix ADC GUI eine SAML-IdP-Richtlinie an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver binden, können Sie die nächste Aktion nicht ändern.

    [Aus Build 47.22]

    [NSHELP-479]

  • Gelegentlich kann ein Citrix Gateway-Gerät ausfallen, wenn es die Anforderung /vpns/services.html von einem Client empfängt.

    [Aus Build 41.28]

    [NSHELP-8513]

BaseCluster

  • Clustering In einem Cluster-Setup werden einige der an den Server gesendeten Anfragen möglicherweise verworfen, wenn Timestamp aktiviert ist.

    [Aus Build 47.22]

    [NSHELP-20394]

CPXCPX-Infra

  • Citrix ADC CPX

    Die folgenden Standard-TCP-Profile wurden nicht automatisch mit der maximalen TCP-Segmentgröße (MSS) festgelegt:

    • nstcp_default_profile

    • nstcp_internal_apps

    [Aus Build 41.28]

    [NSNET-11916]

Citrix ADC BLX-Appliance

  • Auf einer Citrix ADC BLX-Appliance, die im gemeinsamen Modus bereitgestellt wird, sind die Citrix ADC GUI und der NITRO-Dienst nicht verfügbar, wenn Sie den HTTP-Port (mghttpport) oder den HTTPS-Port (mghttpport) der BLX-Verwaltung mithilfe des Citrix ADC-Befehlszeilendienstprogramms (cli_script.sh set ns param) ändern.

    [Aus Build 47.22]

    [NSNET-10005]

  • Auf einer Citrix ADC BLX-Appliance können Sie die Schnittstelle 0/1 nicht an ein VLAN binden, da diese Schnittstelle für die interne Kommunikation zwischen der BLX-Appliance und Linux-Hostanwendungen verwendet wird.

    [Aus Build 41.28]

    [NSNET-10014]

  • Citrix ADC BLX-Appliances unterstützen keine statischen LA-Kanäle. Das Hinzufügen eines statischen LA-Kanals auf einer Citrix ADC BLX-Appliance kann zum Absturz der Appliance führen.

    [Aus Build 47.22]

    [NSNET-11929]

  • Schnittstellenfunktionen (z. B. Rx, Tx, GRO, GSO und LRO) sind für Schnittstellen (Linux-Host) deaktiviert, die der Citrix ADC BLX-Appliance zugewiesen sind. Diese Funktionen bleiben auch dann im deaktivierten Zustand, wenn diese BLX-Schnittstellen für den Standard-Namespace freigegeben werden, wenn die BLX-Appliance gestoppt wird.

    [Aus Build 41.28]

    [NSNET-9697]

Citrix ADC CLI

  • Wenn Sie als nsrecover-Benutzer angemeldet sind, geben die Befehle nscli -U einen Fehler aus.

    [Aus Build 41.28]

    [NSCONFIG-1414]

  • Eine Citrix ADC-Appliance reagiert nicht, wenn sie die maximale Anzahl von Benutzersitzungen (ca. 1000 Sitzungen) erreicht und wenn die Verwaltungsschnittstelle nicht mehr reagiert.

    [Aus Build 41.28]

    [NSHELP-19212, NSCONFIG-1369]

Citrix ADC CPX

  • Die leichtere Version der Citrix ADC CPX-Instanz wurde nicht auf Citrix ADM registriert.

    [Aus Build 41.28]

    [NSCONFIG-2232]

  • Sie können kein NSIP mit /32-Bit-Subnetzmaske für Citrix ADC CPX konfigurieren.

    [Aus Build 41.28]

    [NSNET-10968]

  • Sie können kein NSIP mit /32-Bit-Subnetzmaske für Citrix ADC CPX konfigurieren.

    [Aus Build 47.22]

    [NSNET-10968]

  • Die folgenden Standard-TCP-Profile wurden nicht automatisch mit der maximalen TCP-Segmentgröße (MSS) festgelegt:

    • nstcp_default_profile

    • nstcp_internal_apps

    [Aus Build 47.22]

    [NSNET-11916]

Citrix ADC GUI

  • Wenn Sie in einem Cluster-Setup einen neuen Trace starten (System > Diagnose > Neuen Trace starten), ist der Start-Trace-Vorgang erfolgreich. Die GUI zeigt jedoch fälschlicherweise den folgenden Fehler an:

    “Trace wurde nicht gestartet”

    [Aus Build 47.22]

    [NSHELP-18566]

  • Eine Fehlermeldung: “Die Eigenschaft ‘get’ von undefined kann nicht gelesen werden. “erscheint, wenn Sie auf der GUI-Seite der Stream Identifiers auf Action klicken.

    [Aus Build 41.28]

    [NSHELP-19369]

  • Die folgende Fehlermeldung wird angezeigt, nachdem Sie die Schritte 1 bis 4 ausgeführt haben.

    “Mehrdeutiger Argumentwert []”

    1. Erstellen Sie ein SSL-Profil mit Standardwerten.

    2. Binden Sie das Profil an einen virtuellen SSL-Server.

    3. Bearbeiten Sie SSL-Parameter, ändern Sie jedoch keine Werte.

    4. Wählen Sie OK, um das SSL-Parameter-Dialogfeld zu schließen.

    [Aus Build 41.28]

    [NSHELP-19402]

  • Wenn Sie in einem Cluster-Setup mithilfe der GUI eine Verschlüsselungsgruppe aus den erweiterten Einstellungen hinzufügen, wird die Verschlüsselungsgruppe nicht auf der Hauptseite angezeigt.

    [Aus Build 47.22]

    [NSHELP-19704]

  • Die Benutzerauthentifizierung bei der Citrix ADC GUI schlägt fehl, wenn beim Rollover-Mechanismus für VAR-Dateien ein Problem festgestellt wird.

    [Aus Build 47.22]

    [NSHELP-20229]

  • Sie können mit dem Suchfilter in der ADC-GUI nicht nach einer Entität suchen, wenn der Entitätsname ein Leerzeichen enthält.

    [Aus Build 47.22]

    [NSHELP-20506]

  • Wenn Sie die Syslog-GUI-Seite aufrufen, erscheint die folgende Fehlermeldung: “Die Eigenschaft ‘0’ von undefined kann nicht gelesen werden”.

    [Aus Build 47.22]

    [NSHELP-20574]

  • Nach einem Upgrade wird die Citrix ADC GUI-Homepage für Administratoren mit Superuser-Gruppenberechtigung nicht geladen.

    [Aus Build 47.22]

    [NSHELP-20638]

  • Sie können die Client-Authentifizierung jetzt in den SSL-Parametern eines virtuellen Servers mithilfe der GUI auf optional setzen. Zuvor wurde die Client-Authentifizierung auf obligatorisch umgestellt, wenn Sie die GUI verwendet haben, um SSL-Parameter zu ändern.

    [Aus Build 47.22]

    [NSHELP-21060]

  • Aufgrund einiger technischer Probleme im Framework werden nicht alle Dienstgruppen in der ADC-GUI angezeigt.

    [Aus Build 47.22]

    [NSUI-13754]

  • Aufgrund einiger technischer Probleme im Framework werden nicht alle Dienstgruppen in der ADC-GUI angezeigt.

    [Aus Build 41.28]

    [NSUI-13754]

Citrix ADC SDX-Appliance

  • Die maximale Anzahl von Kernen, die Sie jetzt auf einer VPX-Instanz konfigurieren können, hängt von den verfügbaren Kernen auf der jeweiligen SDX-Plattform ab. Früher konnten Sie maximal nur fünf Kerne konfigurieren, selbst wenn mehr Kerne verfügbar waren.

    Informationen zur maximalen Anzahl von Kernen, die Sie einer VPX-Instanz zuweisen können, finden Sie unter https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.html

    [Aus Build 41.28]

    [NSHELP-18632]

  • Nach der Wiederherstellung einer SDX-Appliance wurden die Partitions-MACs aus der Backupdatei auf den jeweiligen VPX-Instanzen, die auf der SDX-Appliance ausgeführt wurden, nicht wiederhergestellt.

    [Aus Build 41.28]

    [NSHELP-19008]

  • In einem VPX-HA-Setup, das auf SDX-Appliances ausgeführt wird, wenn einer der Switches im Virtual Port Channel (VPC) ausfällt, alle Schnittstellen, die Teil der LACP-Klappe sind. Dies löst einen HA-Failover aus.

    [Aus Build 47.22]

    [NSHELP-19095]

  • In einem VPX-HA-Setup, das auf SDX-Appliances ausgeführt wird, wenn einer der Switches im Virtual Port Channel (VPC) ausfällt, alle Schnittstellen, die Teil der LACP-Klappe sind. Dies löst einen HA-Failover aus.

    [Aus Build 41.28]

    [NSHELP-19095]

  • SDX 8900-Appliances stürzen möglicherweise ab, während Sie die SSL-Konfiguration anwenden, um die Überprüfung des Client-Zertifikats mit richtlinienbasierter Client-Authentifizierung auf optional einzustellen.

    [Aus Build 41.28]

    [NSHELP-19297]

  • Nach dem Upgrade einer SDX-Appliance gehen möglicherweise der LA-Kanal und die VLAN-Konfiguration auf der Appliance verloren.

    [Aus Build 41.28]

    [NSHELP-19392, NSHELP-19610]

  • Auf SDX 22XXX- und 24XXX-Appliances löst der SDX Management Service während der Systemzustandsüberwachung Fehlwarnungen aus.

    [Aus Build 47.22]

    [NSHELP-19795]

  • Wenn der Name der Sicherungsdatei ein Sonderzeichen enthält, schlägt das Wiederherstellen der SDX-Appliance für dieses Backup fehl. Mit dem Fix wird eine Fehlermeldung angezeigt, wenn die Backupdatei ein Sonderzeichen enthält.

    [Aus Build 47.22]

    [ NSHELP-19951]

  • Wenn Sie auf einer SDX-Appliance eine mit Burst-Durchsatz bereitgestellte VPX-Instanz wiederherstellen, schlägt die Wiederherstellung möglicherweise fehl.

    [Aus Build 47.22]

    [ NSHELP-20013]

  • Auf einer SDX-Appliance wird die Fehlermeldung “Keine zusätzlichen MACs für Mitglieder von Interface 10/1 verfügbar” angezeigt, wenn alle folgenden Bedingungen erfüllt sind:

    1. Sie instanziieren 19 VPX-Instanzen auf der SDX-Appliance, alle mit derselben Netzwerkschnittstelle

    2. Fügen Sie dann der 20. VPX-Instanz, die dieselbe Netzwerkschnittstelle wie die vorherigen Instanzen verwendet, MAC-Adressen hinzu.

    3. Die Anzahl der MAC-Adressen auf der 20. VPX-Instanz ist doppelt so hoch wie die der ersten VPX-Instanz hinzugefügten MAC-Adressen

    [Aus Build 47.22]

    [NSHELP-20158]

  • Bei der Konfiguration der gepoolten Lizenzierung in der SDX 14000 FIPS-Appliance konnten Sie mindestens 25 Instanzen auschecken. Mit diesem Fix können Sie mindestens zwei Instanzen auschecken. Weitere Informationen finden Sie im Dokument zur gepoolten Kapazität von Citrix ADC:

    https://docs.citrix.com/de-de/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html.

    [Aus Build 41.28]

    [NSHELP-20305]

  • Bei der Konfiguration der gepoolten Lizenzierung in der SDX 14000 FIPS-Appliance konnten Sie mindestens 25 Instanzen auschecken. Mit diesem Fix können Sie mindestens zwei Instanzen auschecken. Weitere Informationen finden Sie im Dokument zur gepoolten Kapazität von Citrix ADC:

    https://docs.citrix.com/de-de/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html.

    [Aus Build 47.22]

    [NSHELP-20305]

  • Nach einem Reset-Vorgang sinkt die Übertragungsrate.

    [Aus Build 41.28]

    [NSPLAT-7792]

  • Auf den Plattformen SDX 26000 und SDX 15000 wird der Verwaltungszugriff über SSH auf DOM0 möglicherweise beendet, wenn die folgenden Bedingungen erfüllt sind:

    • Mehr als eine VPX-Instanz wird gleichzeitig neu gestartet.

    • Den VPX-Instanzen sind 100 GE- oder 50 GE-Schnittstellen zugewiesen.

    [Aus Build 47.22]

    [NSPLAT-9185]

  • Auf den Plattformen SDX 26000 und SDX 15000 wird der Verwaltungszugriff über SSH auf DOM0 möglicherweise beendet, wenn die folgenden Bedingungen erfüllt sind:

    • Mehr als eine VPX-Instanz wird gleichzeitig neu gestartet.

    • Den VPX-Instanzen sind 100 GE- oder 50 GE-Schnittstellen zugewiesen.

    [Aus Build 41.28]

    [NSPLAT-9185]

  • Eine SDX-Appliance hängt möglicherweise am Ende ihres Neustartzyklus, wenn alle folgenden Bedingungen erfüllt sind:

    • Die SDX-Appliance wird gestartet.

    • Alle VPX-Instanzen, die auf der SDX-Appliance ausgeführt werden, müssen noch verfügbar sein.

    • Warme Neustartbefehle werden auf der SDX-Appliance ausgeführt.

    Auf der Citrix Hypervisor-Konsole durchläuft die SDX-Appliance daher eine regelmäßige Bereinigung und stoppt in der Zeile “Finaler Schritt des Ziels erreicht”.

    [Aus Build 41.28]

    [NSPLAT-9417]

  • Nachdem Sie ein VLAN aus der Liste der zulässigen VLANs (AVL) auf einer VPX-Instanz konfiguriert haben, die auf einer SDX-Appliance ausgeführt wird, wird die Instanz nicht automatisch neu gestartet. Infolgedessen wird die Kommunikation zwischen der VPX-Instanz und AVL beendet.

    [Aus Build 41.28]

    [NSSVM-135]

Citrix ADC VPX-Appliance

  • Möglicherweise können Sie mithilfe der Management-IP nicht auf eine VPX-Instanz zugreifen, wenn die Instanz über eine vCPU-Lizenz verfügt. Das Problem tritt in allen VPX-Instanzen auf, lokal und in der Cloud. Wenn die VPX-Instanz auf einer SDX-Appliance läuft, können Sie über die SDX Management Service GUI auf die Instanz zugreifen.

    [Aus Build 41.28]

    [NSPLAT-10710]

  • Möglicherweise können Sie mithilfe der Management-IP nicht auf eine VPX-Instanz zugreifen, wenn die Instanz über eine vCPU-Lizenz verfügt. Das Problem tritt in allen VPX-Instanzen auf, lokal und in der Cloud. Wenn die VPX-Instanz auf einer SDX-Appliance läuft, können Sie über die SDX Management Service GUI auf die Instanz zugreifen.

    [Aus Build 47.22]

    [NSPLAT-10710]

  • Aufgrund einer Azure-Stack-Beschränkung wird Datenverkehr, der eine veränderte MAC-Adresse verwendet, nicht unterstützt. Daher muss in einer Azure Stack ADC-Bereitstellung der MAC-basierte Weiterleitungsmodus (MBF) deaktiviert werden.

    [Aus Build 47.22]

    [NSPLAT-11778]

  • Wenn Sie die MTU-Größe über die Citrix ADC VPX GUI festlegen, wird die Fehlermeldung “Operation nicht unterstützt” angezeigt.

    [Aus Build 41.28]

    [NSPLAT-9594]

Citrix Gateway

  • Citrix Gateway-Intranetanwendungen unterstützen jetzt kommagetrennte Hostnamen für FQDN-basiertes Tunneling.

    [Aus Build 41.28]

    [CGOP-10855]

  • Wenn das Citrix Gateway-Plug-in für macOS nicht installiert ist und der Benutzer versucht, von Safari aus auf VPN zuzugreifen, wird eine Fehlermeldung angezeigt.

    [Aus Build 41.28]

    [CGOP-11240]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

    [Aus Build 41.28]

    [CGOP-11830]

  • Nach einem Upgrade von Citrix ADC und dem Gateway-Plug-In auf Version 13.0 Build 41.20 tritt bei Benutzern beim Versuch, den VPN-Tunnel einzurichten, ein BSOD-Fehler (Continuous Blue Screen of Death) auf.

    [Aus Build 47.22]

    [CGOP-12099]

  • In einem Citrix Gateway-Cluster-Setup kann die Citrix ADC-Appliance während des Cluster-Upgrades aufgrund einiger Änderungen in den internen Datenstrukturen abstürzen.

    [Aus Build 47.22]

    [NSAUTH-7153]

  • ESP (Encapsulating Security Payload) -Pakete werden während der Übertragung verworfen, wenn die LSN-Konfiguration auf der Citrix ADC-Appliance nicht aktiviert ist.

    [Aus Build 41.28]

    [NSHELP-18502]

  • In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten abstürzen, wenn SAML konfiguriert ist.

    [Aus Build 41.28]

    [NSHELP-18691]

  • Wenn ein RDP-Serverprofil auf dieselbe Portnummer und IP-Adresse wie die des virtuellen Content Switching-Servers eingestellt ist, geht die Content Switching-Konfiguration nach dem Neustart verloren.

    [Aus Build 41.28]

    [ NSHELP-18818]

  • In einigen Fällen wird beim Zugriff auf das Citrix Gateway-Gerät mit einem IE-Browser die Citrix Gateway-Anmeldeseite erst nach einer Aktualisierung angezeigt.

    [Aus Build 41.28]

    [NSHELP-18938]

  • In Citrix ADM meldet die Seite Analytics > Gateway Insight die beendeten VPN-Sitzungen falsch.

    [Aus Build 41.28]

    [NSHELP-19037]

  • In einem Hochverfügbarkeits-Setup stürzt der sekundäre Knoten ab, wenn die entfernten Benutzerinformationen nicht mit dem Knoten synchronisiert werden.

    [Aus Build 41.28]

    [NSHELP-19065]

  • Das Dialogfeld “Server ausgelastet” wird im Fenster des VPN-Plug-ins auf dem Client-Computer angezeigt, wenn der Computer länger als zwei Stunden inaktiv bleibt.

    [Aus Build 41.28]

    [NSHELP-19072]

  • UDP-, DNS- und ICMP-Autorisierungsrichtlinien werden nicht für die Verbindungen zwischen einem Client im internen Netzwerk und einem VPN-Client (serverinitiierte Verbindungen) angewendet.

    [Aus Build 41.28]

    [NSHELP-19142]

  • In einigen Fällen kann das auf dem Citrix Gateway-Server konfigurierte Anmeldeskript auf den Client-Computern nicht ausgeführt werden.

    [Aus Build 41.28]

    [NSHELP-19163]

  • Der Advanced Endpoint Analysis (EPA) -Scan schlägt für die macOS-Geräte fehl.

    [Aus Build 41.28]

    [NSHELP-19328]

  • In einigen Fällen gibt eine Citrix ADC-Appliance den Kern aus, wenn die folgenden Bedingungen erfüllt sind.

    • Die Zwei-Faktor-Authentifizierung ist für den nativen VMware Horizon Client aktiviert.

    • Radius ist als erster Authentifizierungsfaktor konfiguriert.

    • Der Radius-Server antwortet bei erfolgreicher Authentifizierung mit den Gruppennamen.

    [Aus Build 41.28]

    [NSHELP-19333]

  • Die folgende Meldung wird fälschlicherweise angezeigt, wenn über den Microsoft Edge-Browser auf Citrix Gateway zugegriffen wird und EPA oder VPN nicht verwendet werden.

    “Volles VPN und EPA werden im Edge-Browser nicht unterstützt. Bitte verwenden Sie einen anderen Browser für eine bessere Erfahrung. “

    [Aus Build 47.22]

    [NSHELP-19367]

  • In einigen Fällen dauert das Abmelden vom Windows VPN-Plug-In länger als erwartet.

    [Aus Build 41.28]

    [NSHELP-19394]

  • In einigen Fällen setzt das Citrix Gateway-Gerät bei der Verarbeitung der nicht authentifizierten Anfragen ein ungültiges Cookie.

    [Aus Build 47.22]

    [NSHELP-19403]

  • In einigen Fällen setzt das Citrix Gateway-Gerät bei der Verarbeitung der nicht authentifizierten Anfragen ein ungültiges Cookie.

    [Aus Build 41.28]

    [NSHELP-19403]

  • In einigen Fällen gibt ein Citrix Gateway-Gerät den Kern aus, wenn das virtuelle PCOIP-Serverprofil auf einem virtuellen VPN-Server festgelegt ist, PCoipProfile jedoch nicht unter Sitzungsaktion festgelegt ist.

    [Aus Build 41.28]

    [NSHELP-19412]

  • In einigen Fällen gibt das Citrix Gateway-Gerät den Kern aus, wenn auf das Gerät zugegriffen wird

    der vollständige VPN-Tunnelmodus.

    [Aus Build 41.28]

    [NSHELP-19444]

  • Das Citrix Gateway-Plug-In für macOS kann interne Hostnamen nicht auflösen, wenn die Option Local LAN Access auf einer Citrix ADC-Appliance aktiviert ist.

    [Aus Build 41.28]

    [NSHELP-19543]

  • Das Citrix Gateway-Plug-In für macOS kann interne Hostnamen nicht auflösen, wenn die Option Local LAN Access auf einer Citrix ADC-Appliance aktiviert ist.

    [Aus Build 47.22]

    [NSHELP-19543]

  • In einigen Fällen schlägt EPA für virtuelle Maschinen fehl, die unter dem Betriebssystem Ubuntu laufen.

    [Aus Build 47.22]

    [NSHELP-19556]

  • In einem HA-Paar-Setup werden die persistenten Sitzungen auf dem primären Knoten aufgrund eines Problems mit dem Sitzungssynchronisierungscode auf dem VPN-Server nicht gelöscht.

    [Aus Build 47.22]

    [NSHELP-19557]

  • Der DTLS-Dienst auf einem virtuellen VPN-Server funktioniert mit einem Standardsatz von Verschlüsselungen, die nicht über die Verschlüsselungsbefehle bind oder unbind über die CLI geändert werden können.

    [Aus Build 47.22]

    [NSHELP-19561]

  • Der DTLS-Dienst auf einem virtuellen VPN-Server funktioniert mit einem Standardsatz von Verschlüsselungen, die nicht über die Verschlüsselungsbefehle bind oder unbind über die CLI geändert werden können.

    [Aus Build 41.28]

    [NSHELP-19561]

  • Die Audioqualität von Skype-Anrufen wird negativ beeinflusst, wenn mehrere Anwendungen/Verbindungen über das VPN getunnelt werden. Dies geschieht aufgrund einer unsachgemäßen Speicherverwaltung.

    [Aus Build 41.28]

    [NSHELP-19630]

  • Ein Citrix Gateway erkennt die Anmeldeausdrucksrichtlinie in einem Windows-Plug-In während der nFactor-Authentifizierung nicht.

    [Aus Build 41.28]

    [NSHELP-19640]

  • Die Funktion “Location Based Awareness” funktioniert auf Client-Computern nicht, wenn das Gerät von einer netzwerkfreien Zone in eine mit dem Netzwerk verbundene Zone [Internet oder Intranet] gebracht wird.

    [Aus Build 41.28]

    [NSHELP-19657]

  • Der Endpoint Analysis (EPA) -Scan konnte das 4096-Bit-Schlüsselgerätezertifikat nicht validieren.

    [Aus Build 47.22]

    [NSHELP-19697]

  • Das Problem liegt bei Linux-Empfängern, bei denen das Verschlüsselungsmodul (ICA_MODULE_PD) während des ICA-Handshakes nicht vom Receiver in PACKET_INIT_RESPONSE empfangen wird und daher in ADC ein Nullverschlüsselungshandler vorhanden ist, was zum Absturz führt. ADC to skip analysiert die Verbindung, wenn vom Receiver keine Verschlüsselungsparameter empfangen wurden.

    [Aus Build 47.22]

    [NSHELP-19758]

  • In Einzelfällen kommt es zu einem Speicherfehler, der einen Core-Dump verursacht, während ein beschädigter SSL-VPN-Authentifizierungs-, Autorisierungs- und Audit-Sitzungseintrag nach Ablauf des Timeouts gelöscht wird.

    [Aus Build 47.22]

    [ NSHELP-19775]

  • Wenn ein in Azure gehosteter Authentifizierungsfaktor in Citrix MFA verwendet wird, schlägt die Anmeldung bei Citrix Gateway mithilfe des Windows-Plug-ins fehl. Dies liegt daran, dass der MFA-HTTP-Timeout-Wert kleiner ist als der Timeout-Wert des Citrix Gateway Windows-Plug-ins.

    Mit diesem Fix wird der Timeout-Wert für das Citrix Gateway Windows-Plug-In erhöht, um Anmeldefehler zu vermeiden. Außerdem kann der HTTP-Timeout-Wert jetzt konfiguriert werden, indem der folgende Registrierungswert (in Sekunden) festgelegt wird:

    ComputerHkey_Local_MachineSoftwareCitrixSecure Access ClientHttpTimeout

    [Aus Build 41.28]

    [NSHELP-19848]

  • Die Transfer-Anmeldeseite für einen bestehenden Benutzer funktioniert nicht in anderen Sprachen als Englisch.

    [Aus Build 47.22]

    [NSHELP-19859]

  • In einigen Fällen schlägt der EPA-Scan auf Windows-Computern fehl.

    [Aus Build 41.28]

    [NSHELP-19865]

  • In seltenen Fällen können Citrix ADC-Appliances, die in einem Hochverfügbarkeits-Setup (HA) bereitgestellt werden, abstürzen, was zu einem häufigen HA-Failover führt, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Gateway Insight ist aktiviert.

    • SSO schlägt fehl.

    [Aus Build 47.22]

    [ NSHELP-19922]

  • In seltenen Fällen können Citrix ADC-Appliances, die in einem Hochverfügbarkeits-Setup (HA) bereitgestellt werden, abstürzen, was zu einem häufigen HA-Failover führt, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Gateway Insight ist aktiviert.

    • SSO schlägt fehl.

    [Aus Build 41.28]

    [ NSHELP-19922]

  • Wenn ICA Insight für EDT-Sitzungen aktiviert ist, kann es zu einem eingefrorenen Bildschirm oder zu Verzögerungen bei der Ausführung des Anwendungsbildschirms kommen.

    [Aus Build 47.22]

    [ NSHELP-19934]

  • Die Windows Intune-Registrierungsprüfung kann auf den Client-Computern nicht deaktiviert werden. Die Prüfung ist standardmäßig aktiviert.

    Mit diesem Fix kann die Windows Intune-Registrierungsprüfung deaktiviert werden.

    Um die Prüfung zu deaktivieren, setzen Sie den folgenden Registrierungseintrag auf 1:

    ComputerHKEY_LOCAL_MACHINESoftwareCitrixSecure Access Client Deaktiviere die Intune-Geräteregistrierung

    [Aus Build 41.28]

    [ NSHELP-19942]

  • In seltenen Fällen stürzt das Citrix Gateway ab, während GSLB die Statistiken der VPN-Dienste aktualisiert.

    [Aus Build 47.22]

    [ NSHELP-19992]

  • Die Audioqualität für VOIP-Anwendungen wird negativ beeinflusst, wenn mehrere Anwendungen oder Verbindungen über das VPN getunnelt werden.

    [Aus Build 41.28]

    [NSHELP-20097]

  • Die Audioqualität für VOIP-Anwendungen wird negativ beeinflusst, wenn mehrere Anwendungen oder Verbindungen über das VPN getunnelt werden.

    [Aus Build 47.22]

    [NSHELP-20097]

  • Das Finden von URLs, die für die fortschrittliche clientlose VPN-Verarbeitung neu geschrieben werden müssen, führt zu einer hohen CPU-Auslastung. Infolgedessen verlangsamt sich das System.

    [Aus Build 41.28]

    [ NSHELP-20122]

  • Das Finden von URLs, die für die fortschrittliche clientlose VPN-Verarbeitung neu geschrieben werden müssen, führt zu einer hohen CPU-Auslastung. Infolgedessen verlangsamt sich das System.

    [Aus Build 47.22]

    [ NSHELP-20122]

  • In einem Hochverfügbarkeits-Setup stürzt der sekundäre Knoten ab, wenn eine Authentifizierungs-, Autorisierungs- und Auditing-Sitzung oder eine VPN-Sitzung, die SAML-bezogene Informationen enthält, an den primären Knoten weitergegeben wird.

    [Aus Build 47.22]

    [NSHELP-20230]

  • Die Citrix ADC-Appliance reagiert möglicherweise nicht mehr, wenn HDX Insight aktiviert ist.

    [Aus Build 47.22]

    [NSHELP-20280]

  • Ein Client-Computer kann keine Verbindung zu einem Citrix Gateway-Gerät herstellen, da das Gerät bei der STA-Aktualisierung ein falsches STA-Ticket sendet.

    [Aus Build 41.28]

    [NSHELP-20285]

  • Ein Client-Computer kann keine Verbindung zu einem Citrix Gateway-Gerät herstellen, da das Gerät bei der STA-Aktualisierung ein falsches STA-Ticket sendet.

    [Aus Build 47.22]

    [NSHELP-20285]

  • EPA-Scans sind nicht abgeschlossen und reagieren nicht mehr.

    [Aus Build 47.22]

    [NSHELP-20319]

  • Benutzer können mithilfe der Citrix Gateway-GUI keine clientlosen Zugriffsrichtlinien über den Policy Manager hinzufügen.

    [Aus Build 47.22]

    [NSHELP-20333]

  • Beim Hinzufügen von Domänen für ein clientloses Zugriffsprofil wird eine horizontale Scrollleiste angezeigt, wenn der FQDN lang ist.

    [Aus Build 41.28]

    [NSHELP-20341]

  • Beim Hinzufügen von Domänen für ein clientloses Zugriffsprofil wird eine horizontale Scrollleiste angezeigt, wenn der FQDN lang ist.

    [Aus Build 47.22]

    [NSHELP-20341]

  • Das VPN-Plug-In entsperrt den gesamten TCP-Verkehr bis zur Captive-Portalauthentifizierung, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Der Client-Computer ist für den AlwaysOn-, OnlyToGateway-Modus konfiguriert.

    • Der Client-Computer ist mit einem Captive-Portalnetzwerk verbunden.

    [Aus Build 47.22]

    [NSHELP-20360]

  • Der AlwaysOn-Dienst kann zeitweise keinen VPN-Tunnel einrichten, wenn der Parameter NetworkAccessOnVPNFailure auf “Only to Gateway” gesetzt ist.

    [Aus Build 47.22]

    [NSHELP-20369]

  • Wenn DTSL aktiviert ist, kann es zu Verzögerungen bei den Reaktionen von Tastatur und Maus auf Ihre Aktionen auf einem gestarteten Desktop kommen.

    [Aus Build 47.22]

    [NSHELP-20447]

  • Der Network Level Authentication (NLA) -Dienst wird jedes Mal neu gestartet, wenn sich ein Benutzer an- oder abmeldet. Dies liegt daran, dass die mit den nsapimgr-Reglern konfigurierten Einstellungen nicht berücksichtigt werden.

    [Aus Build 47.22]

    [NSHELP-20494]

  • Das Citrix Windows-Plug-In kann mit Mozilla Firefox 68.0 keine Verbindung zu Citrix Gateway herstellen.

    [Aus Build 47.22]

    [NSHELP-20503]

  • In einem Hochverfügbarkeits-Setup sind während des Citrix ADC-Failovers die Symbole einiger Apps im Ordner /var/netscaler/logon nicht sichtbar.

    [Aus Build 47.22]

    [NSHELP-20573]

  • Ein leerer Bildschirm wird angezeigt und StoreFront-Apps werden bei der Übertragungsanmeldung nicht aufgeführt, wenn die beiden folgenden Bedingungen erfüllt sind:

    • SplitTunnel ist auf ON gesetzt.

    • Die Option IP-Adresspool (Intranet-IP) ist auf NoSpillover gesetzt.

    [Aus Build 47.22]

    [NSHELP-20584]

  • Eine Citrix ADC-Appliance kann neu geschriebene URLs für clientloses VPN nicht dekodieren, wenn die URLs “%2E” im FQDN enthalten.

    [Aus Build 47.22]

    [NSHELP-20603]

  • Benutzer können über den erweiterten clientlosen VPN-Zugriff nicht von SharePoint aus auf Microsoft Office-Dokumente zugreifen.

    [Aus Build 47.22]

    [NSHELP-20611]

  • Nachdem Sie die Citrix ADC-Appliance auf Version 12.1 Build 54.13 und höher aktualisiert haben, wird beim Zugriff auf die RDP-Ressourcen möglicherweise die folgende Meldung angezeigt.

    “Fehler: kein privilegierter Benutzer”

    [Aus Build 47.22]

    [NSHELP-20678]

  • Die Citrix ADC-Appliance reagiert möglicherweise nicht mehr, wenn HDX Insight aktiviert ist und ein Speichermangel vorliegt.

    [Aus Build 47.22]

    [NSHELP-20707]

  • Der virtuelle Citrix-Adapter bleibt verbunden, auch wenn sich die VPN-Maschine im Ruhemodus befindet und eine Abmeldung ausgelöst wird. Benutzer müssen die Anwendung beenden oder das VPN-Gerät neu starten, um Zugriff auf das Netzwerk zu erhalten.

    [Aus Build 47.22]

    [NSHELP-20755]

  • Die Citrix ADC-Appliance reagiert möglicherweise nicht mehr, wenn die Appliance für Proxy-EDT-Verbindungen konfiguriert ist und ein geringer Speichermangel vorliegt.

    [Aus Build 47.22]

    [NSHELP-20761]

  • Die nFactor-Authentifizierung schlägt fehl, wenn das Online Certificate Status Protocol (OCSP) für die Überprüfung des Gerätezertifikats aktiviert ist.

    [Aus Build 47.22]

    [NSHELP-20855]

  • Die auf der StoreFront konfigurierten Apps werden nicht auf der Citrix Gateway-Homepage angezeigt, wenn alle der folgenden Bedingungen erfüllt sind:

    • WiHome ist konfiguriert.

    • Erweiterter clientloser VPN-Zugriff ist aktiviert.

    • Der Benutzer meldet sich entweder über einen Internet Explorer oder Firefox an.

    [Aus Build 47.22]

    [NSHELP-20888]

  • Benutzer können nicht auf interne Ressourcen zugreifen, selbst wenn das VPN erfolgreich verbunden ist, aber die DNS-Server sind nicht korrekt für den Citrix Virtual Adapter konfiguriert.

    [Aus Build 47.22]

    [NSHELP-20892]

  • Benutzer erhalten gelegentlich die Fehlermeldung “Error 403 Access Denied”, wenn sie eine Citrix Gateway-URL mit dem RFWebUI-Design laden.

    [Aus Build 47.22]

    [NSHELP-20895]

  • Der AlwaysOn-Dienst mit Benutzerpersona kann keinen Benutzertunnel einrichten, wenn sich im Gerätespeicher mehrere Gerätezertifikate befinden.

    [Aus Build 47.22]

    [NSHELP-20897, NSHELP-21583]

  • In einem Hochverfügbarkeits-Setup kann die sekundäre Citrix ADC-Appliance abstürzen, wenn die Sitzungszuverlässigkeit in einem Hochverfügbarkeits-Setup aktiviert ist.

    [Aus Build 41.28]

    [NSHELP-5257, NSINSIGHT-1208, NSHELP-3807, NSHELP-3808, NSHELP-5414, NSHELP-5417, NSHELP-5428, NSHELP-17883, NSHELP-17894, NSHELP-17904]

  • Auf einer Anmeldeseite für virtuelle Server zur Authentifizierung, Autorisierung und Überwachung wird anstelle einer aussagekräftigen Fehlermeldung eine Fehlercodenummer angezeigt.

    [Aus Build 41.28]

    [NSHELP-7872]

  • Auf einer Anmeldeseite für virtuelle Server zur Authentifizierung, Autorisierung und Überwachung wird anstelle einer aussagekräftigen Fehlermeldung eine Fehlercodenummer angezeigt.

    [Aus Build 47.22]

    [NSHELP-7872]

  • In einigen Fällen gibt ein Citrix Gateway-Gerät den Kern aus, da sich die ausstehenden STA-Aktualisierungsvorgänge unendlich ansammeln.

    [Aus Build 41.28]

    [NSHELP-8684]

Citrix Web App Firewall

  • Die ursprünglichen Einstellungen der Citrix Web App Firewall werden auf die Standardeinstellungen überschrieben.

    Wenn Sie beispielsweise für einige Signaturen die Option “Aktivieren” ausgewählt haben, wird die Einstellung beim Zusammenführen von Signaturen auf “deaktivieren” überschrieben.

    [Aus Build 41.28]

    [NSHELP-17841]

  • Ein Konfigurationsverlust wird beobachtet, wenn Sie ein Hochverfügbarkeits- oder Cluster-Setup neu starten, wobei die Option rfcprofile in der laufenden Konfiguration aktiviert ist.

    [Aus Build 41.28]

    [ NSHELP-18856]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Funktionen im Web App Firewall-Profil aktiviert sind.

    • XML-Verarbeitung.

    • Einblicke in die Sicherheit.

    [Aus Build 47.22]

    [NSHELP-18869, NSHELP-21691]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Konfigurationsänderungen der Citrix Web App Firewall in einem Cluster-Setup nicht ordnungsgemäß verarbeitet werden.

    [Aus Build 41.28]

    [ NSHELP-18870]

  • Nachdem Sie eine Entspannungsregel hinzugefügt haben, werden ähnliche URLs nicht aus der Liste der erlernten Regeln gelöscht.

    [Aus Build 41.28]

    [NSHELP-19298]

  • Nachdem Sie eine Entspannungsregel hinzugefügt haben, werden ähnliche URLs nicht aus der Liste der erlernten Regeln gelöscht.

    [Aus Build 47.22]

    [NSHELP-19298]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn große Formularteile verarbeitet werden und wenn der Feldkonsistenzparameter im Citrix Web App Firewall-Profil aktiviert ist.

    [Aus Build 41.28]

    [NSHELP-19299]

  • Eine Citrix ADC-Appliance setzt möglicherweise Clientverbindungen zurück, wenn ein hoher XML-Verkehr besteht.

    [Aus Build 41.28]

    [NSHELP-19314]

  • Wenn Sie die URL-Transformationsrichtlinie aktivieren und wenn die Antwort eines Body-Attributwerts Sonderzeichen enthält, ersetzt Content Switching in einem SSL-Offload die Sonderzeichen möglicherweise als entitätskodierte Werte.

    [Aus Build 41.28]

    [NSHELP-19356]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn CONNECT-Anforderungen empfangen werden. Das Problem tritt auf, wenn Sie die Standardprofileinstellungen auf einen anderen Wert als APPFW_BYPASS, APPFW_RESET, APPFW_DROP, APPFW_BLOCK festlegen.

    [Aus Build 41.28]

    [NSHELP-19603]

  • Webanfragen mit vielen Abfrageparametern erhalten möglicherweise keine Antwort, wenn der Parameter zum Schutz der Feldkonsistenz aktiviert ist.

    [Aus Build 41.28]

    [NSHELP-19811]

  • Webanfragen mit vielen Abfrageparametern erhalten möglicherweise keine Antwort, wenn der Parameter zum Schutz der Feldkonsistenz aktiviert ist.

    [Aus Build 47.22]

    [NSHELP-19811]

  • Eine Citrix ADC-Appliance schlägt fehl, wenn die folgenden Bedingungen erfüllt sind:

    • Web App Firewall-Richtlinien verwenden HTTP-Regeln, die auf dem Text basieren, z. B. HTTP.REQ.BODY(..)),

    • Web App Firewall-Funktion ist deaktiviert.

    [Aus Build 41.28]

    [NSHELP-19879]

  • In einem Hochverfügbarkeits-Setup kann die Aktivierung der IP-Reputationsfunktion zu Fehlern bei der Befehlsweiterleitung für hohe Verfügbarkeit führen.

    [Aus Build 47.22]

    [ NSHELP-20010]

  • Auf einer Citrix ADC SDX-Appliance kann eine Citrix ADC VPX-Instanz aufgrund eines internen Problems im WAF-Modul abstürzen.

    [Aus Build 47.22]

    [NSHELP-20096]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein interner Kommunikationsfehler mit der SQLite-Bibliothek auftritt.

    [Aus Build 47.22]

    [NSHELP-20173]

  • Wenn Sie nach einem Upgrade eine Signatur an das Web App Firewall-Profil binden, löscht die Appliance im Hintergrund eine eingehende Anfrage.

    [Aus Build 47.22]

    [NSHELP-20201, NSWAF-3427, NSHELP-20599]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Regex-Muster für Signaturdateien verarbeitet werden und wenn Bigstack nicht verfügbar ist.

    [Aus Build 47.22]

    [NSHELP-20359]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen eingehalten werden:

    • Der Ausdruck für die IP-ReputationsRichtlinie wird in einem virtuellen Lastausgleichsserver des Typs TCP verwendet.

    • Security Insight ist aktiviert.

    [Aus Build 47.22]

    [NSHELP-20410]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Signaturfunktion aktiviert ist und ein bestimmtes Anforderungsmuster erkannt wird.

    [Aus Build 47.22]

    [NSHELP-20884, NSHELP-19583]

  • Neue Option zur Begrenzung der durch Signatur überprüften Postbody-Bytes

    Nachdem Sie Ihre Appliance auf Citrix ADC Version 13.0 aktualisiert haben, sehen Sie jetzt eine neue Profiloption, “Signature Post Body Limit (Bytes)” mit einem Standardwert von 8192 Byte. Ihr Appliance-Upgrade setzt die Option auf den Standardwert. Sie können diese Option ändern, um die auf Signaturen überprüfte Anforderungspayload (in Byte) auf den als ‘HTTP_POST_BODY’ angegebenen Ort zu beschränken.

    Bisher hatte die Web Citrix Web App Firewall keine Option, um die Payload-Inspektion einzuschränken und die CPU unter Kontrolle zu halten.

    Navigation: Konfiguration > Sicherheit > Citrix Web App Firewall > Profile > Profileinstellungen.

    [Aus Build 41.28]

    [NSWAF-2887, NSUI-13251]

  • Anfragen, die von Tor-Proxy-IP-Adressen kommen, werden nicht durch die Tor-Proxy-Kategorie mit dem Richtlinienausdruck CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (PROXY) blockiert.

    [Aus Build 47.22]

    [NSWAF-3611]

Client AG-EE

  • Citrix Gateway Eine Gruppe von Computern kann nicht auf interne und externe Ressourcen zugreifen, wenn sie nur über VPN verbunden sind und die Intranet-IP konfiguriert ist.

    [Aus Build 47.22]

    [ NSHELP-20011]

Clustering

  • Eine hohe CPU-Auslastung wird auf einer Citrix ADC-Appliance oder in einem Cluster-Setup beobachtet, wenn der Befehl “show ns ip” viele IP-Adressen anzeigt.

    [Aus Build 47.22]

    [NSHELP-11193]

  • Eine Linkset-Member-Schnittstelle oder ein Kanal wird als Teil eines neuen statischen ND6-Eintrags zur Citrix ADC-Appliance hinzugefügt. Damit die Citrix ADC-Appliance den neuen statischen ND6-Eintrag akzeptiert, müssen Sie das Linkset-VLAN angeben.

    [Aus Build 47.22]

    [NSHELP-19453]

  • In einem Cluster-Setup mit ACL6-Konfiguration schleifen sich die ICMPv6-Fehlerpakete zwischen den Knoten und verursachen eine hohe CPU-Auslastung.

    [Aus Build 41.28]

    [NSHELP-19535]

  • In einem Cluster-Setup kann die Cluster-Propagierung fehlschlagen, wenn eine der folgenden Bedingungen erfüllt ist:

    • Die Verbindung zwischen Cluster-Daemon und Konfigurationsdaemon schlägt fehl.

    • Erhöhung der Speichernutzung im Cluster-Daemon.

    [Aus Build 41.28]

    [ NSHELP-19771]

  • In einem Cluster-Setup kann die Citrix ADC GUI unter den folgenden Bedingungen kein SSL-Zertifikat hochladen:

    • Befehle werden vom CLIP aus ausgeführt.

    • Der Befehl “sh partition” antwortet mit einer ungültigen Antwort.

    [Aus Build 41.28]

    [NSHELP-19905]

  • In einem Cluster mit einem Knoten können Sie unter den folgenden Bedingungen manchmal keine SSH-Verbindung zu CLIP herstellen:

    • Der USIP-Modus ist aktiviert.

    • Der Status des Clusterknotens ist auf passiv gesetzt.

    [Aus Build 47.22]

    [NSHELP-20210]

  • In einem L3-Cluster-Setup sendet die lokale Knotengruppe fälschlicherweise die GARP-Anfragen (Gratuitous Address Resolution Protocol) an die IP-Adressen, die der Peer-Knotengruppe gehören. Dies führt zu einer Schleife von Cluster-Heartbeat-Paketen.

    [Aus Build 47.22]

    [NSHELP-20366]

  • Die ACL6-Liste vom Typ DFD ist möglicherweise beschädigt, wenn Sie ACLs in absteigender Reihenfolge hinzufügen und einen der ACL6-Einträge löschen.

    [Aus Build 47.22]

    [NSHELP-20587]

  • In einem Cluster-Setup stürzt die Citrix ADC-Appliance möglicherweise für eine neue MPTCP-Verbindung ab, wenn die 4 Tupel mit einem anderen MPTCP-Schlüssel wiederverwendet werden, bevor die ursprüngliche Verbindung auf der Citrix ADC-Appliance abgelaufen ist.

    [Aus Build 47.22]

    [NSHELP-20844, NSHELP-20726]

  • In einem Cluster-Setup können Sie fortlaufende Fehlerprotokolle beobachten, die auf einen Verbindungsfehler zwischen dem IMI-Daemon für dynamisches Routing von ZeBos und dem internen Cluster-Daemon hinweisen. Dieses Problem tritt auf, wenn entweder der IMI-Daemon für dynamisches Routing von ZeBos oder der interne Cluster-Daemon neu gestartet wird.

    [Aus Build 41.28]

    [NSNET-10655]

  • In einem Cluster-Setup wird das folgende Verhalten beobachtet:

    • Wenn Sie den Befehl enable/disable servicegroupmember, service group und server ausführen, liegt ein Konfigurationskonflikt vor.

    • Der Befehl unset setzt das Netzprofil für die Service/Service-Gruppe nicht zurück.

    [Aus Build 41.28]

    [NSNET-9599]

DNS

  • DNS Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die DNS-Protokollierung aktiviert ist und die Appliance eine große DNS-Antwort empfängt.?

    [Aus Build 47.22]

    [NSHELP-18926]

  • Die Citrix ADC-Appliances stürzen möglicherweise ab, wenn eine zwischengespeicherte negative Antwort für eine DNS ANY-Abfrage für eine autoritative Zone gefüllt wird.

    [Aus Build 41.28]

    [NSHELP-19496]

  • Sie können eine Wildcard-Domäne für die Zone hinzufügen, die Sie besitzen.

    [Aus Build 41.28]

    [NSHELP-19498]

  • Eine Citrix ADC VPX-Instanz, die auf einer SDX-Appliance ausgeführt wird, stürzt möglicherweise ab, wenn eine ungültige DNS-Anfrage auf einer Jumbo-fähigen Schnittstelle empfangen wird.

    [Aus Build 41.28]

    [NSHELP-19854]

GSLB

  • Die Konfiguration der GSLB Site Backup Parent List geht verloren, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Die TriggerMonitor-Option ist entweder auf MEPDOWN oder MEPDOWN_SVCDOWN gesetzt.

    • Die Citrix ADC-Appliance wird neu gestartet.

    [Aus Build 41.28]

    [NSCONFIG-1760]

  • Die Konfiguration der GSLB Site Backup Parent List geht verloren, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Die TriggerMonitor-Option ist entweder auf MEPDOWN oder MEPDOWN_SVCDOWN gesetzt.

    • Die Citrix ADC-Appliance wird neu gestartet.

    [Aus Build 47.22]

    [NSCONFIG-1760]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn alle der folgenden Bedingungen erfüllt sind:

    • Ein Backend-Server ist DOWN.

    • Eine ADC-Appliance sammelt Informationen auf dem Server, z. B. RTT und Proximity, um ein neues Backend auszuwählen.

    [Aus Build 47.22]

    [NSHELP-11969]

  • In einem GSLB-Cluster-Setup kann die MEP-Verbindung beendet werden, was zu einem MEP-Flap führt, wenn ein Knoten dem Cluster beitritt.

    [Aus Build 47.22]

    [NSHELP-19532]

  • In einem GSLB-Cluster-Setup kann die MEP-Verbindung beendet werden, was zu einem MEP-Flap führt, wenn ein Knoten dem Cluster beitritt.

    [Aus Build 41.28]

    [NSHELP-19532]

  • Eine Citrix ADC-Appliance stürzt ab, wenn ein Set-Befehl für einen CNAME-basierten GSLB-Dienst ausgegeben wird.

    [Aus Build 47.22]

    [NSLB-5433, NSLB-5562]

Gateway

  • Citrix Gateway In seltenen Fällen stürzt das Citrix Gateway-Gerät ab, wenn eine AAA-Benutzersitzung übertragen wird und die Intranet-IP aktiviert ist.

    [Aus Build 47.22]

    [NSHELP-20680]

Gateway Insight

  • In einem Hochverfügbarkeits-Setup (HA) kann der primäre Knoten abstürzen, wenn AppFlow aktiviert ist und ein Failover stattfindet.

    [Aus Build 47.22]

    [NSHELP-19363]

  • Citrix ADC-Appliances, die in einem Hochverfügbarkeits-Setup (HA) bereitgestellt werden, stürzen ab, wenn die beiden folgenden Bedingungen erfüllt sind:

    • AppFlow ist aktiviert

    • Bei der Hochverfügbarkeitssynchronisierung ist ein Fehler aufgetreten.

    [Aus Build 47.22]

    [NSHELP-19490]

Lizenzierung

  • Wenn sich für die SDX-Appliance eine Übergangsfrist für die gepoolte Lizenzierung befindet, wird für die verbleibende Kulanzfrist Null statt 30 Tage angezeigt.

    [Aus Build 47.22]

    [NSHELP-19615]

  • Nach dem Upgrade einer unbefristeten MPX-Lizenz auf eine Pooled Capacity-Lizenz fordert die ADM-GUI auf, die Konfiguration zu speichern und die Instanz neu zu starten. Mit diesem Fix fordert die GUI nur zum Neustart der Instanz auf.

    [Aus Build 47.22]

    [NSHELP-20137]

  • Nach dem Upgrade einer unbefristeten MPX-Lizenz auf eine Pooled Capacity-Lizenz fordert die ADM-GUI auf, die Konfiguration zu speichern und die Instanz neu zu starten. Mit diesem Fix fordert die GUI nur zum Neustart der Instanz auf.

    [Aus Build 41.28]

    [NSHELP-20137]

Lastausgleich

  • Wenn LRTM auf einem Monitor aktiviert ist, der an eine Dienstgruppe gebunden ist, wird die Reaktionszeit nicht angezeigt.

    [Aus Build 41.28]

    [NSHELP-12689]

  • In seltenen Fällen kann eine Citrix ADC-Appliance ausfallen, wenn der Dienst als DOWN markiert ist, bevor die SSL-Sitzung von dem Server mit der folgenden Konfiguration empfangen wird.

    • Ein virtueller Lastausgleichsserver vom Typ SSL_BRIDGE

    • Der Persistenztyp ist auf SSLSESSION ID gesetzt

    • Der Backup-Persistenztyp ist auf SOURCEIP gesetzt

    [Aus Build 41.28]

    [NSHELP-18482]

  • Die inaktive Dienstnummer für einen virtuellen Lastausgleichsserver gibt möglicherweise für einige Sekunden einen großen Wert zurück, nachdem einige Dienste oder Dienstgruppenmitglieder vom virtuellen Lastausgleichsserver getrennt wurden. Dies ist ein Anzeigeproblem und hat keine Auswirkungen auf die Funktionalität.

    [Aus Build 41.28]

    [NSHELP-19400]

  • Eine Citrix ADC-Appliance stürzt ab, wenn der virtuelle Server vom Typ ANY ist und die Spillover-Persistenz auf dem virtuellen Server aktiviert ist.

    [Aus Build 47.22]

    [NSHELP-19540]

  • Eine Citrix ADC-Appliance stürzt ab, wenn der virtuelle Server vom Typ ANY ist und die Spillover-Persistenz auf dem virtuellen Server aktiviert ist.

    [Aus Build 41.28]

    [NSHELP-19540]

  • In einem Hochverfügbarkeits-Setup im INC-Modus zeigen die GUI und CLI des sekundären Knotens für einige Load-Balancing-Monitore fälschlicherweise die folgende Statusmeldung an:

    “Sonde übersprungen — sekundärer Knoten”

    [Aus Build 41.28]

    [NSHELP-19617]

  • Die Umleitung einer HTTPS-URL schlägt fehl, wenn die URL das Sonderzeichen% enthält.

    [Aus Build 47.22]

    [ NSHELP-19993]

  • Möglicherweise geht Ihnen der Speicherplatz auf einer Citrix ADC VPX-Appliance aus, da die Appliance mehrere temporäre Dateien generiert. Wenn ein rsync-Vorgang für eine bestimmte Standortdatei ausgeführt wird, wird eine temporäre Datei für diese Standortdatei erstellt. Diese Dateien füllen das Verzeichnis /var aus.

    [Aus Build 47.22]

    [ NSHELP-20020]

  • Möglicherweise geht Ihnen der Speicherplatz auf einer Citrix ADC VPX-Appliance aus, da die Appliance mehrere temporäre Dateien generiert. Wenn ein rsync-Vorgang für eine bestimmte Standortdatei ausgeführt wird, wird eine temporäre Datei für diese Standortdatei erstellt. Diese Dateien füllen das Verzeichnis /var aus.

    [Aus Build 41.28]

    [ NSHELP-20020]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Verkehrsdomäne auf einem virtuellen Lastausgleichsserver vom Typ SIP konfiguriert ist.

    [Aus Build 47.22]

    [NSHELP-20286]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Die regelbasierte Persistenz ist auf der Appliance konfiguriert.

    • Mehrere IPv6-Server antworten mit denselben Werten für die in der regelbasierten Persistenz konfigurierten Parameter.

    [Aus Build 47.22]

    [NSHELP-20490]

  • Die Pfadüberwachung für Autoscale-Servicegroups wird in einer Cluster-Bereitstellung nicht unterstützt.

    [Aus Build 41.28]

    [NSLB-4660]

NITRO

  • Die Citrix ADC-Appliance antwortet mit einer internen Fehlermeldung für den NITRO-API-Aufruf von show routerdynamicrouting.

    [Aus Build 41.28]

    [NSCONFIG-1325]

  • Die Citrix ADC-Appliance antwortet mit einer internen Fehlermeldung für den NITRO-API-Aufruf von show routerdynamicrouting.

    [Aus Build 47.22]

    [NSCONFIG-1325]

  • Der HTTP-Daemon auf einer Citrix ADC-Appliance stürzt möglicherweise ab, wenn alle der folgenden Bedingungen erfüllt sind:

    • Die Appliance erhält eine idempotente NITRO-API-Anfrage zum Hinzufügen einer Ressource auf der Appliance.

    • Die idempotente NITRO-API-Anfrage hat keine einstellbaren Eigenschaften.

    • Die Ressource ist bereits auf der Citrix ADC-Appliance vorhanden.

    [Aus Build 47.22]

    [NSCONFIG-2298]

  • Die erste Anmeldung mit der NITRO-API schlägt für einen Partitionsbenutzer fehl. Die nachfolgende Anmeldung ist jedoch erfolgreich.

    [Aus Build 47.22]

    [NSHELP-20159, NSCONFIG-2054]

Netzwerke

  • In einem Hochverfügbarkeits-Setup mit konfiguriertem dynamischen OSPF-Routing generiert der neue primäre Knoten die OSPF-MD5-Sequenznummer nach einem Failover nicht in aufsteigender Reihenfolge.

    Dieses Problem wurde behoben. Damit der Fix ordnungsgemäß funktioniert, müssen Sie die Zeit zwischen dem primären und dem sekundären Knoten entweder manuell oder mithilfe von NTP synchronisieren.

    [Aus Build 41.28]

    [NSHELP-18958]

  • Wenn eine PBR-Regel mit dem auf NULL gesetzten Next-Hop-Parameter für einen Load-Balancing-Dienst oder einen Monitor hinzugefügt wird, reagiert die Citrix ADC-Appliance möglicherweise nicht mehr.

    [Aus Build 41.28]

    [NSHELP-19245]

  • Eine Citrix ADC-Appliance kann eine SYN+ACK-Paketschleife erstellen, die wiederum zu einer hohen CPU-Auslastung führt, wenn alle folgenden Bedingungen erfüllt sind:

    • Wenn in der ADC-Appliance eine ausstehende RNAT-Sondenverbindung zu einer IP-Adresse vorhanden ist, bei der es sich derzeit nicht um eine Citrix ADC-eigene IP-Adresse handelt.

    • Wenn Sie diese IP-Adresse als Teil der ADC-Konfiguration als ADC-eigene IP-Adresse festlegen. Fügen Sie beispielsweise einen virtuellen Lastausgleichsserver mit dieser IP-Adresse hinzu.

    [Aus Build 41.28]

    [NSHELP-19376]

  • Die Citrix ADC-Appliance ermöglicht die Konfiguration über NITRO-APIs, noch bevor die Protokollmodule nicht vollständig initialisiert sind. Aus diesem Grund schlägt der Befehl write memory mit der folgenden Fehlermeldung fehl:

    “Konfiguration speichern verweigert — Module nicht bereit”

    [Aus Build 41.28]

    [NSHELP-19431]

  • In einigen seltenen Fällen kann der sekundäre Knoten in einem Hochverfügbarkeits-Setup eine BGP-Sitzung über die Citrix ADC IP-Adresse (NSIP) einrichten.

    [Aus Build 41.28]

    [NSHELP-19720]

  • Der BGP-Prozess kann aufgrund eines Speicherfehlers fehlschlagen, wenn er BGP-Updates mit mehreren 4-Byte-AS-Nummern im Pfad empfängt.

    [Aus Build 41.28]

    [NSHELP-19860]

  • Die ADC-Appliance aktualisiert die ECMP-Routen möglicherweise nicht auf optimierte Weise, wenn eine zugehörige Schnittstelle deaktiviert oder eine zugehörige IP-Adresse gelöscht wird.

    [Aus Build 47.22]

    [NSHELP-19891]

  • Der BGP-Daemon auf einer Citrix ADC-Appliance installiert möglicherweise fälschlicherweise erlernte Routen mit Next-Hops als 0.0.0.0/0.

    [Aus Build 47.22]

    [NSHELP-19900]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie eine Listen-Richtlinie hinzufügen, die eine Abhängigkeit von einer bestimmten internen FTP-Dienstsuche hat.

    [Aus Build 47.22]

    [NSHELP-20002]

  • Für Datenverkehr, der über ein Citrix ADC Access Gateway auf ein Load Balancing-Setup zugreift, wendet das Citrix ADC-Appliance möglicherweise MAC Based Forwarding (MBF) auf diesen Datenverkehr an, auch ohne die Layer-2-Informationen ordnungsgemäß zum Eintrag in der Verbindungstabelle hinzuzufügen.

    [Aus Build 47.22]

    [NSHELP-20064]

  • Die Citrix ADC-Appliance überspringt möglicherweise Policy-Based Routes (PBR) -Regeln für ausgehende Monitorpakete vom Typ UDP und ICMP.

    [Aus Build 47.22]

    [NSHELP-20112]

  • Beim Neustart richtet die Citrix ADC-Appliance eine BGP-Sitzung mit den Peer-Geräten ein, bevor der Schnittstelle eine Subnetz-IP-Adresse (SNIP) zugewiesen wird, was zu einem Fehler bei der Next-Hop-Validierung führt. Aufgrund dieses Problems lernt die Citrix ADC-Appliance möglicherweise nicht die von diesen Peer-Geräten angekündigten Routen.

    [Aus Build 47.22]

    [ NSHELP-20211]

  • Eine Citrix ADC-Appliance, die als Proxyserver fungiert, kann eine PBR-Regel auf der Grundlage von Layer-2-Informationen auf einen Datenverkehr anwenden, obwohl der Datenverkehr nicht der PBR-Regel entspricht.

    [Aus Build 47.22]

    [NSHELP-20317]

  • Die Fehlermeldung “Eine bestehende Route ist auf das Vorhandensein dieses Subnetzes angewiesen” wird angezeigt, wenn alle der folgenden Bedingungen erfüllt sind:

    • Zwei oder mehr SNIP-Adressen mit dem ersten Oktett größer als 127 werden hinzugefügt

    • Eine Route für die SNIP-Adressen wird in diesem Netzwerk hinzugefügt

    • Sie versuchen, eine der hinzugefügten SNIP-Adressen zu löschen

    [Aus Build 47.22]

    [NSHELP-20492]

  • 32-Bit-ASN-Werte werden in der Befehlsausgabe “sh ip bgp summary” als negative Werte angezeigt.

    [Aus Build 47.22]

    [NSHELP-20540]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn sie IPv6-Verkehr empfängt, der die beiden folgenden Bedingungen erfüllt:

    • Die Quell-MAC-Adresse des IPv6-Verkehrs entspricht der MAC-Adresse eines an einen virtuellen Server gebundenen Dienstes mit dem Typ ANY und dem Umleitungsmodus, der auf MAC-basierte Weiterleitung eingestellt ist (-m MAC)

    • Der IPv6-Verkehr entspricht einer RNAT6-Regel mit aktivierter TCP-Proxy-Option

    [Aus Build 47.22]

    [NSHELP-20548]

  • Die Citrix ADC-Appliance aktualisiert ECMP-Routen möglicherweise nicht richtig, wenn mehrere BGP

    Sitzungen gehen gleichzeitig in den Status “DOWN”.

    [Aus Build 47.22]

    [NSHELP-20664]

  • Der BGP-Daemon zeigt möglicherweise doppelte Warnmeldungen für eine Route an, die aus der Citrix ADC-Routingtabelle entfernt wurde.

    [Aus Build 47.22]

    [NSHELP-20906]

  • Bei einer RNAT-Regel mit deaktiviertem useproxyport-Parameter und RNAT-Clients, die auf die öffentliche INAT-IP-Adresse zugreifen, weist die Citrix ADC-Appliance möglicherweise fälschlicherweise Ports für Sitzungen zu, die sich auf die RNAT-Regel beziehen, zuordnen/aufheben. Diese falsche Zuweisung/Deallokation von Ports führt zu einem Portleck.

    [Aus Build 41.28]

    [NSNET-10089]

  • Wenn Sie auf der Citrix ADC GUI zu Konfiguration > Netzwerk > Schnittstellen gehen und auf Interface Statistics klicken, wird die Schnittstellenzusammenfassung nicht angezeigt und die Fehlermeldung “Ungültiger Wert [arg]” wird angezeigt.

    [Aus Build 41.28]

    [NSUI-13043]

Optimierung

  • Der Lazy-Loading-Modus lädt keine Bilder auf einer einfachen Webseite, die sich über dem Falz befinden und keine Attribute wie Höhe oder Breite haben.

    [Aus Build 41.28]

    [NSHELP-19193]

  • Eine Citrix ADC-Appliance wird von selbst neu gestartet, wenn die folgenden Bedingungen erfüllt sind:

    • Die Frontend-Optimierungsfunktion ist aktiviert.

    • Zwischengespeicherte Objekte werden neu optimiert.

    [Aus Build 41.28]

    [NSHELP-19428]

Plattform

  • Die SDX 14000 FIPS-Appliance stürzt möglicherweise ab und wird während der Konfiguration einer FIPS-HSM-Partition neu gestartet.

    [Aus Build 41.28]

    [NSHELP-18503]

  • Auf den folgenden Citrix ADC SDX-Plattformen kann die Konnektivität zu einer VPX-Instanz fehlschlagen, wenn sie starken Multicast-Verkehr empfängt, wenn einer VPX-Instanz kein Management-Port zugewiesen ist und die Instanzverwaltung über die Datenports erfolgt.

    • SDX 8900

    • SDX 14000-40G

    • SDX 14000-40S

    • SDX 15000-50 G

    • SDX 25000-40 G

    • SDX 25000T

    • SDX 25000T-40G

    [Aus Build 47.22]

    [NSHELP-19861]

  • Auf SDX-Plattformen mit Fortville-Schnittstellen können die 10G- und 40G-Fortville-Schnittstellen in TX-Stalls laufen, wenn Jumbo auf ihnen aktiviert ist.

    [Aus Build 47.22]

    [NSHELP-20605]

Richtlinien

  • Nach einem Upgrade funktioniert die Rewrite-Richtlinie nicht für CVPN homepage2.html

    [Aus Build 47.22]

    [NSHELP-19481]

  • Wenn Sie in einer Citrix ADC-Appliance die erweiterten globalen Standardrichtlinien aufheben und die Konfiguration speichern, werden die Änderungen beim nächsten Neustart nicht berücksichtigt.

    [Aus Build 47.22]

    [NSHELP-19867]

  • Wenn Sie in einer Citrix ADC-Appliance die erweiterten globalen Standardrichtlinien aufheben und die Konfiguration speichern, werden die Änderungen beim nächsten Neustart nicht berücksichtigt.

    [Aus Build 41.28]

    [NSHELP-19867]

  • Wenn Sie Richtlinien mithilfe des nspepi-Tool von der klassischen in die erweiterte Version konvertieren, werden Syntaxfehler für Port- und Netzmasken beobachtet.

    [Aus Build 47.22]

    [NSHELP-20720]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Konfiguration eine Responder-Aktion mit respondwithhtmlpage als Aktionstyp enthält.

    [Aus Build 41.28]

    [NSHELP-5821]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie die Responder-Aktion vom Typ Umleitungsaktion verwenden.

    [Aus Build 41.28]

    [NSPOLICY- 3196]

  • Klassische richtlinienbasierte Features und Funktionen sind ab Citrix ADC 12.0 Build 56.20 veraltet. Als Alternative empfiehlt Citrix die Verwendung der erweiterten Richtlinieninfrastruktur.

    Diese Features und Funktionen werden ab der Version 13.1 von Citrix ADC im Jahr 2020 nicht mehr verfügbar sein. Außerdem werden andere kleinere Funktionen veraltet sein.

    [Aus Build 41.28]

    [NSPOLICY-3228]

Selbsthilfeportals

  • Citrix Gateway-Benutzer werden fälschlicherweise zur Eingabe des Benutzernamens und des Kennworts aufgefordert, wenn das nFactor-Anmeldeformular so angepasst ist, dass das dynamische Anmeldetypmenü angezeigt wird und OAuth aus der Liste ausgewählt wird.

    [Aus Build 47.22]

    [NSHELP-20300]

SNMP

  • Nach einem Upgrade in einem Hochverfügbarkeits-Setup von Version 12.1 Build 49.23 auf Version 12.1 Build 49.37 sendet der primäre Knoten während eines Neustarts keine SNMP-Coldstart-Trap-Meldung.

    [Aus Build 41.28]

    [NSHELP-18631]

SSL

  • Die ADC-Appliance sendet möglicherweise gelegentlich zusätzliche Daten an den Client, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Die Appliance ist über SSL mit dem Backend-Server verbunden.

    • Die Größe der vom Server empfangenen Daten übersteigt 9.000.

    [Aus Build 41.28]

    [NSHELP-11183]

  • Sie können keinen RSA-Schlüssel mithilfe der GUI erstellen, wenn der PEM-Algorithmus DES oder DES3 ist.

    [Aus Build 47.22]

    [NSHELP-13018]

  • Sie können keinen RSA-Schlüssel mithilfe der GUI erstellen, wenn der PEM-Algorithmus DES oder DES3 ist.

    [Aus Build 41.28]

    [NSHELP-13018]

  • Bei SNI-fähigen Sitzungen kann die ADC-Appliance steuern, wie der Host-Header validiert wird. Ein neuer Parameter “SniHttpHostMatch” wurde dem SSL-Profil und den globalen SSL-Parametern hinzugefügt, um diese Validierung besser kontrollieren zu können. Dieser Parameter kann drei Werte annehmen: CERT, STRICT und NONE. SNI muss auf dem virtuellen SSL-Server oder dem an den virtuellen Server gebundenen Profil aktiviert sein, und die HTTP-Anforderung muss den Host-Header enthalten.

    [Aus Build 47.22]

    [NSHELP-13370]

  • Das Safenet-Verzeichnis fehlt, wenn Sie eine VPX-Instanz auf der Citrix XenServer-, VMware ESX- oder Linux-KVM-Plattform installieren.

    [Aus Build 41.28]

    [NSHELP-14582]

  • Der DTLS-Handshake schlägt möglicherweise fehl, wenn DTLS-Datensätze verschiedener Nachrichtentypen nicht in der richtigen Reihenfolge empfangen werden. Beispielsweise wird eine “Server Hello Done” -Meldung vor einer “Server Hello” -Meldung empfangen.

    [Aus Build 47.22]

    [NSHELP-18512]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie eine Audit-Log-Nachrichtenaktion ausführen, die auf dem Ausdruck “ssl.origin.server_cert” basiert. Die Log-Aktion ist an eine Responder-Richtlinie gebunden.

    [Aus Build 41.28]

    [NSHELP-19014]

  • Wenn das Client- und das CA-Zertifikat eine unterschiedliche Kodierung haben, wird das Client-Zertifikat fälschlicherweise zurückgewiesen, wenn -clientAuthUseBoundCAChain auf ENABLED gesetzt ist, obwohl die Client- und Serverzertifikate von derselben CA ausgestellt wurden.

    [Aus Build 41.28]

    [NSHELP-19077]

  • Eine Citrix ADC-Appliance kann zeitweise abstürzen, wenn die beiden folgenden Bedingungen erfüllt sind:

    • OCSP-Prüfung und SSL-Interception sind für ein SSL-Profil aktiviert.

    • Das SSL-Profil ist an einen virtuellen Content Switching-Server vom Typ PROXY gebunden.

    [Aus Build 47.22]

    [NSHELP-19194]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, während die SSL-Aktion “clientCertFingerprint” ausgeführt wird, um den Fingerabdruck des Client-Zertifikats in den HTTP-Header der an den Server zu sendenden Anfrage einzufügen, wenn beide der folgenden Bedingungen erfüllt sind:

    • Das Sitzungsticket ist aktiviert.

    • Die SSL-Richtlinie ist an den Anforderungsbindungspunkt gebunden.

    [Aus Build 41.28]

    [NSHELP-19331]

  • Ein virtueller SSL-Server kann die Verbindung mit dem Reset-Code 9820 zurücksetzen, anstatt den Datensatz wie erwartet in mehrere TCP-Pakete zu fragmentieren, wenn die folgenden Bedingungen erfüllt sind:

    • Ein TLSv1.3-fähiger virtueller Server verschlüsselt Anwendungsdaten vom Backend-Anwendungsserver, um sie an einen TLSv1.3-Client zu senden.

    • Die resultierende Länge des verschlüsselten Datensatzes ist genau ein Byte größer als die maximale TCP-Segmentgröße.

    [Aus Build 41.28]

    [NSHELP-19466]

  • Der Handshake schlägt auf einer Citrix ADC SDX-Appliance mit N2-Chips fehl, da ECDSA-Chiffren auf dieser Plattform nicht unterstützt werden. Mit diesem Fix werden ECDSA-Chiffren auf dieser Plattform nicht beworben.

    [Aus Build 41.28]

    [NSHELP-19614, NSHELP-20630]

  • Die CRL-Aktualisierung verwendet die alte IP-Adresse anstelle der neuen, wenn die URL von einer IP-basierten Adresse in eine auf dem Domänennamen basierende Adresse geändert wird.

    [Aus Build 41.28]

    [NSHELP-19648]

  • Der interne SSL-Dienststatus wird auch dann angezeigt, wenn Sie das Zertifikat vom Dienst getrennt haben.

    [Aus Build 47.22]

    [NSHELP-19752]

  • Der Zähler ssl_tot_enc_bytes meldet falsche zu verschlüsselnde Klartext-Byte.

    [Aus Build 41.28]

    [NSHELP-19830]

  • Eine Fehlermeldung wird angezeigt, wenn Sie einem SSL-Profil in einem Admin-Partitions-Setup eine DH-Parameterdatei zuweisen.

    [Aus Build 47.22]

    [NSHELP-19838]

  • Die folgenden Appliances können abstürzen, wenn sie die Meldung “ChangeCipherSpec” von einem Client erhalten, aber nicht die Meldung “Finished”:

    • MPX 5900/8900

    • MPX 15000-50 G

    • MPX 26000-100 G

    [Aus Build 41.28]

    [NSHELP-19856]

  • Wenn Sie ein Zertifikat mit einer AIA-Erweiterung zu einer Cluster-IP-Adresse (CLIP) hinzufügen, wird die folgende Fehlermeldung angezeigt, wenn Sie versuchen, das Zertifikat aus dem CLIP zu entfernen:

    ‘Interner Fehler’.

    [Aus Build 41.28]

    [NSHELP-19924]

  • Wenn TLS 1.3 und SNI beide auf einem virtuellen Front-End-Server aktiviert sind, stürzt die Appliance während des TLS-Handshakes ab, wenn die folgende Abfolge von Ereignissen eintritt:

    1. Ein TLS 1.3-Client enthält die Erweiterung server_name in seiner ersten ClientHello-Nachricht.

    2. Der Server antwortet mit einer HelloRetryRequest-Nachricht.

    3. Der Client antwortet mit einer unzulässigen ClientHello-Nachricht, in der die Erweiterung server_name weggelassen wird.

    [Aus Build 47.22]

    [NSHELP-20245]

  • Wenn TLS 1.3 und SNI beide auf einem virtuellen Front-End-Server aktiviert sind, stürzt die Appliance während des TLS-Handshakes ab, wenn die folgende Abfolge von Ereignissen eintritt:

    1. Ein TLS 1.3-Client enthält die Erweiterung server_name in seiner ersten ClientHello-Nachricht.

    2. Der Server antwortet mit einer HelloRetryRequest-Nachricht.

    3. Der Client antwortet mit einer unzulässigen ClientHello-Nachricht, in der die Erweiterung server_name weggelassen wird.

    [Aus Build 41.28]

    [NSHELP-20245]

  • Wenn das SSL-Standardprofil aktiviert und an eine SSL-Dienstgruppe gebunden ist, wird eine Warnmeldung angezeigt, wenn Sie eine Chiffre vom SSL-Profil trennen und einen Dienst an diese Dienstgruppe binden. Der Dienst ist auch nicht an die Servicegruppe gebunden.

    [Aus Build 47.22]

    [NSHELP-20332]

  • Eine Citrix ADC-Appliance zeigt möglicherweise unterschiedliche Profile für die Cluster-IP-Adresse (CLIP) und die Citrix ADC IP (NSIP) -Adresse an, wenn ein veraltetes SSL-Profil an SSL-Entitäten gebunden ist und später das Standard-SSL-Profil (erweitert) aktiviert wird.

    [Aus Build 47.22]

    [NSHELP-20335]

  • Wenn Ihre ADC-Appliance in eine nicht unterstützte Version von Thales HSM integriert ist, stürzt die Appliance ab, nachdem der HSM-Schlüssel und das Zertifikat generiert, das Zertifikatsschlüsselpaar auf der Appliance installiert und an den virtuellen SSL-Server gebunden wurden. Mit diesem Fix meldet die Appliance einen Fehler, anstatt abzustürzen.

    [Aus Build 47.22]

    [NSHELP-20352]

  • In den beiden folgenden Fällen wird die Fehlermeldung “Fehler — Datei zu groß” angezeigt:

    • Sie aktualisieren zuerst die Citrix ADC-Software auf Version 13.0 und dann die FIPS-Firmware.

    [Aus Build 47.22]

    [NSHELP-20522]

  • In den beiden folgenden Fällen wird die Fehlermeldung “Fehler — Datei zu groß” angezeigt:

    • Sie aktualisieren zuerst die Citrix ADC-Software auf Version 13.0 und dann die FIPS-Firmware.

    [Aus Build 41.28]

    [NSHELP-20522]

  • Eine Citrix ADC VPX-Appliance stürzt möglicherweise ab, wenn die ChaChaPoly-Verschlüsselung verwendet wird und der Client einen verkürzten Datensatz an die Appliance sendet.

    [Aus Build 47.22]

    [NSHELP-20684]

  • Der DTLS-Handshake schlägt möglicherweise fehl, wenn DTLS-Datensatzfragmente nicht in der richtigen Reihenfolge empfangen werden.

    [Aus Build 47.22]

    [NSHELP-20703]

  • Der SSL-Handshake schlägt auf den folgenden Plattformen fehl, wenn die Client Key Exchange- und Client Verify-Nachrichten in einem einzigen Datensatz vorliegen.

    • MPX 59xx

    • MPX/SDX 89xx

    • MPX/SDX 261xx-100 G

    • MPX/SDX 15xxx-50G

    [Aus Build 41.28]

    [NSSSL-3359, NSSSL-1608]

  • TLS- und DTLS-Handshakes mit RSA-basiertem Schlüsselaustausch schlagen am Frontend von N3-basierten Citrix ADC MPX- und SDX-Appliances fehl, wenn die folgenden Bedingungen erfüllt sind.

    1. Der TLS-Handshake schlägt fehl, wenn die TLS Client Hello-Nachricht TLSv1.2 als Protokollversion enthält, TLSv1.2 jedoch auf der Citrix ADC-Appliance deaktiviert ist. Daher handelt die Appliance eine niedrigere Version aus (TLSv1.1, TLSv1.0 oder SSLv3.0)

    2. Der DTLS-Handshake schlägt fehl, wenn die DTLS Client Hello-Nachricht DTLSv1.2 als Protokollversion enthält, die Citrix ADC-Appliance jedoch DTLSv1.0 aushandelt.

    Verwenden Sie den Befehl “show hardware”, um festzustellen, ob Ihre Appliance über N3-Chips verfügt.

    [Aus Build 41.28]

    [NSSSL-6630]

  • Bei einem NITRO-Aufruf für einen virtuellen Server, an den ein Profil gebunden ist, werden auch einige Entitäten des virtuellen Servers, wie HSTS und OCSP_Stapling, die Teil des Profils sind, angezeigt.

    [Aus Build 41.28]

    [NSSSL-6673]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, während die SSL-Weiterleitungsaktion am REQUEST-Bindpunkt ausgeführt wird. Mit diesem Fix können Sie eine Richtlinie mit dem Aktionstyp FORWARD nicht an den REQUEST-Bindpunkt binden.

    [Aus Build 47.22]

    [NSSSL-6688]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab und gibt den Kern aus, wenn sie versucht, auf das gelöschte Standard-DTLS-Profil zuzugreifen, während sie einen neuen virtuellen DTLS-Server oder -Dienst konfiguriert.

    [Aus Build 47.22]

    [NSSSL-6886]

  • Die Weiterleitungsaktion in der SSL-Richtlinie erlaubte keinen virtuellen Server vom Typ SSL_TCP. Mit diesem Fix können Sie SSL-Verkehr auf der Grundlage der SSL-Richtlinie an einen virtuellen SSL_TCP-Server weiterleiten. Diese Funktion hilft Kunden, die SSL-Offloading wünschen, aber keine Anwendungsdaten für die weitergeleitete Verbindung analysieren möchten.

    [Aus Build 47.22]

    [NSSSL-7133]

SWG-URL-Filterung

  • Bei der Inhaltsfilterung kommt es in seltenen Fällen zu einem Wettlauf zwischen der Bewertung von Richtlinien und der Verschleierung eines privaten URL-Sets. Dieses Problem generiert einen AppFlow-Datensatz, der die URL als Klartext und nicht als “ILLEGAL” enthält.

    [Aus Build 41.28]

    [NSSWG-890]

System

  • In der partitionierten Citrix ADC-Appliance tritt ein Problem mit hohem Arbeitsspeicher auf.

    [Aus Build 47.22]

    [NSBASE-8780, NSBASE-8763]

  • Wenn beim Einfügen von Client-IP-Headern (z. B. -X-Forwarded-for) die einzufügende IP-Adresse nicht so lang ist wie der Puffer, füllt der Header Leerzeichen am Ende der Client-IP-Adresse auf.

    [Aus Build 47.22]

    [NSHELP-10079]

  • Zeigt den aktuellen Status des Hochverfügbarkeits-Synchronisationsprozesses an

    In einem Hochverfügbarkeits-Setup wird der Status der HA-Synchronisierung standardmäßig SUCCESS auch dann angezeigt, wenn einige Befehle im Rahmen des HA-Synchronisationsprozesses auf dem sekundären Knoten fehlschlagen.

    Beispielsweise schlägt ein Befehl zum Binden einer Schnittstelle an ein VLAN fehl, wenn die Schnittstelle mit derselben Nummer auf dem sekundären Knoten nicht vorhanden ist.

    Sie können das Hochverfügbarkeits-Setup so konfigurieren, dass es den tatsächlichen Status des HA-Synchronisationsprozesses anzeigt.

    Wenn Sie den Parameter Strict Synchronization mode auf beiden Knoten eines Hochverfügbarkeitssatzes aktivieren, wird der Status der HA-Synchronisierung als Partial Success angezeigt, wenn ein oder mehrere Befehle im Rahmen des HA-Synchronisationsprozesses auf dem sekundären Knoten fehlschlagen.

    Hinweis: Der Parameter Strict Synchronization mode auf beiden Knoten muss auf dieselbe Option gesetzt sein, d. h. auf beiden Knoten entweder aktiviert oder deaktiviert. Das Hochverfügbarkeits-Setup zeigt nicht den richtigen Status der HA-Synchronisierung an, wenn der Parameter Strict Synchronization Mode auf einem Knoten aktiviert und auf einem anderen deaktiviert ist.

    [Aus Build 47.22]

    [NSHELP-11953]

  • Die SNMPWalk-Anwendung schlägt fehl, wenn bei einem SNMPv3-Benutzer, der an ein SNMPv3-Trap-Ziel gebunden ist, ein Authentifizierungsfehler auftritt (falsches Kennwort, falsche Community oder falscher Schlüssel).

    [Aus Build 47.22]

    [NSHELP-18541, NSHELP-19313]

  • Eine Citrix ADC-Appliance stürzt ab, wenn current_tcp_profile und current_adtcp_profile nicht gesetzt sind.

    [Aus Build 41.28]

    [NSHELP-18889]

  • In einer Citrix ADC-Appliance tritt ein Speicherproblem auf, wenn geschlossene Verbindungen nicht vollständig geleert werden.

    [Aus Build 41.28]

    [ NSHELP-18891]

  • In einer Citrix ADC-Appliance tritt ein Speicherproblem auf, wenn geschlossene Verbindungen nicht vollständig geleert werden.

    [Aus Build 47.22]

    [ NSHELP-18891, NSHELP-20778]

  • In einem Eckfall beendet eine Citrix ADC-Appliance Zombie-Verbindungen ohne Reset. Wenn die Peer-Side-Verbindungen Pakete senden, wenn sie aktiv sind, und die Appliance die Verbindung zurücksetzt, wenn sie verarbeitet werden.

    [Aus Build 41.28]

    [NSHELP-18998]

  • Die politische Bewertung könnte fehlschlagen, wenn die folgenden Bedingungen erfüllt sind:

    • 256 Richtlinienausdrücke verweisen auf denselben benutzerdefinierten Header.

    • Der Zähler für die benutzerdefinierte Header-Referenz wird auf 0 umgestellt (8-Bit-Zähler).

    [Aus Build 41.28]

    [NSHELP-19082]

  • In einer Citrix ADC-Appliance schlägt die Zeitzonenkonfiguration fehl, wenn sich die Sommerzeit (DST) ändert.

    [Aus Build 47.22]

    [NSHELP-19128]

  • Ein Konfigurationsverlust tritt jedes Mal auf, wenn eine Hochverfügbarkeitskonfigurationssynchronisierung zusammen mit einem Hochverfügbarkeitsfehler stattfindet.

    [Aus Build 41.28]

    [NSHELP-19210]

  • SNMPv3-Abfragen funktionieren nur für wenige Minuten, nachdem das Kennwort geändert wurde.

    [Aus Build 47.22]

    [NSHELP-19313]

  • Der primäre Knoten kann die Antwort des sekundären Knotens nicht lesen, wodurch die Verbindung zurückgesetzt wird. Infolgedessen wird die Verbindung auf dem sekundären Knoten geschlossen.

    [Aus Build 41.28]

    [NSHELP-19432]

  • Eine Citrix ADC-Appliance stürzt ab, wenn Sie den TCP-Profilwert auf NULL setzen.

    [Aus Build 41.28]

    [NSHELP-19555]

  • Eine sichere Kennwortvalidierung erfolgt für MONITOR-Passwörter, die für externe Server erstellt wurden. Wenn Sie die Konfiguration für ein starkes Kennwort (System > globale Einstellung) auf einer Citrix ADC-Appliance aktivieren, erlauben Sie der Appliance nicht, ein schwaches Kennwort für den LDAP-Monitor zu konfigurieren.

    [Aus Build 41.28]

    [NSHELP-19582]

  • Der SNMP-Alarm auf dem SDX-Gerät funktioniert nicht für Datenträger-, Speicher- oder Temperaturparameter, sondern nur für die CPU.

    [Aus Build 41.28]

    [NSHELP-19713]

  • In einigen Fällen kommt es zu einer Verzögerung oder einem Timeout bei der Verbindung zum Backend-Server. Dies geschieht, weil die Appliance die Verbindung freigegeben und den Port freigegeben hat. Wenn die Appliance denselben Port wiederverwendet, um eine neue Verbindung mit dem Server herzustellen, kommt es zu einer Verzögerung oder einem Timeout, da sich die Verbindung auf dem Server im Status TIME_WAIT befindet.

    [Aus Build 41.28]

    [ NSHELP-19772]

  • In einigen Fällen kommt es zu einer Verzögerung oder einem Timeout bei der Verbindung zum Backend-Server. Dies geschieht, weil die Appliance die Verbindung freigegeben und den Port freigegeben hat. Wenn die Appliance denselben Port wiederverwendet, um eine neue Verbindung mit dem Server herzustellen, kommt es zu einer Verzögerung oder einem Timeout, da sich die Verbindung auf dem Server im Status TIME_WAIT befindet.

    [Aus Build 47.22]

    [ NSHELP-19772]

  • In seltenen Fällen kann ein Clusterknoten abstürzen, wenn ein Client oder Server ein Paket in der falschen Reihenfolge sendet, gefolgt von einem sequenzierten Paket mit der FIN-Nachricht.

    [Aus Build 41.28]

    [NSHELP-19824]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein erneut übertragenes TCP-Segment auf einer Schnittstelle mit MTU > 1500 Byte empfangen wird als:

    • Jumbo-Rahmen oder

    • Satz von IP-Fragmenten.

    [Aus Build 47.22]

    [NSHELP-19920, NSHELP-20273]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein erneut übertragenes TCP-Segment auf einer Schnittstelle mit MTU > 1500 Byte empfangen wird als:

    • Jumbo-Rahmen oder

    • Satz von IP-Fragmenten

    [Aus Build 41.28]

    [NSHELP-19920, NSHELP-20273]

  • SNMPWalk erhält eine Abfrageantwort von einer Subnetz-IP-Adresse (SNIP), auch wenn die SNMP-Funktion deaktiviert ist.

    [Aus Build 47.22]

    [NSHELP-20254]

  • Bei der rollenbasierten Authentifizierung (RBA) dürfen Gruppennamen nicht mit dem Zeichen “#” beginnen.

    [Aus Build 47.22]

    [NSHELP-20266]

  • Eine Citrix ADC-Appliance initiiert eine HTTP/1.1-Verbindung anstelle einer HTTP/2-Verbindung, wenn der vollständige Anforderungstext für eine POST-Anfrage nicht empfangen wird.

    [Aus Build 47.22]

    [NSHELP-20289]

  • In seltenen Fällen kann der Call Home-Prozess abstürzen und dazu führen, dass die Appliance neu gestartet wird. Das Problem tritt auf, wenn ein Call Home-Unterprozess dieselbe interne Prozess-ID (PID) des vorherigen Unterprozesses verwendet.

    [Aus Build 47.22]

    [NSHELP-20334]

  • Die Speichernutzung steigt, wenn Sie das Proxy-Protokoll aktivieren und wenn aufgrund einer Netzwerküberlastung eine erneute Übertragung erfolgt.

    [Aus Build 47.22]

    [NSHELP-20613]

  • Eine Citrix ADC-Appliance setzt MPTCP-Unterflüsse zurück, wenn ein Unterfluss länger als das Leerlaufzeitlimit aktiv und aktiv ist.

    [Aus Build 47.22]

    [NSHELP-20648]

  • Eine Citrix ADC-Appliance setzt einen MPTCP-Subflow zurück, wenn sie eine einfache Bestätigung erhält, bevor der Subflow als MTPCP bestätigt wird.

    [Aus Build 47.22]

    [NSHELP-20649]

  • Ein Konfigurationsverlust wird erkannt, wenn Sie sowohl die klassische als auch die erweiterte Richtlinie an einen AAA-Benutzer und eine AAA-Benutzergruppe binden.

    [Aus Build 47.22]

    [NSHELP-20744]

  • Eine TCP-Transaktionsverzögerung wird beobachtet, wenn eine Citrix ADC-Appliance die TCP-Verbindung nicht verwenden kann, um eine Verbindung zum Backend-Server herzustellen. In diesem Fall öffnet die Appliance eine neue Verbindung, um die Client-Anforderungen nach einer gewissen Wartezeit an den Backend-Server weiterzuleiten. Die Wartezeit reicht von 400 ms bis 600 ms.

    [Aus Build 41.28]

    [NSHELP-9118]

  • Die Optionen Global Binding und Show Binding funktionieren auf der GUI-Seite der Content Inspection Policy nicht. Alternativ können Sie diese Parameter über die Befehlsschnittstelle konfigurieren.

    [Aus Build 41.28]

    [NSUI-13193, NSUI-11561]

Telco

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Die Appliance empfängt zwei HTTP-Anfragen beim Abrufen von Abonnenteninformationen.

    • Es liegt ein falscher Vorgang vor, um den normalen Verkehrsfluss wieder aufzunehmen.

    [Aus Build 41.28]

    [NSHELP-18955]

Versionshinweise für Citrix ADC 13.0-47.24 Release
February 12, 2024
Beitrag von: 
C
February 12, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.