ADC

Versionshinweise für Citrix ADC 13.0-52.24 Release

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.0-52.24 bestehen.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.0-52.24 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

Citrix ADC SDX-Appliance

  • Aktivieren Sie die VPX Always-on-Funktion ohne Instanzneustart

    Zuvor wurde die Instanz nach dem Aktivieren oder Deaktivieren der Funktion “Über internes Netzwerk verwalten” auf einer VPX-Instanz neu gestartet. Diese Funktion ermöglicht eine unabhängige interne Always-On-Konnektivität zwischen dem SDX Management Service und der VPX-Instanz. Jetzt wird die Instanz nach dem Aktivieren oder Deaktivieren der Funktion nicht neu gestartet.

    Wenn Sie jedoch die Funktion “Über internes Netzwerk verwalten” auf einer VPX-Instanz (Version 13.0, beliebiger Build) aktivieren, die auf einer SDX-Appliance bereitgestellt wurde, die auf 13.0 52.x aktualisiert wurde, wird die VPX-Instanz neu gestartet. Dies passiert, wenn die Option Über internes Netzwerk verwalten bereits vor dem SDX-Upgrade auf der VPX deaktiviert war.

    Weitere Informationen zur Funktion “Über ein internes Netzwerk verwalten” finden Sie unter https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.html
    [NSSVM-2803]

  • Unterstützung für gepoolte Kapazitätslizenzen für SD-WAN-Instanzen

    Sie können jetzt SD-WAN-Instanzen bereitstellen, wenn die gepoolte Kapazitätslizenzierung auf der SDX-Appliance konfiguriert ist. Weitere Informationen zur Lizenzierung gepoolter Kapazitäten finden Sie unter https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [NSSVM-2737]

Citrix Gateway

  • Unterstützung des CredSSP-Protokolls Version 6 für RDP-Proxy

    Version 6 des CredSSP-Protokolls wird jetzt für den RDP-Proxy unterstützt.

    [NSHELP-8732]

  • Unterstützung für Citrix Virtual Apps and Desktops 7 1912 LTSR

    Citrix Gateway unterstützt jetzt Citrix Virtual Apps and Desktops 7 1912 LTSR.

    [CGOP-11796]

  • SSL-Unterstützung auf einem LAN-Proxy in einem ICA-Proxy-Setup für ausgehenden Datenverkehr

    Wenn Sie den ausgehenden ICA-Proxy auf Citrix Gateway konfigurieren, verschlüsselt die Citrix Workspace-App jetzt den gesamten Datenverkehr, den sie an den Citrix ADC LAN-Proxy sendet, über SSL. Bisher erfolgte nur der Datenverkehr zwischen Citrix ADC LAN Proxy und Citrix Gateway über SSL.

    [CGOP-9977]

Citrix Web App Firewall

  • Das POST-Body-Limit ist auf 10 GB festgelegt

    Der Höchstwert für das Post-Body-Limit wurde jetzt von 4 GB auf 10 GB geändert.

    [NSWAF-3815]

  • Integration des Appspider_7_2_83_1 Schwachstellenscanners

    Für proaktive Schwachstellenscans ist jetzt eine Citrix ADC-Appliance in den Appspider_7_2_83_1-Scanner integriert. Daher können Sie jetzt den Appspider-Scannerbericht importieren, um Sicherheitslücken zu vermeiden und Signaturen zu generieren.

    [NSWAF-2912]

Lastausgleich

  • Unterstützung für die Konfiguration der vom ADC generierten Cookie-Attribute

    Für Citrix ADC-Bereitstellungen wird jetzt Unterstützung für das Einfügen zusätzlicher Cookie-Attribute zu den von der Citrix ADC-Appliance generierten Cookies hinzugefügt. Diese zusätzlichen Cookie-Attribute helfen bei der Durchsetzung der erforderlichen Richtlinien für die von ADC generierten Cookies basierend auf dem Anwendungszugriffsmuster.

    Diese Funktion kann verwendet werden, um Probleme zu vermeiden, die aufgrund des Google Chrome-Upgrades (Google Chrome 80) auftreten können.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/insert-cookie-attributes.html

    [NSLB-6068]

  • SNMP-OID für virtuelle Backup-Server

    Ein SNMP Object Identifier (OID) “vsvRBackupVServer” mit dem Wert 1.3.6.1.4.1.5951.4.1.3.1.1.81 wurde jetzt zur Citrix ADC Management Information Base (MIB) hinzugefügt. Diese OID enthält die Details der virtuellen Backup-Server, die für bestehende virtuelle Server konfiguriert sind.

    [NSLB-5365]

  • Leichtere Version von Citrix ADC CPX als DNS-Cache in Kubernetes

    Aufgrund der breiteren Einführung von Microservices-Architekturen steigen die DNS-Anforderungsraten innerhalb eines Kubernetes-Clusters. Infolgedessen ist Kubernetes DNS (Kube-DNS) überlastet. In einem Kubernetes-Cluster können Sie jetzt Citrix ADC CPX als DNS-Cache auf jedem Knoten bereitstellen und DNS-Anfragen von Anwendungs-Pods im Knoten an Citrix ADC CPX weiterleiten. Daher können Sie DNS-Anfragen schneller lösen und die Belastung von Kubernetes DNS erheblich reduzieren.

    [NSLB-5325]

  • Parallele Synchronisation der GSLB-Konfiguration zwischen Master- und Slave-Knoten

    Die GSLB-Leistung wird jetzt verbessert, indem die parallele automatische Synchronisation der GSLB-Konfiguration zwischen den Master- und Slave-Knoten aktiviert wird. Die parallele Synchronisation reduziert die Gesamtzeit, die zum Abschluss der GSLB-Synchronisation benötigt wird. Durch diesen Vorgang werden Verzögerungen bei der Synchronisation vermieden, die aus den folgenden Gründen auftreten können:

    • Ein Slave-Knoten ist nicht erreichbar.
    • Der Master-Knoten verfügt über eine umfangreiche Konfiguration für die Synchronisation.
    • Die Master-Konfiguration ändert sich häufig.

    [NSLB-4808]

  • Bei einem Ausfall der Sonde auf dem Benutzerbildschirm werden detaillierte Fehlermeldungen angezeigt

    Die Ursachen für den Ausfall der Benutzermonitorprobe sind in der Datei /var/nslog/nsumond.log erfasst. Sie können jetzt die Ursachen für die Fehler der Monitorprobe einsehen, indem Sie den Befehl ‘show service/service group’ ausführen. Bisher wurde in der Befehlsausgabe “show service/service group” eine generische Fehlermeldung mit der Aufschrift “Prüfung fehlgeschlagen” angezeigt.

    [NSLB-4804]

  • Für den Ausfall der DBS-Monitorprobe werden korrekte Fehlermeldungen protokolliert

    Bei einem DBS-Monitor-Testfehler wird in der Meldung Last Response nun der Grund für den Testfehler angezeigt, wenn die Domainnamen zwar aufgelöst sind, die IP-Adressen aber nicht erreichbar sind. Bisher wurde der Grund in der Meldung “Letzte Antwort” fälschlicherweise als “Domainname nicht gelöst” angezeigt.

    [NSLB-4626]

  • Unterstützung für das MongoDB-Protokoll

    Die Citrix ADC-Appliance unterstützt jetzt die Protokolle MongoDB und MongoDB-TLS für den Lastenausgleich.

    [NSLB-4137]

Netzwerke

  • Unterstützung des Verbindungsfailovers für INAT-Regeln

    Hochverfügbarkeits-Setups der Citrix ADC-Appliance unterstützen Verbindungsfailover für INAT-Verbindungen. Der primäre Knoten sendet in regelmäßigen Abständen INAT-Mappings und andere INAT-bezogene Verbindungsinformationen an den sekundären Knoten. Die sekundäre Appliance verwendet diese Informationen nur im Falle eines Failovers.

    Wenn ein Failover auftritt, verfügt der neue primäre Knoten über Informationen über die INAT-Verbindungen, die vor dem Failover hergestellt wurden, und bedient diese Verbindungen daher auch nach dem Failover weiter.

    Aus Sicht des Kunden ist dieser Failover transparent. Während der Übergangszeit kann es auf dem Client und dem Server zu kurzen Unterbrechungen und erneuten Übertragungen kommen. Der Verbindungsfailover kann gemäß der INAT-Regel aktiviert werden.

    Um das Verbindungsfailover für eine INAT-Regel zu aktivieren, aktivieren Sie den Parameter connFailover (Connection Failover) dieser spezifischen INAT-Regel mithilfe der CLI oder der GUI.

    [NSNET-11168]

  • Verbindungs-Failover-Unterstützung für FTP-Verbindungen über den zufälligen Port des FTP-Servers

    Mit dem Verbindungs-Failover kann der primäre Knoten in einem Hochverfügbarkeits-Setup Verbindungs- und Persistenzinformationen an den sekundären Knoten duplizieren. Die Statusinformationen der Verbindung werden regelmäßig mit dem sekundären Knoten geteilt, wenn die Verbindungsspiegelung aktiviert ist.

    Ein Hochverfügbarkeits-Setup der Citrix ADC-Appliance unterstützt das Verbindungsfailover für eine FTP-Verbindung, für die der FTP-Server einen zufälligen Datenport verwendet.

    Der primäre Knoten sendet die FTP-bezogenen Verbindungsinformationen in regelmäßigen Abständen an den sekundären Knoten. Die sekundäre Appliance verwendet diese Informationen nur im Falle eines Failovers.

    Um das Verbindungsfailover für eine Lastausgleichskonfiguration vom Typ FTP zu aktivieren, aktivieren Sie den Parameter connFailover (Connection Failover) des virtuellen Lastausgleichsservers über die CLI oder der GUI.

    Damit die Citrix ADC-Appliance eine FTP-Verbindung verarbeiten kann, für die der FTP-Server einen zufälligen Port verwendet, müssen Sie außerdem den globalen Citrix ADC-Parameter aktivieren: aftpAllowRandomSourcePort (Enable Random Source Port Selection for Active FTP).

    [NSNET-7685]

  • Unterstützung des IEEE-Standards LLDP MIB

    Die Citrix ADC-Appliance enthält jetzt LLDP SNMP MIB, die dem IEEE-Standard entsprechen.

    [NSNET-6213]

Plattform

  • Konfigurieren Sie eine TCP-Integritätsprüfung für virtuelle UDP-Server

    Die Citrix ADC-Appliance unterstützt eine externe TCP-basierte Integritätsprüfung für einen virtuellen UDP-Server. Diese Funktion führt einen TCP-Listener für die VIP des virtuellen Servers und den konfigurierten Port ein. Dieser TCP-Listener spiegelt den Status des virtuellen Servers wider.

    Um dies zu erreichen, wird der TcpProbePort-Parameter zu den folgenden VServer-Typen hinzugefügt:

    • Virtueller Lastausgleichsserver
    • Virtueller Server für die Cache-Umleitung
    • Virtuelle Content Switching-Server

    Diese Funktion wird nur für virtuelle Server unterstützt, denen eine IP-Adresse oder ein IPset zugewiesen ist.

    [NSPLAT-12345]

  • Option zum Aktivieren oder Deaktivieren des dom0-Zugriffs

    Sie können jetzt den Zugriff auf SDX Control Domain (dom0) aktivieren oder deaktivieren. Mit dom0-Zugriff kann ein Benutzer direkt auf die SDX-Appliance zugreifen und auch die Konfiguration ändern. Zuvor war der dom0-Zugriff standardmäßig aktiviert. Nach dem Upgrade von der vorherigen Version auf 12.1 56/13.0 xx wird der dom0-Zugriff deaktiviert.
    Um den dom0-Zugriff zu aktivieren, navigieren Sie in der SDX-GUI zu System > Netzwerkkonfiguration. Aktivieren Sie unter Appliance-Unterstützbarkeit das Kontrollkästchen Appliance-Unterstützbarkeit konfigurieren.

    [NSPLAT-11065]

  • Stellen Sie VPX-Instanzen auf Microsoft Azure Stack bereit

    Sie können jetzt VPX-Instanzen auf Azure Stack bereitstellen.

    [NSPLAT-9737]

Richtlinien

  • Unterstützung für die Bereitstellung von Kommentaren für Schlüsselwerteinträge, die an eine String-Map gebunden sind

    Mit dem Befehl “bind policy stringmap” können Sie jetzt Kommentare für jeden Schlüsselwerteintrag angeben, der an eine String-Map gebunden ist.
    CLI command:
    bind policy stringmap [-comment ]
    Where,
    Comment provide comments about the key-value entries in a stringmap

    [ NSPOLICY-3297 ]

  • Unterstützung für Binärzeichen in einer Zeichenfolge oder Zeichenliterale

    Eine Citrix ADC-Appliance unterstützt jetzt sowohl ASCII- als auch Binärwerte in einer Zeichenfolge oder Zeichenliterale für den ASCII-Zeichensatz (Standard).
    Example
    CLIENT.TCP.PAYLOAD(100).CONTAINS(“xffx02”)

    [ NSPOLICY-3283 ]

SSL

  • Neuer SNMP-Alarm für den ECDHE-Wechselkurs

    Der ECDHE-basierte Schlüsselaustausch kann dazu führen, dass die Transaktionen pro Sekunde auf der Appliance ausfallen. Sie können jetzt einen SNMP-Alarm für ECDHE-basierte Transaktionen konfigurieren. In diesem Alarm können Sie den Schwellenwert und die normalen Grenzwerte für den ECDHE-Wechselkurs festlegen. Ein neuer Zähler nsssl_tot_sslInfo_ECDHE_Tx wird hinzugefügt. Dieser Zähler ist die Summe aller ECDHE-basierten Transaktionszähler im Frontend und Back-End der Appliance. Wenn der ECDHE-basierte Schlüsselaustausch die konfigurierten Grenzwerte überschreitet, wird ein SNMP-Trap gesendet. Ein weiterer Trap wird gesendet, wenn der Wert wieder auf dem konfigurierten Normalwert liegt.

    [NSSSL-7450]

  • Unterstützung für das DTLSv1.2-Protokoll im Frontend von Citrix ADC-Appliances, die Intel Coleto SSL-Chips enthalten

    Das DTLS 1.2-Protokoll wird jetzt im Frontend von Citrix ADC-Appliances unterstützt, die Intel Coleto SSL-Chips enthalten. Bei der Konfiguration eines virtuellen DTLS-Servers müssen Sie jetzt DTLS1 oder DTLS12 angeben.
    Die folgenden Appliances werden mit Intel Coleto-Chips geliefert:

    • MPX 59xx
    • MPX/SDX 89xx
    • MPX/SDX MPX 26xxx
    • MPX/SDX 26xxx-50S
    • MPX/SDX 26xxx-100 g
    • MPX/SDX 15xxx-50G

    [ NSSSL-7189 ]

  • Unterstützung für die Verarbeitung von OCSP-Antworten mit einer SHA2-basierten Zertifikats-ID

    Die Citrix ADC-Appliance kann jetzt OCSP-Antworten verarbeiten, die eine auf SHA2 oder seinen Varianten (SHA-224, SHA-256, SHA-384, SHA-512) basierende Zertifikat-ID enthalten. In früheren Zeiten kam es bei OCSP-Anfragen zu einem Timeout, wenn die entsprechende OCSP-Antwort mit einer SHA2-basierten Zertifikats-ID empfangen wurde, da die Antwortzertifikat-ID nicht mit der SHA1-basierten Zertifikats-ID übereinstimmte, die beim Senden der OCSP-Anfrage verwendet wurde. Infolgedessen schlug der SSL-Handshake je nach Status der Client-Authentifizierung und der OCSP-Prüfung auf dem virtuellen Server fehl.

    [NSHELP-20399]

System

  • Konfiguration des Höchstlimits für HTTP/2-Frames

    Sie können jetzt die Standardkonfiguration der maximalen Anzahl von Frames (wie PING, RESET, SETTING und EMPTY) ändern, die in einer HTTP/2-Verbindung empfangen werden. Wenn die Appliance mehr Frames als das maximale Limit empfängt, schließt die Appliance die Verbindung im Hintergrund.

    [NSBASE-9447]

  • Wiederholung für ADC Ingress-Traffic anfordern

    Wenn ein Client eine HTTP- oder HTTPS-Anfrage sendet und der Backend-Server die TCP-Verbindung zurücksetzt, ermöglicht die Request-Wiederholungsfunktion der Citrix ADC-Appliance, den nächsten verfügbaren Dienst auszuwählen und die Anfrage weiterzuleiten, anstatt einen Reset an den Client zu senden. Durch einen erneuten Versuch speichert der Client RTT, wenn die Appliance dieselbe Anfrage an den nächsten verfügbaren Dienst initiiert.
    Die Funktion zum erneuten Anfordern von Versuchen gilt für das folgende Fehlerszenario:

    • RESET von einem Backend-Server, wenn eine Appliance ein Anforderungsdatenpaket sendet.

    Hinweis: Derzeit ist die Wiederholung von Anfragen nur für HTTP- und SSL-Protokolle möglich.

    [NSBASE-8288]

  • Unterstützung für das Proxy-Protokoll

    Eine Citrix ADC-Appliance verwendet jetzt das Proxy-Protokoll für den sicheren Transport von Verbindungsinformationen vom Client zum Server über die gesamte Appliance in der Proxyschicht. Die Appliance fügt einen Proxy-Protokollheader hinzu, der die Client-Verbindungsdetails einfügt und sie an andere Appliances und dann an den Back-End-Server weiterleitet. Im Folgenden sind einige der Nutzungsszenarien für ein Proxy-Protokoll in einer Citrix ADC-Appliance aufgeführt.

    • Erfahren Sie die ursprüngliche Client-IP-Adresse
    • Wählen Sie eine Sprache für eine Website
    • Ausgewählte IP-Adressen auf die schwarze Liste setzen
    • Statistiken protokollieren und sammeln

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/proxy-protocol.html

    [NSBASE-4984]

Benutzeroberfläche

  • Die SCOM-Links sind derzeit auf der Citrix ADC GUI-Downloadseite nicht verfügbar.

[NSUI-14323]

  • Client-IP-Adresse in einer TCP-Option

    Auf der GUI-Seite des TCP-Profils können Sie jetzt die Parameter clientiptcpoption und clientiptcpoptionnumber konfigurieren, um die Client-IP-Adresse an den Backend-Server zu senden.

    [NSUI-13991]

Behobene Probleme

Die Probleme, die in Build 13.0-52.24 behoben wurden.

AppFlow

  • In HDX Insight zeigt die Verfügbarkeit für beendete Sitzungen die tatsächliche Sitzungsverfügbarkeit unabhängig vom ausgewählten Intervall an.

    [NSHELP-21380]

Authentifizierung, Autorisierung und Auditing

  • Eine Citrix ADC-Appliance überspringt den Benutzer, um weitere Gruppen unter den folgenden Bedingungen zu berücksichtigen:
    • Ein Benutzer ist ein direktes Mitglied der verschachtelten Gruppe.
    • Ein Benutzer ist bereits Mitglied früherer Levelgruppen.

    [NSHELP-21945]

  • Bei einem Citrix ADC Hochverfügbarkeits- und Cluster-Setup führt eine Verzögerung beim Freigeben des Speicherplatzes zu einer Anhäufung des Speichers.

    [NSHELP-21917]

  • Eine Citrix ADC-Appliance kann während der Auditprotokollierung abstürzen, wenn die Benutzerauthentifizierung mit einer zusätzlichen Anmeldeanforderung wie einer Kennwortänderung oder einer RADIUS-Herausforderung aufgefordert wird.

    [NSHELP-21703]

  • Ein Citrix Gateway-Gerät, das als SAML IdP für die Workspace-Anmeldung konfiguriert ist, kann bei der Abmeldung gelegentlich einen HTTP-404-Fehler zurückgeben.

    [NSHELP-21650]

  • Eine Citrix ADC-Appliance stürzt möglicherweise bei der Verbindungsbereinigung ab, wenn die folgenden Bedingungen erfüllt sind:
    • Der Datenverkehr wird von einem VPN-Setup geleitet.
    • SSO ist im Gange.
    • Seltenes Timing-Problem beim Schließen einer Client-Verbindung.

    [NSHELP-21504]

  • Eine Citrix ADC-Appliance, die für domänenübergreifendes Kerberos bereitgestellt wird, kann SSO möglicherweise nicht ausführen, wenn der Parameter KcdAccount mithilfe einer Keytab-Datei konfiguriert wird.

    [NSHELP-21406]

  • Eine als Forward-Proxy konfigurierte Citrix ADC-Appliance erlaubt keine NTLM-Authentifizierung mit HTTP 1.0-Clients.

    [NSHELP-21349]

  • In seltenen Fällen kann ein Citrix Gateway-Gerät abstürzen, wenn ein ungültiges HTTP-Paket empfangen wird.

    [NSHELP-21342]

  • Eine Citrix ADC-Appliance, die ein NTLM-Protokoll verwendet, kann SSO für die MAPI-Clients (Messaging Application Programming Interface) nicht ausführen.

    [NSHELP-21270]

  • Eine Citrix ADC-Appliance stürzt möglicherweise während der Authentifizierung, Autorisierung und Überwachung ab, wenn eine Paket-Engine eine Antwort zum Entfernen doppelter Sitzungen generiert.

    [NSHELP-21172]

  • Wenn Citrix ADC für formularbasiertes SSO konfiguriert ist und Name-Wert-Paare in der Konfiguration angegeben sind, werden diese Werte ignoriert, wenn die Werte im Formular fehlen.

    [NSHELP-21139]

  • In seltenen Fällen schlägt die nFactor-Anmeldung fehl, wenn die beiden folgenden Bedingungen erfüllt sind:
    • Die Citrix ADC-Appliance ist für die Zertifikatsauthentifizierung mit einem Fallback auf LDAP konfiguriert.
    • Die Zertifikatsauthentifizierung schlägt fehl.

    [NSHELP-21118]

  • Eine als SAML bereitgestellte Citrix ADC-Appliance kann gelegentlich keine SAML-basierte Abmeldung durchführen.

    [NSHELP-21093]

  • Die nFactor Flows-Seite auf der Citrix ADC GUI wird nicht mit Internet Explorer geöffnet.

    [NSHELP-21065]

  • Der SAML-MetadataURL-Parameter funktioniert nicht, nachdem eine Citrix ADC-Appliance neu gestartet wurde.

    [NSHELP-21006]

  • In seltenen Fällen kann das Citrix Gateway-Gerät ausfallen, wenn Benutzer zur Eingabe eines einmaligen Codes aufgefordert werden.

    [NSHELP-20967]

  • Ein Kerberos-SSO kann fehlschlagen, wenn eine Citrix ADC-Appliance in einer Multidomänen-Umgebung (Parent-Child-Domäne) bereitgestellt wird und sich die Benutzer in der übergeordneten Domäne und die Dienste in der untergeordneten Domäne befinden.

    [NSHELP-20910]

  • Eine Citrix ADC-Appliance kann unter den folgenden Umständen ausfallen:
    • Die Citrix ADC-Appliance wurde mit OAuth- oder SAML-IdP-Aktionen sowie der Aktualisierung von Metadateninformationen aus einer externen Quelle konfiguriert.
    • Die Konfiguration wird geändert, während Daten von der externen Quelle abgerufen werden oder wenn die Authentifizierung läuft. Das gleiche Problem tritt auf, wenn Sie den Befehl “clear config” ausführen.

    [NSHELP-20646]

  • In seltenen Fällen schlägt die Authentifizierung fehl, wenn die Verbindung zum LDAP-Server über HTTPS hergestellt wird.

    [NSHELP-20181]

  • Wenn der aktive Sync-Client eine HEAD-Anfrage sendet, authentifiziert die Citrix ADC-Appliance die 200 OK-Antwort nicht.

    [NSHELP-20125]

  • Der RBA-Zugriff auf Clusterknoten wird aufgrund eines DHT-Betriebsproblems unterbrochen. Zusätzliche Zähler werden hinzugefügt, um dieses Szenario zu bewältigen.

    [NSHELP-20028]

  • In Einzelfällen kommt es zu einem Speicherfehler, der einen Core-Dump verursacht, während ein beschädigter SSL-VPN-Authentifizierungs-, Autorisierungs- und Audit-Sitzungseintrag nach Ablauf des Timeouts gelöscht wird.

    [NSHELP-1975]

  • Das vom AD zur Citrix ADC-Appliance abgerufene LDAP-DN-Attribut wird gekürzt, wenn die Attributlänge mehr als 128 Byte beträgt.

    [NSAUTH-7210]

  • In einem Citrix ADC Hochverfügbarkeits- und Cluster-Setup stürzt die Appliance möglicherweise ab, wenn Sie die Appliance von Version 12.1 Build 55.13 auf Version 12.1 Build 55.18 aktualisieren. Der Absturz tritt auf, wenn entweder Citrix Gateway oder die Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen auf der Appliance aktiviert sind.

    [ NSAUTH-7153 ]

  • Der Protokollwechsel von HTTP zu WebSockets schlägt fehl, wenn SSO auf einer Citrix ADC-Appliance konfiguriert ist.

    [NSAUTH-6354]

  • Wenn Sie den virtuellen Authentifizierungsserver mithilfe der Optionen “End-to-End-Anmeldetest” oder “Endbenutzerverbindung testen” auf der Seite Authentifizierungs-LDAP-Server erstellen in der Citrix ADC GUI bearbeiten, wird eine Fehlermeldung angezeigt.

    [NSAUTH-6339]

Citrix ADC SDX-Appliance

  • Wenn Sie einen LDAP-Server unter SDX GUI > Konfiguration > System > Authentifizierung > LDAP hinzufügen, werden Sonderzeichen, die im Formulareingabetextfeld verwendet werden, nicht dekodiert, bevor sie angezeigt werden. Und das Zeichen “&” im Feld Basis-DN wird durch “&” ersetzt.

    [NSHELP-21488]

  • Nachdem Sie die SDX-Appliance in einem beliebigen Build auf Version 13.0 aktualisiert haben, kann auf Citrix ADC-Instanzen, die ohne Verwaltungsschnittstellen (0/1, 0/2) bereitgestellt wurden, nicht mehr zugegriffen werden.

    [NSHELP-21412]

  • Wenn Sie versuchen, mehrere VPX-Instanzen gleichzeitig neu zu starten, die auf einer SDX-Appliance ausgeführt werden, verschwinden der Kanal und die Datenschnittstellen für VPX-Instanzen aus dem SDX Management Service.

    [NSHELP-21124]

  • Nach dem Upgrade einer SDX-Appliance listet der SDX Management Service möglicherweise keine Ethernet-Schnittstellen auf. Dies passiert, wenn der Teil des Upgrades nach der Installation nicht erfolgreich ist.

    [NSHELP-21068]

  • Auf einer SDX-Appliance können gelegentlich Ereignisse mit hoher CPU-Auslastung auftreten. Dieser Anstieg ist darauf zurückzuführen, dass das Appliance-Backup ein CPU-intensiver Prozess ist. Die hohe CPU-Auslastung ist vorübergehend.

    [NSHELP-21063]

  • Die Appliance verliert die Schnittstellendetails, wenn mehr als drei Instanzen für den Neustart oder das Herunterfahren ausgewählt werden.

    [NSHELP-21040]

Citrix Gateway

  • Das Windows VPN-Plug-In stürzt ab, wenn die Sprache des Plugin-Clients auf Chinesisch eingestellt ist.

    [NSHELP-21946]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn sie für Advanced Clientless VPN konfiguriert ist.

    [NSHELP-21819]

  • Nach einem Upgrade von Citrix Gateway auf Version 13.0 Build 47.24 schlägt die DNS-Auflösung über einen VPN-Tunnel fehl, da der lokale DNS-Server mit einem falsch positiven Ergebnis reagiert.

    [NSHELP-21794]

  • Die Enterprise Web Apps zeigen möglicherweise einen Fehler an, wenn die Cookies gesetzt wurden und gleichzeitig ablaufen.

    [NSHELP-21772]

  • Die Citrix Gateway-Anmeldeseite reagiert nicht mehr, wenn RFWebUI-basierte benutzerdefinierte Designs oder nFactor mit benutzerdefinierten Designs verwendet werden.

    [NSHELP-21763]

  • Die Bindungen der Intranetanwendung an die Authentifizierungs-, Autorisierungs- und Überwachungsgruppe gehen verloren, wenn Sie die Citrix ADC-Appliance nach dem Upgrade auf Version 13.0 Build 47.x neu starten.

    [NSHELP-21733]

  • Sie können nicht auf Links zugreifen, die mit “1https” oder “0https” beginnen.

    [NSHELP-21469]

  • Sie können eine Anwendung, die Advanced Clientless VPN verwendet, nicht über Lesezeichen starten, wenn der POST-Text der clientlosen VPN-Anwendung HTML-Code enthält, der mit ‘(einfache Anführungszeichen) oder “(doppelte Anführungszeichen) kodiert ist.

    [NSHELP-21361]

  • Es kann lange dauern, bis das Citrix Gateway VPN-Plug-In einen Tunnel zu einem Computer eingerichtet hat, wenn die Proxy-PAC-Datei nicht erreichbar ist.

    [NSHELP-21355]

  • In einigen Fällen gibt Citrix Gateway den Kern aus, wenn die folgenden Bedingungen erfüllt sind:

    • Die EDT Insight-Funktionalität ist für das Citrix Gateway-Gerät aktiviert.
    • Die Appliance empfängt ein defektes CGP-BINDRESP-Paket vom VDA.

    [NSHELP-21296]

  • Auf einigen Computern werden die Schaltflächen im EPA-Prompt-Fenster (JA, NEIN, IMMER) nicht auf dem EPA-Plug-In-Bildschirm angezeigt.

    [NSHELP-21276]

  • In einem Citrix Gateway-Hochverfügbarkeits-Setup stürzt der sekundäre Knoten während der Hochverfügbarkeitssynchronisierung ab, wenn die Protokollierung auf der Citrix Web App Firewall global aktiviert ist.

    [NSHELP-21254]

  • Wenn Sie clientloses VPN (CVPN) auf Citrix Gateway konfiguriert haben, stürzt die Appliance möglicherweise aufgrund einer fehlerhaften Rewrite-Behandlung ab.

    [NSHELP-21244]

  • In einem Citrix Gateway-Setup mit hoher Verfügbarkeit stürzt der sekundäre Knoten möglicherweise ab, wenn Gateway Insight aktiviert ist.

    [NSHELP-21184]

  • Wenn zwei oder mehr Client-Computer versuchen, eine VPN-Tunnelverbindung zu demselben Gateway herzustellen, schlägt die Ping-Verbindung von einem Client-Computer zu einem anderen Computer fehl.

    [NSHELP-21169]

  • Manchmal stürzt die Citrix ADC-Appliance während der Übertragungsanmeldung ab.

    [NSHELP-21134]

  • Benutzer können sich nicht bei Citrix Gateway anmelden, wenn der Hostname des virtuellen VPN-Servers “cvpn” in seinem Namen enthält.

    [NSHELP-21119]

  • Wenn Sie den erweiterten clientlosen VPN-Zugriff konfiguriert haben, können die Lesezeichen von SAP-Anwendungen nicht richtig angezeigt werden, wenn in den Enterprise Web Apps eine Kodierung wie (‘x3a’ oder ‘&x3a’ für ‘:’) verwendet wird.

    [NSHELP-21072]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab und gibt den Kern aus, wenn die Speicherzuweisung für Client- und Server-Prozesssteuerungsblöcke fehlschlägt.

    [NSHELP-20961]

  • Der AlwaysOn-Dienst mit Benutzerpersona kann keinen Benutzertunnel einrichten, wenn sich im Gerätespeicher mehrere Gerätezertifikate befinden.

    [NSHELP-20897]

  • Benutzer können nicht auf interne Ressourcen zugreifen, selbst wenn das VPN erfolgreich verbunden ist, aber die DNS-Server sind nicht korrekt für den Citrix Virtual Adapter konfiguriert.

    [NSHELP-20892]

  • Die auf der StoreFront konfigurierten Apps werden nicht auf der Citrix Gateway-Homepage angezeigt, wenn alle der folgenden Bedingungen erfüllt sind:
    • WiHome ist konfiguriert.
    • Erweiterter clientloser VPN-Zugriff ist aktiviert.
    • Der Benutzer meldet sich entweder über einen Internet Explorer oder Firefox an.

    [NSHELP-20888]

  • Die nFactor-Authentifizierung schlägt fehl, wenn das Online Certificate Status Protocol (OCSP) für die Überprüfung des Gerätezertifikats aktiviert ist.

    [NSHELP-20855]

  • Wenn Reverse-Split-Tunneling aktiviert ist, werden Intranetrouten entweder mit falschen Präfixwerten hinzugefügt oder gar nicht hinzugefügt.

    [NSHELP-20825]

  • In einem Citrix Gateway-Hochverfügbarkeits-Setup stürzt der sekundäre Knoten möglicherweise ab, wenn keine Richtlinien konfiguriert sind und Sie den Knoten von Version 12.0 auf Version 13.0 aktualisieren.

    [NSHELP-20790]

  • Ein leerer Bildschirm wird angezeigt und StoreFront-Apps werden bei der Übertragungsanmeldung nicht aufgeführt, wenn die beiden folgenden Bedingungen erfüllt sind:
    • SplitTunnel ist auf ON gesetzt.
    • Die Option IP-Adresspool (Intranet-IP) ist auf NoSpillover gesetzt.

    [NSHELP-20584]

  • In einem Hochverfügbarkeits-Setup sind während des Citrix ADC-Failovers die Symbole einiger Apps im Ordner /var/netscaler/logon nicht sichtbar.

    [NSHELP-20573]

  • Wenn auf die Backend-Server nicht zugegriffen werden kann, gehen den Clients die Verbindungen aus und es sind keine neuen Verbindungen zum Backend erfolgreich.

    [NSHELP-20535]

  • In einem Hochverfügbarkeits-Setup stürzt der sekundäre Knoten ab, wenn eine Authentifizierungs-, Autorisierungs- und Auditing-Sitzung oder eine VPN-Sitzung, die SAML-bezogene Informationen enthält, an den primären Knoten weitergegeben wird.

    [NSHELP-20230]

  • In einigen Fällen gibt das nach außen gerichtete Citrix Gateway in einer Double-Hop-Bereitstellung mit aktiviertem ICA Insight den Kern für ein bestimmtes Netzwerkverkehrsmuster aus.

    [NSHELP-19487]

  • Sie können jetzt die RFWebUI-Parameter wie LogInformTimeout und Session Timeout konfigurieren, indem Sie die Datei plugins.xml bearbeiten.

    [NSHELP-19221]

  • Wenn die Anzahl der Authentifizierungs-, Autorisierungs- und Überwachungssitzungen hoch ist, dauert es länger, eine Benutzersitzung zu beenden.

    [NSHELP-19131]

  • Nach einem Upgrade von Citrix ADC und dem Gateway-Plug-In auf Version 13.0 Build 41.20 tritt bei Benutzern beim Versuch, den VPN-Tunnel einzurichten, ein BSOD-Fehler (Continuous Blue Screen of Death) auf.

    [CGOP-12099]

Citrix Web App Firewall

  • Die Citrix ADC-Appliance blockiert Closure-URLs nach zwei Minuten, wenn der URL-Schließschutz aktiviert ist.

    [NSWAF-3292]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein Web App Firewall-Profil die Richtlinienaktionen APPFW_DROP und APPFW_RESET verwendet.

    [NSHELP-21283]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn APPFW_DROP und APPFW_RESET als Web App Firewall-Richtlinienaktionen verwendet werden.

    [NSHELP-21220]

  • Die Citrix ADC-Appliance stürzt möglicherweise aufgrund eines Speicherfehlers ab, wenn die Citrix Web App Firewall-Funktion aktiviert ist.

    [NSHELP-21201]

  • Eine Citrix ADC-Appliance stürzt möglicherweise aufgrund eines Fehlers bei der Speicherzuweisung ab.

    [NSHELP-21071]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Signaturfunktion aktiviert ist und ein bestimmtes Anforderungsmuster erkannt wird.

    [NSHELP-20884]

  • Eine Citrix ADC-Appliance setzt die Verbindung zurück, wenn eine eingehende GWT-Anfrage eine Abfragezeichenfolge in der URL enthält.

    [NSHELP-20564]

  • Nach einem Upgrade von Build 12.0-58.15 auf 12.0-62.8 funktioniert die URL-Transformationsfunktion für einige URLs nicht. Das Problem wird durch eine falsche Kanonisierung beim Umschreiben von URLs verursacht.

    [NSHELP-20460]

  • In einem Hochverfügbarkeits-Setup kann die Aktivierung der IP-Reputationsfunktion zu Fehlern bei der Befehlsweiterleitung für hohe Verfügbarkeit führen.

    [NSHELP-2010]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie einen langsamen FTP/HTTP-Server zum Herunterladen von Signaturen verwenden und wenn die Downloadzeit mehr als 10 Minuten beträgt.

    [NSHELP-18331]

Clustering

  • Wenn Sie den Befehl show techsupport -scope cluster ausführen, wird der folgende Fehler für alle Citrix ADC SDX-Appliances angezeigt:

    “Dies ist eine Instance mit geringer Bandbreite”

    [NSHELP-20666]

Lastausgleich

  • Die Citrix ADC-Appliance stürzt möglicherweise während der GSLB-Synchronisierung ab. Dieses Problem tritt auf, wenn der Befehl “set gslb service” auf einem nicht existierenden GSLB-Dienst ausgeführt wird.

    [NSHELP-21304]

  • Nach dem Verbindungsfailover, wenn die sekundäre Appliance zur neuen primären Appliance wird, wird ein Paketverlust beobachtet.

    [NSHELP-21155]

  • Wenn Sie den Befehl “set service” ausführen, wird die folgende Fehlermeldung angezeigt:
    “Die IP-Adresse kann auf einem domänenbasierten Server nicht festgelegt werden. “

    Diese Fehlermeldung wird angezeigt, wenn der Server mit einem Namen mit mehr als 32 Zeichen konfiguriert ist.

    [NSHELP-20939]

  • Die Citrix ADC-Appliance stürzt möglicherweise zeitweise ab, wenn die DWR-Überprüfung
    (Device Watchdog Request) für die Policy and Charging Rules Function (PCRF) aktiviert ist und der PCRF nicht mehr erreichbar ist.

    [NSHELP-20827]

  • Wenn Sie bei einem GSLB-Setup in einem Cluster den Befehl “set rpcnode” ausführen, ändert sich die Quell-IP-Adresse in einem RPC-Knoten in die NSIP-Adresse. Daher verwendet GSLB beim Initiieren einer MEP-Verbindung die NSIP-Adresse anstelle der SNIP-Adresse.

    [NSHELP-20552]

  • Wenn Sie in einem Cluster-Setup den Befehl “unset lb vserver test -RedirectFromPort” ausführen, wird der HTTP-Umleitungsport für den virtuellen Lastausgleichsserver nicht aus der Datenbank gelöscht.

    [NSHELP-20518]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Persistenz im IPv6-Hochverfügbarkeits-Setup aktiviert ist.

    [NSHELP-20219]

Netzwerke

  • Die CLI einer Citrix ADC-Appliance zeigt unerwünschte Debug-Meldungen an, wenn die Appliance fragmentierte IPv6-Pakete verarbeitet.

    [NSNET-12704]

  • Eine Citrix ADC BLX-Appliance mit DPDK-Unterstützung kann nicht gestartet werden und gibt den Kern aus, wenn DPDK auf dem Linux-Host falsch konfiguriert ist (z. B. wenn Hugepages nicht konfiguriert sind).

    Weitere Informationen zur Konfiguration von DPDK auf einem Linux-Host für die Citrix ADC BLX-Appliance finden Sie unter https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html.

    [NSNET-11349]

  • Eine Citrix ADC BLX-Appliance kann aufgrund einer DPDK-Fehlkonfiguration (z. B. wenn Hugepages nicht konfiguriert sind) auf dem Linux-Host nicht gestartet werden. Sie müssen den Startbefehl (systemctl start blx) zweimal ausführen, um die Citrix ADC BLX-Appliance zu starten.

    [NSNET-11107]

  • Der Befehl “sh IP BGP summary” in der VTYSH-Befehlszeile zeigt die 32-Bit-ASN-Werte fälschlicherweise als negative Werte an.

    [NSHELP-21234]

  • Auf einer Citrix ADC-Appliance werden Verwaltungsverbindungen zu IPv6-Subnetz-IP-Adressen möglicherweise zurückgesetzt, wenn Sie den Grundvorgang Clear Config ausführen.

    [NSHELP-21206]

  • Während des Set-Partitionsvorgangs wird der maximale Speicher der Partition jetzt auf nur NS_SYS_MEM_FREE () erhöht. Zuvor wurde es auf den maximal verfügbaren Speicher erhöht, damit die konfigurierte Partition nach dem Neustart der Citrix ADC-Appliance nicht verloren geht.

    [NSHELP-21159]

  • Der Citrix ADC kann den nächsten Hop von Intermediate System to Intermediate System (IS-IS) nicht installieren, da die Authentifizierungsinformationen (AUTH) auf den empfangenen großen Link State PDUs (LSPs) fehlen.

    [NSHELP-21062]

  • Der BGP-Daemon zeigt möglicherweise doppelte Warnmeldungen für eine Route an, die aus der Citrix ADC-Routingtabelle entfernt wurde.

    [NSHELP-20906]

  • Nach einem Systemneustart kündigt die Citrix ADC-Appliance 180 Sekunden lang Routen mit einer reduzierten Metrik an.

    [NSHELP-20842]

  • Die Citrix ADC-Appliance aktualisiert ECMP-Routen möglicherweise nicht ordnungsgemäß, wenn mehrere
    BGP-Sitzungen gleichzeitig in den Status “DOWN” wechseln.

    [NSHELP-20664]

  • Die Citrix ADC-Appliance überspringt möglicherweise Policy-Based Routes (PBR) -Regeln für ausgehende Monitorpakete vom Typ UDP und ICMP.

    [NSHELP-20545]

NSSWG

  • In einem zusammengesetzten URLSet-Ausdruck wie .URLSET_MATCHES_ANY (URLSET1 || URLSET2) spiegelt das Feld “Urlset Matched” in einem Appflow-Datensatz nur den Status des zuletzt ausgewerteten URLSets wider. Wenn die angeforderte URL beispielsweise nur zu URLSET1 gehört, wird das Feld URLSet Matched auf 0 gesetzt, obwohl die URL zu einem der URLSets gehört. Infolgedessen ändert URLSET1 das Feld URLSet Matched auf 1, während URLSET2 es auf 0 zurücksetzt.

    [NSSWG-1100]

  • Die URL-Filterung schlägt fehl, wenn hinter dem Domänennamen eine eingehende URL einen doppelten Schrägstrich hat. Das Schema “http://” wird vorangestellt. Zum Beispiel www.example.com//index.html

    [NSSWG-1082]

  • Das folgende Verhalten wird in einer Citrix ADC-Appliance und in Citrix Gateway beobachtet:

    • Die Citrix ADC-Appliance reagiert möglicherweise nicht mehr, wenn sie als Proxy bereitgestellt wird und SSO für die Back-End-Anwendungen aktiviert ist.
    • Das gleiche Verhalten wird in Citrix Gateway mit der Konfiguration des ausgehenden Proxys beobachtet.

    [NSHELP-21437]

Plattform

  • Wenn Sie die Citrix ADC VPX-Appliance warm neu starten, können die Abonnementlizenzen unter den folgenden Bedingungen verloren gehen:

    • Verwendung der auf Elastic Network Adapter (ENA) basierenden AWS-Instanztypen: C5, C5n, M4 und M5.
    • Aktivierung der ENA-Schnittstelle auf vorhandenen unterstützten AWS-Instanzen.

    [NSPLAT-13467]

  • Tx-Stalls können auf Citrix ADC MPX-Appliances auftreten, die 10G IXGBE-Ports verwenden, und Citrix ADC SDX-Appliances, die 10G IXGBEVF-Ports verwenden.

    [ NSPLAT-13338 ]

  • Unterstützung für neue Citrix ADC SDX-Hardwareplattformen
    Diese Version unterstützt jetzt die folgenden neuen Plattformen:

    [NSPLAT-12815]

  • Nach dem Upgrade der Citrix ADC SDX 8900- und SDX 15000 50G-Appliances auf Version 11.1 63.9 werden 10G-NICs auf den Appliances nicht angezeigt. Dieses Problem verhindert, dass die VPX-Instanzen gestartet werden. Infolgedessen werden die Instanzen nicht mehr erreichbar.

    [ NSPLAT-12093 ]

  • Wenn in einem Cluster-Setup der 50G-Port einer MPX 15000-Appliance als Teil der Backplane konfiguriert ist, wird die MTU des 50G-Ports auf Null statt auf 1578 gesetzt.

    [NSHELP-21113]

  • In einigen Fällen, wenn Sie eine oder mehrere VPX-Instanzen auf einer Citrix ADC SDX-Appliance mit Fortville-NICs neu starten, geht LACP auf den Schnittstellen möglicherweise in den Status “Standard” über.

    [NSHELP-21091]

  • In einigen Fällen reagiert die SDX 14000-Appliance möglicherweise nicht mehr und muss neu gestartet werden.

    [NSHELP-21017]

  • Bei der VPX-Bereitstellung auf der Cisco CSP 2100-Plattform können gelegentlich Pakete verworfen werden, wenn mehr als eine virtuelle Funktion (VF) aus der physischen Netzwerkschnittstellenkarte (pNIC) erstellt wird.

    [NSHELP-20991]

  • Bei Appliances, die Fortville-Schnittstellen enthalten, kann ein Tx-Stall beobachtet werden, wenn ein Paket mehr als acht Deskriptoren umfasst. Der Stall kann dazu führen, dass die Schnittstelle in den fehlerhaft deaktivierten Zustand übergeht.

    [NSHELP-20800]

Richtlinien

  • Die Citrix ADC-Appliance erlaubt jetzt alle Zeichenketten- und Zeichenliterale, die Binärzeichen enthalten. Die UTF-8-Zeichensätze erfordern jedoch weiterhin, dass die Zeichenketten- und Zeichenliterale gültig sind.

    Bisher erlaubte die Appliance nur gültige UTF-8-Zeichenketten- und Zeichenliterale. Dies galt sowohl für UTF-8- als auch für binäre (ASCII) Zeichensätze. Dies erlaubte jedoch einige binäre Zeichenketten- und Zeichenliterale nicht, was bedeutete, dass einige gültige Ausdrücke, die sich auf binären Inhalt beziehen, nicht geschrieben werden konnten.
    Beispiel:

    CLIENT.TCP.PAYLOAD(100).CONTAINS(“xffx02”)

    [ NSPOLICY-2362 ]

  • Eine Citrix ADC-Appliance kann abstürzen, wenn beim Umschreiben von Chunk-Daten nur wenige Netzwerkpuffer vorhanden sind.

    [NSHELP-20847]

SSL

  • In einigen Fällen können die folgenden Appliances abstürzen, während SSL-Verkehr ausgeführt wird:
    • MPX 59xx
    • MPX/SDX 89xx
    • MPX/SDX MPX 26xxx
    • MPX/SDX 26xxx-50S
    • MPX/SDX 26xxx-100 g
    • MPX/SDX 15xxx-50G

    [NSSSL-7606]

  • Die richtlinienbasierte Clientauthentifizierung mit obligatorischer Zertifikatsüberprüfung schlägt fehl, wenn die Clientauthentifizierung mit optionalem Client-Zertifikat auch auf dem virtuellen Server konfiguriert ist.

    [NSHELP-21190]

  • Bei SNI-fähigen Sitzungen kann die ADC-Appliance steuern, wie der Host-Header validiert wird. Ein neuer Parameter sniHttpHostMatch wurde dem SSL-Profil und den globalen SSL-Parametern hinzugefügt, um diese Überprüfung besser kontrollieren zu können. Dieser Parameter kann drei Werte annehmen: CERT, STRICT und NONE. SNI muss auf dem virtuellen SSL-Server oder dem an den virtuellen Server gebundenen Profil aktiviert sein, und die HTTP-Anforderung muss den Host-Header enthalten.

    [NSHELP-13370]

System

  • Analyseberichte werden nicht auf der Citrix ADM GUI angezeigt, wenn Sie:
    1. Installieren Sie ADM 12.1.52.15 oder höher.
    2. Wählen Sie den Logstream-Transportmodus, um Analysen für Instanzen zu konfigurieren.

    [NSHELP-21618]

  • Eine Citrix ADC-Appliance setzt HTTP/2-Streams auf einer Clientverbindung mit einem HTTP/2-RST_STREAM nach einem Leerlauf-Timeout nicht zurück.

    [NSHELP-21537]

  • Eine Clientverbindung reagiert nicht mehr, wenn Sie Multiplexing in einem HTTP/2-Profil auf einer Citrix ADC-Appliance aktivieren.

    [NSHELP-21434]

  • Eine Citrix ADC-Appliance leitet keine Antwort an den Client weiter, wenn sie sowohl Trailer- als auch Inhaltslängenheader enthält.

    [NSHELP-21427]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein Speicherzuweisungsfehler für den sicheren HTTP/2-Monitor auftritt.

    [NSHELP-21400]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die AppQoE-Aktion fehlschlägt.

    [NSHELP-21393]

  • Eine HTTP-Transaktion kann fehlschlagen, wenn eine Citrix ADC-Appliance eine HTTP/2-Anfrage mit mehreren Cookie-Namen-Wert-Paaren an den Back-End-Server sendet.

    [NSHELP-21373]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn sie eine HTTP/1.1-Anfrage mit einer HTTP/2.0-Version empfängt. Jede Client-Anfrage mit einer HTTP/2.0-Version betrachtet die Appliance als HTTP/2.0-Anfrage und verarbeitet sie. Dies führt zu einem Absturz.

    [NSHELP-21187]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Appflow Client-Side Measurements aktiviert ist, wenn große HTTP-Antworten bereitgestellt werden.

    [NSHELP-21099]

  • In einem Cluster-Setup stürzt die Citrix ADC-Appliance möglicherweise für eine neue MPTCP-Verbindung ab, wenn die 4 Tupel mit einem anderen MPTCP-Schlüssel wiederverwendet werden, bevor die ursprüngliche Verbindung auf der Citrix ADC-Appliance abgelaufen ist.

    [NSHELP-20844]

  • Die FTP-Datenverbindung im passiven Modus reagiert während der transparenten virtuellen Serverbereitstellung im MAC-Modus nicht mehr.

    [NSHELP-20698]

  • Die Speichernutzung steigt, wenn Sie das Proxy-Protokoll aktivieren und wenn aufgrund einer Netzwerküberlastung eine erneute Übertragung erfolgt.

    [NSHELP-20613]

  • Der Befehl show connectiontable zeigt einige Einträge an, die den genannten Filter unter den folgenden Bedingungen nicht erfüllen:
    • Der Befehl wird bei hohem Datenverkehr ausgeführt.
    • Der Befehl wird mit einem IP- oder Portfilter verwendet.

    [NSBASE - 9509]

Benutzeroberfläche

  • Die gepoolte Kapazitätslizenzierung von Citrix ADC schlägt möglicherweise fehl, wenn die Latenz zwischen ADC und ADM hoch ist. Dieses Problem tritt auf, wenn die Latenz mehr als 200 ms beträgt.

    Der Citrix ADC-Lizenzclient versucht wiederholt, die Lizenzen von ADM auszuchecken. In einem Hochverfügbarkeits- und Cluster-Setup werden Lizenzkonfigurationen unnötig neu angewendet, wenn die Synchronisation ausgelöst wird. Die Weitergabe und Synchronisation der gepoolten Lizenzbefehle sind deaktiviert. Jeder Knoten muss unabhängig lizenziert werden, indem Sie sich beim NSIP des Knotens anmelden. Sie können nur Show-Befehle auf der Cluster-IP ausführen.

    [NSUI-14868]

  • Nach dem Upgrade auf Build 12.1-55.x wird die Appliance möglicherweise ohne Lizenz gestartet, wenn die Pool-Lizenzierung konfiguriert ist. Infolgedessen sind alle Funktionen deaktiviert und jede Konfiguration, die lizenzabhängig ist, fehlt in der laufenden Konfiguration. Führen Sie einen Warmstart durch, um die Poollizenz und die Konfiguration wiederherzustellen.
    Vorsicht: Führen Sie “Save Config” nicht aus und erzwingen Sie keinen HA-Failover auf einer nicht lizenzierten Appliance.

    [NSUI-7869]

  • Sie können die Client-Authentifizierung jetzt in den SSL-Parametern eines virtuellen Servers mithilfe der GUI auf optional setzen. Zuvor wurde die Client-Authentifizierung auf obligatorisch umgestellt, wenn Sie die GUI verwendet haben, um SSL-Parameter zu ändern.

    [NSHELP-21060]

  • KeyError-Ausnahmen werden beobachtet, wenn die Zählabfrage in einer Citrix ADC-Appliance nicht funktioniert.

    [NSHELP-20979]

  • Sie können mit dem Suchfilter in der ADC-GUI nicht nach einer Entität suchen, wenn der Entitätsname ein Leerzeichen enthält.

    [NSHELP-20506]

  • Bei der rollenbasierten Authentifizierung (RBA) dürfen Gruppennamen nicht mit dem Zeichen “#” beginnen.

    [NSHELP-20266]

  • Während einer Partitionsbereitstellung kann eine partitionierte Appliance abstürzen, wenn Sie die Befehle “uiinternal” und dann “clear config” in der Standardpartition ausführen.

    [NSHELP-20247]

  • In bestimmten Szenarien wird der Benutzername (angegeben mit einem Zeichen “%u”) in der Eingabeaufforderung nicht korrekt angezeigt.

    [ NSHELP-19991 ]

  • Die Citrix ADC-Befehlsschnittstelle und die GUI zeigen die Einstellung des Systemzeitparameters für einige SNMP-Alarme nicht an.

    [NSHELP-19958]

  • Sie können mit der NetScaler-GUI keine Sicherungsdatei abrufen, wenn der Dateiname 61 bis 63 Zeichen lang ist, obwohl die maximale Länge 63 Zeichen beträgt.

    [NSHELP-11667]

  • Das Citrix Gateway-Gerät sendet für jede Anmeldung an der Appliance doppelte RADIUS-Zugriffsanforderungen an den RADIUS-Authentifizierungsdienst.

    [NSHELP-11148]

Bekannte Probleme

Die Probleme, die in Version 13.0-52.24 bestehen.

Authentifizierung, Autorisierung und Auditing

  • Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

    [ NSHELP-563 ]

  • Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

    [ NSAUTH-6106 ]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    Problemumgehung “show adfsproxyprofile”
    Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und geben Sie den Befehl “show adfsproxyprofile” ein. Er zeigt den Status des Proxyprofils an.

    [ NSAUTH-5916 ]

Citrix Gateway

  • In einem Citrix Gateway-Double-Hop-Hochverfügbarkeits-Setup kann die ICA-Verbindung nach einem HA-Failover unterbrochen werden.
    Problemumgehung: Ändern Sie den FQDN auf die IP-Adresse des nächsten Hop-Servers.

    [NSHELP-22444]

  • In einem Citrix Gateway-Hochverfügbarkeits-Setup kann der sekundäre Knoten während eines Failovers abstürzen, wenn Syslog konfiguriert ist.

    [NSHELP-22438]

  • Das Citrix Gateway-Gerät stürzt möglicherweise zeitweise ab, wenn eine Syslog-Richtlinie konfiguriert ist.

    [NSHELP-22304]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Cannot read property ‘type’ of undefined”.

    [ NSHELP-21897 ]

  • Falls eine Citrix ADC-Appliance für die nFactor-Authentifizierung konfiguriert ist, zeigt die Citrix ADM Appliance bei einem Fehler bei der RADIUS-Authentifizierung den fehlgeschlagenen Authentifizierungstyp fälschlicherweise als “LDAP” an.

    [NSHELP-20440]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [ CGOP-13584 ]

  • Die ICA-Verbindung führt zu einem Skip-Parse während der ICA-Analyse, wenn Benutzer den MAC-Receiver zusammen mit Version 6.5 von Citrix Virtual App and Desktops (früher Citrix XenApp und XenDesktop) verwenden.
    Problemumgehung: Führen Sie ein Upgrade des Receivers auf die neueste Version der Citrix Workspace-App durch.

    [CGOP-13532]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [ CGOP-13511 ]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Einstellungsmenü auf “Optionen” klicken, wird das Dialogfeld “Kritischer Fehler” angezeigt. Außerdem reagiert die Seite nicht mehr.

    [ CGOP-7269 ]

Netzwerke

  • Nach dem Neustart der Citrix ADC-Appliance wird der interne Transportschichtdienst möglicherweise nicht registriert. Infolgedessen schlägt jede Transportprotokolldienstanforderung auf der Appliance fehl.

    [NSNET-15252]

  • Die folgenden Fehlermeldungen können angezeigt werden, wenn Sie mehr als 100 VLANs in der TrunkAllowedVLAN-Liste auf einer Schnittstelle in der Citrix ADC-Instanz konfigurieren:
    ERROR: Operation timed out
    ERROR: Kommunikationsfehler mit der Packet-Engine

    [NSNET-4312]

  • In einem Hochverfügbarkeits-Setup stürzt möglicherweise eine der Citrix ADC-Appliances ab, wenn Sie ein In Service Software Upgrade (ISSU) von der Citrix ADC-Softwareversion 13.0 47.24 oder einer früheren Version auf eine spätere Version durchführen.

    [NSHELP-21701]

  • In einem Cluster-Setup mit aktivierter Option RetainConnectionsOnCluster kann ein Clusterknoten abstürzen, wenn er fragmentierte Pakete empfängt, gefolgt von nicht fragmentierten Paketen.

    [NSHELP-21674]

  • Wenn die Citrix ADC-Appliance im Rahmen des Befehls remove eine große Anzahl von Serververbindungen bereinigt, wird der Pitboss-Prozess möglicherweise neu gestartet. Dieser Pitboss-Neustart kann zum Absturz der ADC-Appliance führen.

    [NSHELP-136]

Plattform

  • Der Health Monitoring-Alarm stellt die PSU-Nummerierung falsch dar. Wenn das Stromversorgungskabel von PSU -1 getrennt wird, sendet die Zustandsüberwachung einen falschen Alarm, dass PSU - 2 ausgefallen ist.

    [NSPLAT-4985]

Richtlinien

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.
    Problemumgehung: Ändern Sie den FQDN auf die IP-Adresse des nächsten Hop-Servers.

    [NSHELP-22444]

  • In einem Citrix Gateway-Hochverfügbarkeits-Setup kann der sekundäre Knoten während eines Failovers abstürzen, wenn Syslog konfiguriert ist.

    [NSHELP-22438]

  • Das Citrix Gateway-Gerät stürzt möglicherweise zeitweise ab, wenn eine Syslog-Richtlinie konfiguriert ist.

    [NSHELP-22304]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Cannot read property ‘type’ of undefined”.

    [ NSHELP-21897 ]

  • Falls eine Citrix ADC-Appliance für die nFactor-Authentifizierung konfiguriert ist, zeigt die Citrix ADM Appliance bei einem Fehler bei der RADIUS-Authentifizierung den fehlgeschlagenen Authentifizierungstyp fälschlicherweise als “LDAP” an.

    [NSHELP-20440]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [ CGOP-13584 ]

  • Die ICA-Verbindung führt zu einem Skip-Parse während der ICA-Analyse, wenn Benutzer den MAC-Receiver zusammen mit Version 6.5 von Citrix Virtual App and Desktops (früher Citrix XenApp und XenDesktop) verwenden.
    Problemumgehung: Führen Sie ein Upgrade des Receivers auf die neueste Version der Citrix Workspace-App durch.

    [CGOP-13532]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [ CGOP-13511 ]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Einstellungsmenü auf “Optionen” klicken, wird das Dialogfeld “Kritischer Fehler” angezeigt. Außerdem reagiert die Seite nicht mehr.

    [ CGOP-7269 ]

Netzwerke

  • Nach dem Neustart der Citrix ADC-Appliance wird der interne Transportschichtdienst möglicherweise nicht registriert. Infolgedessen schlägt jede Transportprotokolldienstanforderung auf der Appliance fehl.

    [NSNET-15252]

  • Die folgenden Fehlermeldungen können angezeigt werden, wenn Sie mehr als 100 VLANs in der TrunkAllowedVLAN-Liste auf einer Schnittstelle in der Citrix ADC-Instanz konfigurieren:
    ERROR: Operation timed out
    ERROR: Kommunikationsfehler mit der Packet-Engine

    [NSNET-4312]

  • In einem Hochverfügbarkeits-Setup stürzt möglicherweise eine der Citrix ADC-Appliances ab, wenn Sie ein In Service Software Upgrade (ISSU) von der Citrix ADC-Softwareversion 13.0 47.24 oder einer früheren Version auf eine spätere Version durchführen.

    [NSHELP-21701]

  • In einem Cluster-Setup mit aktivierter Option RetainConnectionsOnCluster kann ein Clusterknoten abstürzen, wenn er fragmentierte Pakete empfängt, gefolgt von nicht fragmentierten Paketen.

    [NSHELP-21674]

  • Wenn die Citrix ADC-Appliance im Rahmen des Befehls remove eine große Anzahl von Serververbindungen bereinigt, wird der Pitboss-Prozess möglicherweise neu gestartet. Dieser Pitboss-Neustart kann zum Absturz der ADC-Appliance führen.

    [NSHELP-136]

Plattform

  • Der Health Monitoring-Alarm stellt die PSU-Nummerierung falsch dar. Wenn das Stromversorgungskabel von PSU -1 getrennt wird, sendet die Zustandsüberwachung einen falschen Alarm, dass PSU - 2 ausgefallen ist.

    [NSPLAT-4985]

Richtlinien

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

  • Die Rewrite-Aktion des Typs insert_after funktioniert möglicherweise nicht mit einer HTTP-Antwort in Chunk-Form oder mit FIN-terminierter Antwort.

    [NSHELP-22743]

SSL

  • Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:
    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL Refresh deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

  • In seltenen Fällen kann die Citrix ADC-Appliance aufgrund verpasster Herzschläge abstürzen.

    [NSHELP-21593]

  • In einem Cluster-Setup zeigt die laufende Konfiguration auf der Cluster-IP-Adresse (CLIP) die DEFAULT_BACKEND-Verschlüsselungsgruppe, die an Entitäten gebunden ist, wohingegen sie auf Knoten fehlt. Dies ist ein Display-Problem.

    [NSHELP-13466]

System

  • Eine Citrix ADC-Appliance kann während der Bereitstellung abstürzen, wenn die folgenden Bedingungen eingehalten werden:
    • Multipath TCP (MPTCP) ist mit MBF und PMTUD aktiviert
    • MPTCP-Verkehr wird empfangen und die Antwort verursacht den Fehler ICMP Fragmentation Needed.

    [NSHELP-22418]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen eingehalten werden:
    • Flash Cache ist aktiviert.
    • Die Client-Verbindung wird zurückgesetzt.
    • Client-Anfrage in der Warteschlange, die im Rahmen des Caching-Prozesses bearbeitet werden soll.

    [NSHELP-21872]

  • Ein hoher Speicherverbrauch wird beobachtet, wenn Sie die HTTP/2-Funktion aktivieren und wenn eine große Datei heruntergeladen wird (wenn die Dateigröße größer oder gleich einem GB ist). Das Problem tritt bei langsamen Clients auf, wenn die heruntergeladenen Datenpuffer zu einer übermäßigen Ressourcenauslastung führen.

    [NSHELP-20531]

Benutzeroberfläche

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie CloudBridge Connector, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln über die Citrix ADC GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Wenn Sie die Scrollleiste im Syslog-Dashboard in der Citrix ADC GUI verwenden, scrollt die Seite entweder schnell oder zeigt Leerzeichen an.

    [NSHELP-21267]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

    1. Aktualisieren Sie die Citrix ADC-Appliance auf 13.0 52.24 Build,
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
    3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

    Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie
    an der Befehlszeile Folgendes ein:

    Frage ns config -changedpassword [-config] ab

    Workaround:

    Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.

    • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.

    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen. Weitere Informationen finden Sie unter: https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Versionshinweise für Citrix ADC 13.0-52.24 Release