ADC

Versionshinweise für Citrix ADC 13.0—64.35 Version

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.0—64.35 bestehen.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.
  • Build 13.0—64.35 und neuere Builds beheben die unter beschriebenen Sicherheitslücken. https://support.citrix.com/article/CTX281474

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.0—64.35 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

  • Erhöhung des individuellen Werts für die maximale Länge des SAML-Attributs

    Die individuelle maximale Länge für SAML-Attribute wurde erhöht, um ein Maximum von 40.000 Byte zuzulassen. Die Größe aller Attribute darf 40.000 Byte nicht überschreiten. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/saml-authentication/citrix-adc-saml-sp.html.

    [NSAUTH-8225]

  • Erhöhung des maximalen Längenwerts für Attribute

    Der maximale Längenwert für die folgenden Attribute wurde wie folgt geändert.

    • set samlaction <saml-action-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -serviceProviderID - 511 (new max length)
    • set tm samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set vpn samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set oauthaction <oauth-action-name> -clientSecret - 239 (new max length)
    • set oauthaction <oauthidp_profile-name> -clientSecret - 239 (new max length)

    [NSAUTH-8180]

  • Unterstützung zur weltweiten Deaktivierung der schwachen Basic-, Digest- und NTLM-Authentifizierung

    Die SSO-Konfiguration wird jetzt sicherer, indem die folgenden schwachen Authentifizierungsmethoden weltweit deaktiviert werden.

    • Grundlegende Authentifizierung
    • Digest Access Authentication
    • NTLM ohne Einstellung des Negotiate NTLM2-Schlüssels oder des Negotiate-Zeichens

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/enable-sso-for-auth-pol.html.

    [ NSAUTH-7747 ]

  • Möglichkeit, den nFactor-Flow mit einem Entscheidungsblock im nFactor-Visualizer zu starten

    Mit dem nFactor-Visualizer können Sie jetzt den nFactor-Flow mit einem Entscheidungsblock starten. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.html.

    [NSAUTH-7665]

  • Unterstützung für client_assertion_type und client_assertion in der OAuth-Token-API

    Die OAuth-Funktion unterstützt jetzt die folgenden Funktionen in der Token-API von Relying Party (RP) und von der IdP-Seite von Citrix Gateway und Citrix ADC.

    • Unterstützung von PKCE (Proof Key for Code Exchange)
    • Unterstützung für client_assertion

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/oauth-authentication/citrix-adc-oauth-sp.html.

    [NSAUTH-6243]

Citrix ADC SDX-Appliance

  • Automatisches Upgrade des eingebauten Agenten ohne Initialisierung

    Ab der Citrix ADC-Version ADC 13.0 Build 61.xx und höher verfügt die Citrix ADC SDX-Appliance über integrierte Agenten mit ADM Service Connect-Funktionalität. Der integrierte Citrix ADM-Agent, der auf der ADC SDX-Appliance verfügbar ist, startet wie ein aktiver Daemon und kommuniziert mit dem ADM Service. Nachdem die Kommunikation mit dem ADM-Dienst hergestellt wurde, aktualisiert sich der eingebaute Agent regelmäßig automatisch auf die neueste Softwareversion.

    [NSSVM-3919]

  • Citrix ADM Service Connect-Funktion zur Aktivierung des automatischen Onboardings für den Citrix ADM Service

    Die Service-Verbindungsfunktion von Citrix Application Delivery Management (ADM) ermöglicht das nahtlose Onboarding von Citrix ADC SDX-Appliances in den Citrix ADM Service. Mit dieser Funktion kann die ADC SDX-Appliance automatisch eine Verbindung zum ADM Service herstellen und System-, Nutzungs- und Telemetriedaten an den ADM Service senden. Mithilfe dieser Daten können Sie Einblicke und Empfehlungen für Ihre Citrix ADC-Infrastruktur im Citrix ADM Service erhalten.

    Standardmäßig ist die Citrix ADM Service Connect-Funktion aktiviert, wenn Sie die Citrix ADC SDX-Appliance installieren oder aktualisieren.

    Weitere Informationen finden Sie in den folgenden Artikeln:

    Hinweis: Die ADM Service Connect-Funktion ist jetzt auf Citrix ADC-Instanzen und Citrix Gateway-Appliances verfügbar. Die entsprechende Funktion für den Citrix ADM Service ist jedoch noch nicht verfügbar. Citrix aktualisiert diesen Hinweis, sobald die entsprechende Funktionalität im ADM Service verfügbar ist, sodass Sie den vollen Nutzen dieser Funktion nutzen können.

    [NSSVM-3911]

Citrix Web App Firewall

Lastausgleich

  • Erhöhte Zeichenlänge für den Monitornamen

    Die Anzahl der Zeichen im Monitornamen wurde jetzt auf 255 Zeichen erhöht.

    [NSLB-5223]

Netzwerke

  • Änderung des Schnittstellennummerierungsschemas in Citrix ADC BLX-Appliances

    Das Nummerierungsschema der Schnittstellen für eine Citrix ADC BLX-Appliance wurde so geändert, dass es mit anderen Citrix ADC-Plattformen übereinstimmt. Citrix empfiehlt Ihnen, alle Skripts zu aktualisieren, die von der Schnittstellennummerierung abhängig sind.

    Zuvor waren beide internen Schnittstellen als erste und letzte Schnittstelle nummeriert. Alle dedizierten Schnittstellen (in einer Citrix ADC-Appliance im Nicht-DPDK- oder DPDK-Modus) sind zwischen der ersten und der letzten internen Schnittstelle nummeriert.

    Beispiel 1: Eine Citrix ADC BLX-Appliance im Nicht-DPDK-Modus mit zwei dedizierten Schnittstellen:

    • Die internen BLX-Schnittstellen sind mit 0/1 und 0/4 nummeriert.
    • Die dedizierten Schnittstellen sind mit 0/2 und 0/3 nummeriert.

    Beispiel 2: Eine Citrix ADC BLX-Appliance im DPDK-Modus mit einer DPDK-Schnittstelle:

    • Die internen BLX-Schnittstellen sind mit 0/1 und 0/3 nummeriert.
    • Die DPDK-Schnittstelle ist mit 0/2 nummeriert.

    Ab dieser Version sind die Schnittstellen in einer Citrix ADC-Appliance in der folgenden sequentiellen Reihenfolge nummeriert:

    • Beide internen Schnittstellen sind als erste und zweite Schnittstelle nummeriert.
    • dedizierte Schnittstellen.
    • DPDK-Schnittstellen (in Citrix ADC-Appliances im DPDK-Modus).

    Beispiel 1: Eine Citrix ADC BLX-Appliance im Nicht-DPDK-Modus mit zwei dedizierten Schnittstellen:

    • Die internen BLX-Schnittstellen sind mit 0/1 und 0/2 nummeriert.
    • Die dedizierten Schnittstellen sind mit 0/3 und 0/4 nummeriert.

    Beispiel 2: Eine Citrix ADC BLX-Appliance im DPDK-Modus mit einer DPDK-Schnittstelle (40G) und einer dedizierten Nicht-DPDK-Schnittstelle:

    • Die internen BLX-Schnittstellen sind mit 0/1 und 0/2 nummeriert.
    • Die dedizierte Schnittstelle, die nicht von DPDK stammt, ist mit 0/3 nummeriert.
    • Die DPDK-Schnittstelle (40G) ist mit 40/1 nummeriert.

    [NSNET-17067]

  • Unterstützung für nicht standardmäßige Kennwörter für den Root-Benutzer auf Citrix ADC CPX

    Citrix ADC CPX unterstützt jetzt ein nicht standardmäßiges Kennwort für den Root-Benutzer (nsroot). Wenn Sie CPX bereitstellen, wird ein zufälliges Kennwort generiert und dem Root-Benutzer zugewiesen. Sie können es auch manuell ändern.

    [NSNET-10520]

  • Unterstützung lokaler Abonnementlizenzen für Citrix ADC BLX-Appliances

    Eine lokale Lizenz ähnelt einer unbefristeten Lizenz, hat jedoch ein Ablaufdatum. Das Softwareabonnement, aus dem lokale Lizenzen bestehen, ist laufzeitbasiert und kann installiert werden, ohne dass ADM als Lizenzserver erforderlich ist.

    Die folgende Art von lokalen Abonnementlizenzen ist für Citrix ADC BLX-Appliances verfügbar:

    Lokale Abonnementlizenz auf Bandbreitenbasis. Diese Art von Lizenz wird mit einem maximal zulässigen Durchsatz durchgesetzt, auf den eine bestimmte Citrix ADC BLX-Appliance Anspruch hat. Jede lokale Lizenz ist auch an eine der Citrix ADC-Softwareditionen (Standard, Enterprise oder Platinum) gebunden, wodurch der ADC-Funktionsumfang dieser Edition in einer Citrix ADC BLX-Appliance freigeschaltet wird. Der Embedded Select-Support ist im Kauf der lokalen Abonnementlizenz enthalten

    Beispiel:

    Ein Citrix ADC BLX-Abonnement 10 Gbit/s Premium Edition — berechtigt zu einer Citrix ADC BLX-Appliance mit einem maximal zulässigen Durchsatz von 10 Gbit/s. Diese Lizenz entsperrt auch alle ADC-Funktionen, die in der Premium Edition in der Citrix ADC BLX-Appliance aufgeführt sind.

    [NSNET-9189]

  • Mellanox-NIC-Unterstützung für Citrix ADC BLX-Appliances im DPDK-Modus

    Citrix ADC BLX-Appliances unterstützen jetzt Mellanox-NICs mit MLX5-Treiber für den Einsatz im DPDK-Modus.

    [NSNET-8946]

Richtlinien

  • Überprüfung des Serverzertifikats für den Import einer Responder-HTML-SeiteSie können jetzt den Befehl „Responder-HTML-Seite importieren“ verwenden, um HTML-Fehlerantworten an den Client zu senden. Bisher fand beim Import von HTML-Seiten keine Validierung der Serverzertifizierung statt. Dieses Problem wurde jetzt durch die Verwendung des neuen Parameters “CACertFile” behoben. Sie können den Parameter so konfigurieren, dass die Serverzertifikatauthentifizierung beim Import einer HTML-Seite überprüft wird.
    Hinweis: Wenn Sie den CA-Zertifikatsdateinamen nicht konfigurieren, werden die Standard-Stammzertifikate für die Überprüfung des Serverzertifikats verwendet.
    import responder htmlpage [<src>] <name> [-comment <string>] [-overwrite][-CAcertFile <string>]

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/appexpert/responder/configuring-responder-action.html%23configure-html-page-import.

    [ NSPOLICY-3620 ]

System

Benutzeroberfläche

  • Automatisches Upgrade der integrierten Agenten ohne Initialisierung

    Ab Citrix ADC Version 13.0 Build 61.xx und höher kommuniziert der integrierte Citrix ADM-Agent, der auf Citrix ADC-Instanzen verfügbar ist, mit dem ADM Service ohne Initialisierung auf der jeweiligen ADC-Instanz. Nachdem die Kommunikation mit dem ADM Service hergestellt wurde, aktualisiert der integrierte Agent regelmäßig automatisch auf die neueste Softwareversion.

    Bisher mussten Sie den integrierten Agenten auf Citrix ADC-Instanzen mithilfe von „Mastools“ -Befehlen initialisieren, um die Kommunikation mit dem ADM Service herzustellen und regelmäßige automatische Upgrades durchzuführen.

    [NSCONFIG-4153]

  • Citrix ADM Service Connect-Funktion zur Aktivierung des automatischen Onboardings für den Citrix ADM Service

    Die Service-Verbindungsfunktion von Citrix Application Delivery Management (ADM) ermöglicht das nahtlose Onboarding von Citrix ADC MPX-, SDX- und VPX-Instanzen sowie Citrix Gateway-Appliances in den Citrix ADM Service. Mit dieser Funktion kann die ADC-Instanz oder das Gateway-Gerät automatisch eine Verbindung zum ADM Service herstellen und System-, Nutzungs- und Telemetriedaten an den ADM Service senden. Mithilfe dieser Daten erhalten Sie Einblicke und Empfehlungen für Ihre Citrix ADC-Infrastruktur im Citrix ADM Service.

    Standardmäßig ist die Citrix ADM Service Connect-Funktion aktiviert, wenn Sie Citrix ADC MPX-, SDX- und VPX-Instanzen oder das Citrix Gateway-Gerät installieren oder aktualisieren.

    Weitere Informationen finden Sie in den folgenden Artikeln:

    Hinweis: Die ADM Service Connect-Funktion ist jetzt auf Citrix ADC-Instanzen und Citrix Gateway-Appliances verfügbar. Die entsprechende Funktion für den Citrix ADM Service ist jedoch noch nicht verfügbar. Citrix aktualisiert diesen Hinweis, sobald die entsprechende Funktionalität im ADM Service verfügbar ist, sodass Sie den vollen Nutzen dieser Funktion nutzen können.

    [NSCONFIG-4150]

  • Citrix ADM Service Connect-Funktion zur Aktivierung des automatischen Onboardings für den Citrix ADM Service

    Die Service-Verbindungsfunktion von Citrix Application Delivery Management (ADM) ermöglicht das nahtlose Onboarding von Citrix ADC MPX-, SDX- und VPX-Instanzen sowie Citrix Gateway-Appliances in den Citrix ADM Service. Mit dieser Funktion kann die ADC-Instanz oder das Gateway-Gerät automatisch eine Verbindung zum ADM Service herstellen und System-, Nutzungs- und Telemetriedaten an den ADM Service senden. Mithilfe dieser Daten erhalten Sie Einblicke und Empfehlungen für Ihre Citrix ADC-Infrastruktur im Citrix ADM Service.

    Standardmäßig ist die Citrix ADM Service Connect-Funktion aktiviert, wenn Sie Citrix ADC MPX-, SDX- und VPX-Instanzen oder das Citrix Gateway-Gerät installieren oder aktualisieren.

    Weitere Informationen finden Sie in den folgenden Artikeln:

    Hinweis: Die ADM Service Connect-Funktion ist jetzt auf Citrix ADC-Instanzen und Citrix Gateway-Appliances verfügbar. Die entsprechende Funktion für den Citrix ADM Service ist jedoch noch nicht verfügbar. Citrix aktualisiert diesen Hinweis, sobald die entsprechende Funktionalität im ADM Service verfügbar ist, sodass Sie den vollen Nutzen dieser Funktion nutzen können.

    [NSCONFIG-3793]

Behobene Probleme

Die Probleme, die in Build 13.0—64.35 behoben wurden.

Authentifizierung, Autorisierung und Auditing

  • Wenn eine Citrix ADC-Appliance für die OTP-Anmeldung konfiguriert ist und das OTP-Feld leer bleibt, schlägt die Authentifizierung fehl. In einem solchen Szenario protokolliert die Appliance das Benutzerkennwort in ns.log, was zu Sicherheitsbedenken führt.

    [NSHELP-24027]

  • In einigen Fällen wird die SAML-Assertion unterbrochen, wenn die Attributwerte XML-Tags haben. Dies führt dazu, dass die Attributextraktion fehlschlägt.

    [NSHELP-23940]

  • Eine Citrix ADC Appliance, die als Identity Provider (IdP) für Citrix Workspace konfiguriert ist, kann abstürzen, wenn Benutzer Teil einer großen Anzahl von Active Directory-Gruppen sind.

    [NSHELP-23899]

  • Der Benutzer erhält keine 401-Authentifizierungsaufforderung, da die Citrix ADC-Appliance die Authentifizierungskonfiguration von einer falschen virtuellen Serverstruktur anfordert.

    [NSHELP-23892]

  • Die Citrix Workspace-Anmeldung schlägt fehl, wenn eine Citrix ADC Appliance als Identity Provider (IdP) für Citrix Workspace konfiguriert ist und ein Fehler bei der Extraktion benutzerdefinierter Attribute auftritt.

    [NSHELP-23843]

  • In einigen Fällen wird die Datei “ns.log” in der Citrix ADC-Appliance fälschlicherweise mit den folgenden Protokollmeldungen “Claims Allowed in current loginschema” überflutet.

    [NSHELP-23593]

  • VPN-Sitzungsrichtlinien, die an einen Benutzer oder eine Gruppe für Authentifizierung, Autorisierung und Überwachung gebunden sind, werden nicht angewendet, wenn ein VPN-Client mithilfe der Webview nFactor-Authentifizierungsmethode auf die Citrix ADC-Appliance zugreift.

    [NSHELP-23526]

  • Die Citrix ADC GUI auf der Seite “System Global Authentication Policy Binding” weist die folgenden Fehler auf:

    • Im Feld Goto Ausdruck wird fälschlicherweise „END“ statt „NEXT“ angezeigt.
    • Die Richtlinie für den gebundenen nächsten Faktor wird nicht im Feld “Nächster Faktor” wiedergegeben.

    [NSHELP-23474]

  • In seltenen Fällen wird der Sitzungsbenutzername fälschlicherweise als “anonym” statt als allgemeiner Name für das Gerätezertifikat angezeigt, wenn die beiden folgenden Bedingungen erfüllt sind.

    • Eine Citrix ADC-Appliance ist für die nFactor-Authentifizierung konfiguriert.
    • Das Gerätezertifikat ist als einziger Faktor in einer nFactor-Konfiguration konfiguriert.

    [NSHELP-23243]

  • Die SAML-Authentifizierung für den letzten Faktor schlägt fehl, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Die Citrix ADC-Appliance ist als SAML SP konfiguriert.
    • EPA ist auf dem virtuellen VPN-Server als VorauthentifizierungsRichtlinie aktiviert und das RFWebUI-Design ist an den Server gebunden.

    [NSHELP-22932, NSHELP-22819]

  • Der Sitzungsaufbau schlägt fehl, wenn über die Citrix Workspace-App mit Webview zugegriffen wird, wenn die Vorauthentifizierung EPA zusammen mit der nFactor-Authentifizierung konfiguriert ist.

    [NSHELP-22845]

  • Die Anmeldeseite für eine Citrix ADC-Appliance wird nicht korrekt angezeigt, wenn LDAP und SAML als primärer Authentifizierungsmechanismus konfiguriert sind.

    [NSHELP-22713]

  • Wenn Sie sich am Citrix Gateway-Gerät anmelden, wird eine leere Seite angezeigt, wenn die folgenden Bedingungen erfüllt sind:

    • Die Citrix Gateway-Appliance ist für die nFactor-Authentifizierung mit SAML als Next Factor EULA konfiguriert
    • Sie klicken auf den Zurück-Pfeil, um während des Anmeldevorgangs zur vorherigen Seite zu gelangen.

    [NSHELP-22604]

  • In einigen Fällen stürzt eine Citrix ADC-Appliance aufgrund einer Speicherbeschädigung ab, die durch ein Pufferüberschreiben für die Liste der OTP-Geräte verursacht wurde.

    [NSHELP-22478]

  • Manchmal schlägt die formularbasierte SSO-Authentifizierung zum ersten Mal fehl, wenn ein Set-Cookie im HTTP-Antwortheader des HTML-Formulars enthalten ist.

    [NSHELP-21740]

Bot-Verwaltung

  • Wenn die TPS-Erkennungstechnik des Bot-Managements mit der Aktion “Schadensbegrenzung” konfiguriert ist, kann es zur Laufzeit zu Serviceunterbrechungen kommen.

    [NSBOT-124]

  • Während eines Upgrades kann eine Citrix ADC-Appliance abstürzen, wenn die Bot-Signaturdatei lange Zeichenfolgen enthält.

    [NSBOT-37]

  • Eine Citrix ADC Appliance kann abstürzen, wenn Sie das Bot-Verwaltungsprofil bei der Verarbeitung des Datenverkehrs ändern.

    [NSBOT-4, NSHELP-25196]

Citrix ADC SDX-Appliance

  • Eine falsche Zeichenfolge für das Plattformmodell wird angezeigt, wenn Sie die Poollizenzierung auf den Citrix ADC SDX 8400-, 8600- oder 8015-Appliances konfigurieren.

    [NSHELP-24234]

  • Wenn Sie eine Backup einer SDX-Appliance erstellen, schlägt die Wiederherstellung der Instanzen auf einer anderen SDX-Appliance fehl.

    [NSHELP-23947]

  • Auf einer Citrix ADC SDX 8900-Appliance wird die Anzahl der für die Bereitstellung verfügbaren Instanzen reduziert, nachdem Sie die Appliance aktualisiert haben.

    [NSHELP-23808]

  • Das Upgrade einer Citrix ADC SDX-Appliance auf Version 12.1 Build 57.x schlägt möglicherweise fehl, da ein Prozess im Management Service nicht reagiert.

    [NSHELP-23612]

  • Auf der Citrix ADC SDX-Appliance kann ein Benutzer mit Leseberechtigungen Dateien mithilfe eines Dateiübertragungsprogramms wie SCP oder SFTP an den Management Service übertragen.

    [NSHELP-22638]

Citrix Gateway

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn beim Bereitstellen von clientlosem VPN-Verkehr ein cookie_watch-JavaScript hinzugefügt wird.

    [NSHELP-24096]

  • Sie können das Citrix Gateway EPA-Plug-In nach dem Upgrade auf Version 13.0 Build 58.30 nicht über die GUI deaktivieren.

    [NSHELP-24016]

  • Das VPN-Plug-In kann die Citrix Gateway-Anmeldeseite nicht laden, wenn bei der Anmeldung eine Portnummer angegeben wird. Dieses Problem tritt nur auf, wenn die nFactor-Authentifizierung für den virtuellen Server auf der Appliance konfiguriert ist.

    [NSHELP-23925]

  • Wenn ein VPN-Tunnel aktiv ist, können Benutzer nicht auf ein Portal zugreifen, wenn die folgenden Bedingungen erfüllt sind:

    • Auf Hostnamen basierende Intranetanwendungen werden zusammen mit dem Reverse-Split-Tunnel konfiguriert.
    • Der Hostname des Portals entspricht dem Namen einer Intranet-Anwendung.

    [NSHELP-23912]

  • Auf der Seite des virtuellen VPN-Servers werden die konfigurierten Portaldesigns, Richtlinien und Profilzusammenfassungen nicht auf der linken Seite angezeigt.

    [NSHELP-23903]

  • In seltenen Fällen kann ein Citrix Gateway-Gerät bei der Bearbeitung von Übertragungsanmelde- oder Abmeldeanforderungen abstürzen.

    [NSHELP-23863]

  • Das Windows-Plug-In kann im Dienstmodus Always On keine Seamless Transfer Logon durchführen, wenn das RFWebUI-Portaldesign an den virtuellen Citrix ADC-Server gebunden ist.

    [NSHELP-23837]

  • Wenn Sie Ihr VPN-Plug-In auf 13.0 aktualisieren, werden DNS-Abfragen sowohl an lokale als auch an Remote-DNS-Server gesendet, wenn der Split-Tunnel auf OFF gesetzt ist.

    [NSHELP-23826]

  • Lokale DNS-Abfragen über das VPN-Plug-In, sofern sie für einen bestimmten DNS-Server angegeben sind, werden nicht berücksichtigt, da die Abfragen an zufällig ausgewählte DNS-Server auf dem Client gesendet werden.

    [NSHELP-23743]

  • Der Bildschirm mit den Windows-Anmeldeinformationen wird nicht aktualisiert, nachdem das Netzwerk wiederhergestellt wurde.

    [NSHELP-23594]

  • SAP-Ordner funktionieren nicht wie vorgesehen, wenn auf sie über ein erweitertes clientloses VPN zugegriffen wird.

    [NSHELP-23561]

  • Im Citrix Gateway Always On-Dienstmodus wird der Tunnel beim Neustart des Computers nicht eingerichtet, wenn eine Intranet-IP-Adresse konfiguriert ist.

    [NSHELP-23304]

  • Die Citrix ADC-Appliance stürzt ab, wenn der Befehl “show vpn storeinfo” wiederholt ausgeführt wird.

    [NSHELP-23144]

  • Der Start der ICA-Proxy-Anwendung über den SOCKS-Kanal schlägt fehl.

    [NSHELP-23111]

  • Benutzer können nicht über das VPN auf Ressourcen zugreifen, wenn die Maschinen aus dem Schlaf- oder Ruhezustand zurückkehren.

    [NSHELP-23024]

  • Das VPN-Plug-In kann nach dem Neustart des Citrix Gateway-Geräts keine Seamless-Sitzung einrichten, da die Konfiguration überschrieben wird, wenn Always On aktiviert ist.

    [NSHELP-22674]

  • In seltenen Fällen reagiert die Citrix ADC-Appliance möglicherweise nicht mehr, wenn die Appliance für EDT konfiguriert ist und HDX Insight für EDT-Sitzungen aktiviert ist.

    [NSHELP-22640]

  • Das Citrix Gateway-Gerät stürzt beim Zugriff auf die DNS-Serverkonfiguration ab, wenn der RDP-Proxy konfiguriert ist und nach der WINS-Auflösung versucht wird, die DNS-Auflösung zu lösen.

    [NSHELP-22577]

  • In einem Citrix Gateway-Double-Hop-Hochverfügbarkeits-Setup kann die ICA-Verbindung nach einem HA-Failover unterbrochen werden.

    [NSHELP-22444]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, da einige Befehle nicht ausgeführt werden.

    [NSHELP-22371]

  • Das Citrix Gateway-Gerät stürzt möglicherweise zeitweise ab, wenn eine Syslog-Richtlinie konfiguriert ist.

    [NSHELP-22304]

Citrix Web App Firewall

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Antwortseite oder die XML-Sicherheitsprüfungen aktiviert sind und Protokollausdrücke in einem Web App Firewall-Profil konfiguriert sind.

    [NSWAF-6466]

  • In einer Clusterkonfiguration ist der Befehl unbind zum Konfigurieren einer Relaxationsregel für HTML-Cross-Site Scripting mit dem Speicherort als URL nicht erfolgreich.

    [NSWAF-6463]

  • In einer Clusterkonfiguration schlägt die Citrix Web App Firewall als Learn-Datenaggregation auf dem Cluster-Koordinatorknoten (CCO) fehl, wenn RPC-Knoten gesichert sind.

    [NSWAF-6460]

  • Nach einem Upgrade sind die Werte “BufferOverflowMaxQueryLength” und “BufferOverflowMaxHeaderLength” in einem vorhandenen Citrix Web App Firewall-Profil möglicherweise nicht für die Bereitstellung geeignet. Daher müssen Sie die Werte möglicherweise ändern, wenn sie falsch sind.

    [NSWAF-6346]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Bot-Signatur mit der externen DNS-Serverkonfiguration aktiviert ist.

    [NSHELP-24190]

  • POST-Anfragen mit dem Inhaltstyp “application/octet-stream” werden nicht verarbeitet, wenn Streaming ohne Signatursatz aktiviert ist.

    [NSHELP-22668]

  • In einem Hochverfügbarkeits-Setup ist die Web App Firewall-Sitzung im sekundären Knoten eine veraltete Sitzung.

    [NSHELP-20288]

Lastausgleich

  • Die Echtzeitsynchronisierung der GSLB-Konfiguration von der Master-Site zu den untergeordneten Standorten schlägt möglicherweise fehl, wenn die sichere Option für den RPC-Knoten des Remote-Sites aktiviert ist.

    [NSHELP-24178]

  • Eine Citrix ADC Appliance kann abstürzen, wenn versucht wird, Abonnentenrichtlinien auszuwerten und GxSessionReporting aktiviert ist.

    [NSHELP-24159]

  • Die Citrix ADC-Appliance stürzt ab, wenn der Parameter StoreDB im MYSQL-ECV-Monitor aktiviert ist.

    [NSHELP-23983]

  • Wenn Sie zwei Dienstgruppen mit demselben Wert für den Parameter “devno” explizit mithilfe der CLI hinzufügen, schlägt das Hinzufügen der zweiten Dienstgruppe fehl. Dies liegt daran, dass derselbe Devno bereits der ersten Dienstgruppe zugewiesen ist. Es wird empfohlen, das Devno nicht explizit über die CLI bereitzustellen, da es automatisch gefüllt wird.

    [NSHELP-23817]

  • Wenn die Option zur Gesundheitsprüfung für die Gx-Schnittstelle aktiviert ist und der Gx-Server nicht reagiert, werden keine negativen TTL-Sitzungen erstellt.

    [NSHELP-23355]

  • Bei DNS-UDP-Anfragen, dass die Abonnentensitzung auf der Grundlage der Ziel-IP-Adresse und nicht auf der Quell-IP-Adresse erstellt wird, wenn in derselben Richtlinie sowohl ein Abonnentenausdruck als auch ein DNS-Ausdruck verwendet werden.

    [NSHELP-22521]

  • In einem Cluster-Setup werden ACL-Regeln mit VLAN-Einstellungen nicht wirksam, was dazu führt, dass Pakete andere ACL-Regeln treffen.

    Dieses Problem tritt auf, wenn Sie einen virtuellen Server im Cluster-Setup löschen, was dazu führt, dass die Clusterknoten keine VLAN-Informationen zu den gesteuerten Paketen hinzufügen.

    [NSHELP-22103]

  • In einem Hochverfügbarkeits-Setup (HA) kann der primäre Knoten beim Neustart des sekundären Knotens während der Verbindungsspiegelung von Sitzungen zum sekundären Knoten abstürzen.

    [NSHELP-21715, NSHELP-34301]

Sonstiges

  • Einige Befehle in der Datei rc.netscaler werden nach dem Neustart einer Citrix ADC-Appliance nicht korrekt angewendet, weshalb die Appliance möglicherweise nicht wie vorgesehen funktioniert.

    [NSHELP-22507]

Netzwerke

  • Das Skript nstcpdump.sh kann nicht auf der Citrix ADC BLX CLI ausgeführt werden, die über SSH verbunden und mit den standardmäßigen Administratoranmeldeinformationen (nsroot) angemeldet ist. Das Skript schlägt fehl, weil der Standard-Administrator (nsroot) keine Berechtigung hat, auf bestimmte Dateien und Netzwerkressourcen zuzugreifen.

    [NSNET-16816]

  • In einem Hochverfügbarkeits-Setup mit aktivierter Verbindungsspiegelung für FTP-Verkehr kann der sekundäre Knoten abstürzen, wenn die folgende Bedingung erfüllt ist.

    • Die Datenverbindung wird vor der Kontrollverbindung zum sekundären Knoten übertragen

    [NSHELP-24088]

  • Wenn der L2-Modus aktiviert ist, leitet die Citrix ADC-Appliance die in der Standardpartition empfangenen DHCP-Broadcast-Pakete weiter.

    [NSHELP-23957]

  • Die Citrix ADC-Appliance schlägt möglicherweise während einer NAT64-Übersetzung eines empfangenen IPv6-Anforderungspakets fehl, wenn die folgende Bedingung erfüllt ist:

    Die letzten 32 Bit der IPv6-Zieladresse, bei der es sich um die übersetzte IPv4-Zieladresse handelt, sind größer als 240.0.0.0 (fällt in den reservierten IP-Bereich).

    [NSHELP-22742, NSHELP-25331]

  • Möglicherweise stellen Sie eine hohe CPU-Auslastung auf einer Citrix ADC-Appliance fest, wenn sie fragmentierte IPv6-Pakete sendet.

    [NSHELP-22699]

  • Ein Paket mit einer ungültigen virtuellen MAC-Adresse als Zieladresse wird fälschlicherweise als Paket mit der Citrix ADC-eigenen MAC-Adresse klassifiziert.

    [NSHELP-22697]

Plattform

  • Auf der Citrix ADC SDX 24000-Plattform wird nach dem Upgrade der Appliance auf Softwareversion 13.0 eine kritische Warnung auf logischen Laufwerken generiert. Dies ist ein falsch positives Ergebnis.

    [NSHELP-23505]

  • In einigen Fällen auf einer Citrix ADC SDX-Appliance erschöpft die Konfiguration einiger virtueller Instanzen mit 50G- und 100G-Mellanox-Schnittstellen den Speicher.

    [NSHELP-23394]

  • Sie müssen eine Citrix ADC SDX-Appliance neu starten, um eine SSL-Karte zurückzusetzen und zu initialisieren, wenn die Karte einen Fehler zurückgibt. Mit diesem Fix ist kein Neustart erforderlich.

    [NSHELP-22725]

Richtlinien

  • Ein Citrix ADC kann abstürzen, wenn eine große Anzahl eingebetteter Ausdrücke auf einer HTML-Seite ausgewertet wird.

    [ NSPOLICY-1462 ]

SSL

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen erfüllt sind:

    • Die frühe Datenverarbeitung von TLS 1.3 ist in einem SSL-Profil einer nicht standardmäßigen Admin-Partition aktiviert.
    • Die frühe Datenverarbeitung von TLS 1.3 ist in allen SSL-Profilen der Standard-Admin-Partition deaktiviert.

    [NSHELP-23607]

  • Auf einer Citrix ADC Appliance kann das Ausführen des Befehls „Force Failover“ oder des Befehls „clear config“ zu einem Absturz führen, wenn Admin-Partitionen mit einer der folgenden Entitäten konfiguriert sind:

    • Transparente virtuelle Server.
    • Dynamische Dienste.

    [NSHELP-23321]

  • Eine Citrix ADC-Appliance kann abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Ein Zertifikatsschlüsselpaar wird hinzugefügt, wobei die Option “Ablaufüberwachung” aktiviert ist.
    • Das Datum des Zertifikats liegt vor dem 01.01.1970.

    [NSHELP-22934]

  • In einem Cluster-Setup ist eine NITRO-API-Abfrage zum Abrufen von SSL-Richtlinienbindungen von der CLIP-Adresse aus erfolgreich, aber die Abfrage schlägt fehl, wenn sie von einem Clusterknoten aus ausgeführt wird.

    [NSHELP-22853]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn eine große Anzahl von OCSP-Einträgen im Cache vorhanden ist und Sie den Befehl clear config ausführen.

    [NSHELP-22695]

  • Die Konfiguration leerer CRLs für häufige Updates erschöpft den gemeinsam zugewiesenen Speicher auf der Citrix ADC-Appliance.

    [NSHELP-22166]

  • Eine partitionierte Citrix ADC-Appliance reagiert möglicherweise nicht wie erwartet, wenn Sie die folgenden Aktionen ausführen:

    1. Erstellen Sie zwei OCSP-Responder in verschiedenen Partitionen.
    2. Löschen Sie die Konfiguration in einer Partition.
    3. Entfernen Sie den OCSP-Responder in der anderen Partition.

    [NSHELP-20861]

System

  • Eine Citrix ADC-Appliance optimiert und komprimiert möglicherweise keine großen Objekte wie Javascript oder CSS, wenn die Frontend-Optimierung aktiviert ist.

    [NSHELP-24041]

  • Wenn die Verbindungsspiegelung die PCB-Parameter nicht synchronisiert, kann dies zum Verlust von TCP-Optionen wie Maximum Segment Size (MSS) und Window Scaling führen.

    [NSHELP-23990]

  • Im Fall des Protokolls zur Wiederverwendung von TLS v1.2-Sitzungen wird das folgende Verhalten in der Citrix ADC-Appliance beobachtet:

    • Die Kategorisierungsinformationen werden auf der Serverplatine gespeichert, und die Domäneninformationen werden auf der Client-Leiterplatte gespeichert.
    • Daten werden nur von der Client-Leiterplatte an AppFlow gesendet. Daher werden in Fällen der Wiederverwendung von Sitzungen die Kategorisierungsinformationen als Null gesendet.

    [NSHELP-23542]

  • Wenn ein Dienst, der ein Inline-Gerät darstellt, bei der Überprüfung des Datenverkehrs ausfällt, wird eine Ressource nicht ordnungsgemäß freigegeben. Die Citrix ADC-Appliance stürzt ab, wenn erneut auf diese freigegebene Ressource zugegriffen wird.

    [NSHELP-23145]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen eingehalten werden:

    • Flash Cache ist aktiviert.
    • Die Client-Verbindung wird zurückgesetzt.
    • Client-Anfrage in der Warteschlange, die im Rahmen des Caching-Prozesses bearbeitet werden soll.

    [NSHELP-21872]

  • Wenn Sie für die Synflood-Trap-Generierung die Varbinding-Werte nicht zurücksetzen, verwendet die Appliance die alten Trap-Varbinding-Werte anstelle der aktuellen Werte und der Schwellenwerte.

    [NSHELP-20653, NSHELP-20401, NSHELP-24490]

  • In Multipath-TCP (MPTCP) werden die Zähler SI_CUR_Clients und SI_CUR_CLNT_ConnOpenest zweimal inkrementiert.

    [NSHELP-19896]

  • Manchmal werden Analysedaten nicht in den ADM Service eingegeben.

    [NSBASE - 11508]

Benutzeroberfläche

  • Die Multi-Factor (nFactor) -Anmeldung funktioniert nicht mit der Citrix ADC GUI. Nach dem ersten Faktor-Login funktioniert die nächste Faktor-Login-Eingabe nicht.

    [NSHELP-24078]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein interner Prozess maximal oft neu gestartet wird.

    [NSHELP-23378]

  • In der Zeile “Up since (Local)” des Befehls “stat system” werden nur die letzten drei Ziffern des Jahres angezeigt.

    [NSHELP-22960]

  • Das direkte Hinzufügen eines Servicegruppenmitglieds ist erfolgreich. Der Vorgang schlägt jedoch fehl, wenn Sie die folgenden Schritte ausführen:

    1. Navigieren Sie zu Traffic Management > Load Balancing > Service Groups.

    2. Wählen Sie eine Dienstgruppe aus und klicken Sie auf Dienstgruppenmitglieder.

    3. Klicken Sie mit der rechten Maustaste auf einen der Einträge und wählen Sie Hinzufügen.

    4. Ändern Sie unter Dienstgruppenmitglied erstellen die IP-Adresse und klicken Sie auf Erstellen.

    [NSHELP-21925]

  • Die NITRO-API (routerdynamicrouting) zum Abrufen der laufenden ZeBOS-Konfiguration ruft bei großen Konfigurationen (mehr als 25 Zeilen) nicht die vollständige Ausgabe ab.

    [NSCONFIG -3535]

Bekannte Probleme

Die Probleme, die in Version 13.0-64.35 bestehen.

Authentifizierung, Autorisierung und Auditing

  • Bei einigen Citrix ADC Appliances, bei denen GSLB aktiviert ist, schlägt die Umleitung vom virtuellen Authentifizierungsserver zum virtuellen Load-Balancing-Server aufgrund einer ungültigen URL-Berechnung fehl.

    [NSHELP-33459]

  • Die Citrix ADC Appliance stürzt möglicherweise ab, wenn der virtuelle Authentifizierungsserver in einer nicht standardmäßigen Partition verwendet wird.

    [NSHELP-32054]

  • Single Sign-On (SSO) schlägt fehl, wenn SSO für den Datenverkehr aktiviert ist, der nicht über das für die Verarbeitung von SSO erforderliche Trägertoken verfügt.

    [NSHELP-31362, NSHELP-33814]

  • Nicht-ASCII-Zeichen werden in nsvpn.log aufgezeichnet, wenn die LDAP-Aktion für einen FQDN anstelle einer IP-Adresse konfiguriert ist.

    [ NSHELP-27281 ]

  • In bestimmten Szenarien schlägt der Befehl Authentifizierung, Autorisierung und Überwachung binden möglicherweise fehl, wenn der Richtlinienname länger als der Name der Intranetanwendung ist.

    [NSHELP-25971]

  • Die Citrix ADC-Appliance gibt den Kern ab, wenn NOAUTH als erster Faktor konfiguriert ist, und Negotiate als der nachfolgende Faktor im 401-basierten Authentifizierungsfluss.

    [NSHELP-25203]

  • Wenn das Admin-Kennwort für LDAP-, RADIUS- oder TACACS-Dienste das Zeichen in doppelten Anführungszeichen (“) enthält, entfernt die Citrix ADC-Appliance es während der Prüfung “Konnektivität testen”, was zu einem Verbindungsfehler führt.

    [NSHELP-23630]

  • Administratoren können keine benutzerdefinierte Protokollierung für Authentifizierungsfehler durchführen, die auf ungültige Anmeldeinformationen zurückzuführen sind. Dieses Problem tritt auf, weil die Citrix ADC-Responder-Richtlinien Fehler für Anmeldefehler nicht erkennen können.

    [ NSAUTH-11151 ]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

    [ NSAUTH-5916 ]

Citrix ADC SDX-Appliance

  • Wenn Sie eine Citrix ADC SDX-Appliance aktualisieren, wird in seltenen Fällen das folgende falsche Ereignis in der Management Service-GUI angezeigt:

    “SVM-Version und Hypervisor-Version sind nicht kompatibel”

    [NSHELP-32949]

  • Auf einer Citrix ADC SDX-GUI kann das Anzeigen der NTP-Server die Benutzeroberfläche einfrieren, wenn die NTP-Konfigurationsdatei (ntp.conf) nur Leerzeichen in einer der Zeilen enthält.

    [NSHELP-31530]

Citrix Gateway

  • Auf Intranetressourcen, die sich mit einem gefälschten IP-Adressbereich überschneiden, kann nicht zugegriffen werden, wenn der Split-Tunnel auf dem Citrix Secure Access Client auf OFF gesetzt ist.

    [NHELP - 34334]

  • Die Always-On-VPN-Verbindung schlägt beim Start aufgrund der Erreichbarkeit des Gateway-Servers zeitweise fehl.

    [NSHELP-33500]

  • Wenn die Registrierungswerte für Citrix Secure Access mehr als 1500 Zeichen umfassen, kann der Log Collector die Fehlerprotokolle nicht erfassen.

    [NSHELP-33457]

  • Die Citrix Gateway-Appliance stürzt möglicherweise ab, wenn HDX Insight aktiviert ist und sich ein Benutzer unmittelbar nach dem Abmelden bei StoreFront anmeldet.

    [NSHELP-32907, NSHELP-33079, NSHELP-33289]

  • Der Citrix Secure Access-Client, Version 21.7.1.2 und höher, kann für Benutzer ohne Administratorrechte nicht auf neuere Versionen aktualisiert werden. Dieses Problem tritt nur auf, wenn das Citrix Secure Access-Client-Upgrade von einer Citrix ADC-Appliance aus durchgeführt wird.

    [NSHELP-32793]

  • Wenn Benutzer auf dem Citrix Secure Access-Bildschirm für Windows auf die Registerkarte Startseite klicken, wird auf der Seite der Fehler “Verbindung verweigert” angezeigt.

    [NSHELP-32510]

  • Auf einem Mac-Gerät, das Chrome verwendet, stürzt die VPN-Erweiterung beim Zugriff auf zwei FQDNs ab.

    [NSHELP-32144]

  • Manchmal funktioniert die automatische Windows-Anmeldung nicht, wenn sich ein Benutzer im Always-On-Dienstmodus am Windows-Computer anmeldet. Der Maschinentunnel geht nicht zum Benutzertunnel über und die Meldung “Verbindung wird hergestellt… “wird in der Benutzeroberfläche des VPN-Plug-ins angezeigt.

    [NSHELP-31357, CGOP-21192, NSHELP-34211]

  • Wenn Always on konfiguriert ist, schlägt der Benutzertunnel aufgrund der falschen Versionsnummer (1.1.1.1) in der Datei aoservice.exe fehl.

    [NSHELP-30662]

  • Benutzer können keine Verbindung zur Citrix Gateway-Appliance herstellen, nachdem sie den Profilparameter “networkAccessOnVPNFailure” von “fullAccess” auf “onlyToGateway” geändert haben.

    [NSHELP-30236]

  • Die Gateway-Startseite wird nicht sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat Um dieses Problem zu beheben, wird der folgende Registrierungswert eingeführt.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Typ: DWORD

    Standardmäßig wird dieser Registrierungswert nicht festgelegt oder hinzugefügt. Wenn der Wert von “SecureChannelResetTimeoutSeconds” 0 ist oder nicht hinzugefügt wird, funktioniert der Fix zur Behandlung der Verzögerung nicht. Dies ist das Standardverhalten. Der Administrator muss diese Registrierung auf dem Client einrichten, um das Update zu aktivieren (das heißt, die Homepage wird sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat).

    [NSHELP-30189]

  • Der Windows VPN-Client berücksichtigt die Warnung “SSL-Benachrichtigung zum Schließen” des Servers nicht und sendet die Anmeldeanforderung für die Übertragung über dieselbe Verbindung.

    [ NSHELP-29675 ]

  • Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

    [ NSHELP-28551 ]

  • Manchmal wird ein Benutzer innerhalb weniger Sekunden bei Citrix Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

    [ NSHELP-28404 ]

  • Das Citrix Gateway-Gerät stürzt möglicherweise bei der Verarbeitung vom Server initiierten UDP-Datenverkehr ab.

    [ NSHELP-27611 ]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn Async blockiert ist und Sie die Richtlinienkonfiguration für den Content Switching ändern.

    [NSHELP-27570]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn in der Sitzungsrichtlinie eine unbekannte VPN-Clientoption festgelegt ist

    [NSHELP-27380]

  • Beim Erstellen eines RDP-Clientprofils über die Citrix ADC GUI wird eine Fehlermeldung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

    • Ein standardmäßiger Pre-Shared Key (PSK) ist konfiguriert.
    • Sie versuchen, den Gültigkeitszeitgeber für RDP-Cookies im Feld RDP-Cookie-Gültigkeit (Sekunden) zu ändern.

    [ NSHELP-25694 ]

  • Die Befehlsausgabe “show tunnel global” enthält erweiterte Richtliniennamen. Zuvor wurden in der Ausgabe die erweiterten Richtliniennamen nicht angezeigt.

    Beispiel:

    Neue Ausgabe:

    Zeige den globalen Tunnel
    Richtlinienname: ns_tunnel_nocmp Priorität: 0

    Richtlinienname: ns_adv_tunnel_nocmp Typ: Erweiterte
    Richtlinienpriorität: 1
    Globaler Bindpunkt: REQ_DEFAULT

    Richtlinienname: ns_adv_tunnel_msdocs Typ: Erweiterte
    Richtlinienpriorität: 100
    Globaler Bindpoint: RES_DEFAULT
    Fertig

    Vorherige Ausgabe:

    Zeige den globalen Tunnel
    Richtlinienname: ns_tunnel_nocmp Priorität: 0 Deaktiviert

    Erweiterte Richtlinien:

    Globaler Bindpoint: REQ_DEFAULT
    Anzahl der gebundenen Richtlinien: 1

    Fertig

    [ NSHELP-23496 ]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Cannot read property ‘type’ of undefined”.

    [ NSHELP-21897 ]

  • In einem Citrix ADC-Cluster-Setup können HDX Insight und Gateway Insight nicht gleichzeitig aktiviert werden.

    [CGOP-23570]

  • Die Windows-Betriebssystemoption ist in der Dropdownliste des Expression Editors für Vorauthentifizierungsrichtlinien und Authentifizierungsaktionen auf der Citrix ADC GUI nicht aufgeführt. Wenn Sie den Windows-Betriebssystemscan jedoch bereits in einem früheren Citrix ADC-Build mithilfe der GUI oder der CLI konfiguriert haben, hat das Upgrade keine Auswirkungen auf die Funktionalität. Sie können die CLI verwenden, um bei Bedarf Änderungen vorzunehmen.

    Workaround:

    Verwenden Sie die CLI-Befehle für die Konfiguration.

    • Verwenden Sie den folgenden Befehl, um die erweiterte EPA-Aktion in der nFactor-Authentifizierung zu konfigurieren.
      Authentifizierung hinzufügen ePAAction adv_win_scan -csecexpr “sys.client_expr (“sys_0_Win-OS_Name_Anyof_Win-10 [KOMMENTAR: Windows OS]”)”
    • Verwenden Sie die folgenden Befehle, um eine klassische Vorauthentifizierungsaktion zu konfigurieren.
      add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]') EXISTS" win_scan_action

    [CGOP-22966]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [ CGOP-13584 ]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [ CGOP-13511 ]

  • Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

    [ CGOP-13050 ]

  • Der Text “Homepage” in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

    [ CGOP-13049 ]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

    [ CGOP-11830 ]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem kritischen Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Wenn die Web App Firewall-Richtlinie auf dem virtuellen Server aktualisiert wird, werden die folgenden Probleme beobachtet:

    • Die Citrix ADC GUI und CLI reagierten nicht oder dauerten länger als gewöhnlich.
    • Die Paket-CPU-Auslastung ist auf 100% gestiegen
    • Die Anzahl der Persistenzsitzungen wurde erhöht.

    [NHELP - 33975]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

    [ NSLB-7679 ]

  • In einem HA-Setup stürzt die Citrix ADC Appliance ab, wenn die Dienstgruppe, die an mehrere virtuelle Server gebunden ist, entfernt wird.

    [NSHELP-34029]

  • Während der Verbindungsspiegelung stürzt die Citrix ADC Appliance ab, wenn die Rewrite-Richtlinie mehr als 30 Byte beträgt.

    [NSHELP-32902]

  • Die Citrix ADC Appliance löst aufgrund einer falschen Berechnung der Anzahl der Server eine falsche SNMP-Warnung für eine hohe Serververbindung aus.

    [NHELP - 31582]

  • In einem GSLB-Setup fehlt das SSL-Zertifikat auf den untergeordneten Websites. Dieses Problem tritt auf, wenn die Auto-Sync-Option aktiviert ist und die untergeordneten Sites über SSL-Zertifikate verfügen, die auf der Master-Site nicht verfügbar sind.

    [NSHELP-29309]

  • In bestimmten Szenarien zeigen Server, die an eine Dienstgruppe gebunden sind, einen ungültigen Cookie-Wert an. Sie können den richtigen Cookie-Wert in den Ablaufverfolgungsprotokollen sehen.

    [NSHELP-21196]

  • In einem Cluster-Setup wird die IP-Adresse des GSLB-Dienstes nicht in der GUI angezeigt, wenn über virtuelle GSLB-Serverbindungen zugegriffen wird. Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

    [ NSHELP-20406 ]

Sonstiges

  • Wenn Sie das Skript „ns_hw_err.bash“ auf der Citrix ADC Appliance ausführen, wird die folgende Fehlermeldung angezeigt:
    „Fehler: Datei ‘ns_hw_plugins.py’ kann nicht geöffnet werden: [Errno 2] Keine solche Datei oder kein solches Verzeichnis“

    [NSHELP-32991]

  • Die Citrix ADC Appliance legt die Puffergröße für die Webserver-Protokollierungsfunktion auf einen falschen Standardwert von 3 MB statt 16 MB fest.

    [NSHELP-32429]

  • Die AlwaysOnAllow Listenregistrierung funktioniert nicht wie erwartet, wenn der Registrierungswert größer als 2000 Byte ist.

    [NSHELP-31836]

  • Die Citrix ADC CPX-Instanz, die auf einem Linux-System mit 64-Bit-Architektur und 1 TB Dateispeicher ausgeführt wird, kann jetzt Zertifikat- und Schlüsseldateien laden.

    [NSHELP-28986]

Netzwerke

  • In einer Citrix ADC BLX-Appliance funktioniert NSVLAN, das an markierte Nicht-DPDK-Schnittstellen gebunden ist, möglicherweise nicht wie erwartet. NSVLAN, das an ungetaggte Nicht-DPDK-Schnittstellen gebunden ist, funktioniert einwandfrei.

    [NSNET-18586]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Smartcard
    • Reset

    [NSNET-16559]

  • Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine Citrix ADC BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (“/etc/blx/blx.conf”) immer im Shared-Modus bereitgestellt. Dieses Problem tritt auf, weil “mawk”, das auf Debian-basierten Linux-Systemen standardmäßig vorhanden ist, einige der in der Datei “blx.conf” enthaltenen awk-Befehle nicht ausführt.

    Problemumgehung: Installieren Sie “gawk”, bevor Sie eine Citrix ADC BLX-Appliance installieren. Sie können den folgenden Befehl in der Linux-Host-CLI ausführen, um “gawk” zu installieren:

    • apt-get install gawk

    [NSNET-14603]

  • Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

    “The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable”

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

    • dpkg — Architektur hinzufügen i386
    • apt-get update
    • apt-get install libc6:i386

    [NSNET-14602]

  • In einem großen NAT44-Setup kann die Citrix ADC-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

    • Das LSN-Modul findet den Dienst nicht, während es den Referenzzähler verringert oder den Dienst löscht.

    [ NSHELP-29134 ]

  • In einem großen NAT44-Setup kann die Citrix ADC-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

    • Wegen veralteter Filtereingabe.

    [NSHELP-28895]

  • In einer großen NAT44-Bereitstellung kann die Citrix ADC-Appliance aus folgendem Grund beim Empfangen von SIP-Verkehr abstürzen:

    • Das LSN-Modul hat auf den Speicherplatz eines bereits gelöschten Dienstes zugegriffen.

    [ NSHELP-28815 ]

  • Die Citrix ADC-Appliance generiert nach einem Kaltstart möglicherweise keine “ColdStart” -SNMP-Trap-Meldungen.

    [ NSHELP-27917 ]

  • In einem Hochverfügbarkeits-Setup wird die für dynamisches Routing aktivierte SNIP-Adresse beim Neustart nicht VTYSH ausgesetzt, wenn die folgende Bedingung erfüllt ist:

    • Eine für dynamisches Routing aktivierte SNIP-Adresse ist an das freigegebene VLAN in einer nicht standardmäßigen Partition gebunden.

    Als Teil des Fix erlaubt die Citrix ADC-Appliance jetzt nicht, eine für dynamische Routing aktivierte SNIP-Adresse an das freigegebene VLAN in einer nicht standardmäßigen Partition zu binden

    [NSHELP-24000]

Plattform

  • Das Hochverfügbarkeitsfailover funktioniert nicht in AWS- und GCP-Clouds. Die Verwaltungs-CPU erreicht möglicherweise ihre Kapazität von 100% in AWS- und GCP-Clouds und Citrix ADC VPX on-premises. Beide Probleme werden verursacht, wenn die folgenden Bedingungen erfüllt sind:

    1. Beim ersten Start der Citrix ADC-Appliance speichern Sie das angeforderte Kennwort nicht.
    2. Anschließend starten Sie die Citrix ADC-Appliance neu.

    [NSPLAT-22013, NSHELP-34441]

  • Einige Python-Pakete werden nicht installiert, wenn Sie die Citrix ADC-Appliance von Version 13.1-4.x und höheren Versionen auf eine der folgenden Versionen herabstufen:

    • Jeder 11.1-Build
    • 12,1—62,21 und früher
    • 13.0-81.x und früher

    [NSPLAT-21691]

  • Auf der Citrix ADC SDX 8015/8400/8600-Plattform sehen Sie möglicherweise einen erhöhten Speicherverbrauch auf Xen Server.
    Problemumgehung: Führen Sie den folgenden Befehl auf dem Xen Server aus und starten Sie dann die Appliance neu.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024 m, max:1024 m”

    [NSHELP-32260]

  • Während des Citrix ADC VPX HA-Failovers schlägt die elastische IP-Adressverschiebung in der AWS-Cloud fehl, wenn Sie ein IPset konfigurieren, ohne das IPset an eine IP-Adresse zu binden.

    [ NSHELP-29425 ]

  • Das HA-Failover für die Citrix ADC VPX-Instanz in der GCP- und AWS-Cloud schlägt fehl, wenn das Kennwort eines RPC-Knotens ein Sonderzeichen enthält.

    [NSHELP-28600]

Richtlinien

  • In der Citrix ADC GUI können Sie die Rewrite-Aktionen nur sehen, wenn Sie in AppExpert > RewriteActions auf Integrierte Rewrite-Aktion anzeigen klicken.

    [ NSPOLICY-4843 ]

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

SSL

  • Wenn ein virtueller Server einen TLS 1.3-Datensatz mit ungültigem Padding empfängt, sendet er statt einer “unerwartet_message” -Warnung eine fatale Warnung “decode_error”.

    [NSSSL-11890]

  • Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Zum Beispiel set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL-Aktualisierung deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

System

  • Ein hoher RTT wird für eine TCP-Verbindung beobachtet, wenn die folgende Bedingung erfüllt ist:

    • ein hohes maximales Überlastungsfenster (>4 MB) ist eingestellt
    • Der TCP-NILE-Algorithmus ist aktiviert

    Damit eine Citrix ADC-Appliance den NILE-Algorithmus zur Überlastungskontrolle verwenden kann, müssen die Bedingungen den Schwellenwert für den langsamen Start überschreiten, der mit dem Fenster für maximale Überlastung gekoppelt ist.

    Bis das maximal konfigurierte Überlastungsfenster erreicht ist, akzeptiert der Citrix ADC weiterhin Daten und endet mit einem hohen RTT.

    [NSHELP-31548]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgende Bedingung erfüllt ist:

    • Sowohl das Analyseprofil als auch die AppFlow-Richtlinie sind gebunden, und für das Profil ist die Option “HttpAllHDRS” aktiviert.

    [NSHELP-30628]

  • Die Citrix ADC-Appliance meldet einen falschen SNMP-Alarm auf den SYN-Flood-Zählern des Dienstes.

    [NSHELP-28710, NSHELP-28713]

  • Erhöhte Neuübertragungen von Paketen sind in öffentlichen Cloud-MPTCP-Cluster-Bereitstellungen zu beobachten, wenn Linkset deaktiviert ist.

    [NSHELP-27410]

  • Eine Citrix ADC-Appliance sendet möglicherweise ein ungültiges TCP-Paket zusammen mit TCP-Optionen wie SACK-Blöcken, Zeitstempel und MPTCP-Daten-ACK bei MPTCP-Verbindungen.

    [NSHELP-27179]

  • Eine Nichtübereinstimmung in Logstream-Datensätzen wird in der Citrix ADC-Appliance und im Datenlader beobachtet.

    [NSHELP-25796]

  • Wenn Sie Citrix ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

    Problemumgehung: Starten Sie den Management-Pod neu.

    [NSBASE - 15556]

  • In einer Cluster-Konfiguration wird ein Knoten mit CCO-Priorität aufgrund von Netzwerkproblemen von Open vSwitch (OVS) getrennt. Nachdem der Knoten wieder in die Cluster-Konfiguration aufgenommen wurde, erhält er nicht das neueste SYN-Cookie.

    [NSBASE - 14419]

Benutzeroberfläche

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie CloudBridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der Citrix ADC GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Wenn das AppFW-Profil an den Log-Ausdruck gebunden wird, ist der State-Parameter standardmäßig auf aktiviert gesetzt. Wenn das System jedoch aktualisiert wird, wird der Parameter auf deaktiviert zurückgesetzt.

    [NSHELP-34187]

  • Das Ändern einer statischen Route mithilfe der Citrix ADC-GUI (System > Netzwerk > Routen) schlägt möglicherweise fälschlicherweise mit der folgenden Fehlermeldung fehl:

    • “Erforderliches Argument fehlt [Gateway]”

    [NSHELP-32024]

  • In einem HA-/Cluster-Setup schlägt die Konfigurationssynchronisierung fehl, wenn Sie andere SSH-Schlüssel als RSA konfiguriert haben. Zum Beispiel ECDSA- oder DSA-Schlüssel.

    [NSHELP-31675]

  • In einer Citrix ADC-Appliance schlägt das Binden der Cache-Richtlinie zum Überschreiben von global oder default global über die GUI-Schnittstelle mit dem folgenden Fehler fehl:

    • Erforderliches Argument fehlt.

    Dieser Fehler tritt beim Binden der Cache-Richtlinie über die CLI-Schnittstelle nicht auf.

    [NSHELP-30826]

  • Aufgrund einer falschen Upgrade-Installationsreihenfolge tritt das folgende Problem in der Citrix ADC-Appliance auf.

    • Das Kernel-Image wird zuerst aktualisiert und nach einigen Schritten werden die Verschlüsselungsschlüssel kopiert. Zwischen diesen Schritten tritt ein Fehler auf und die ADC Appliance erstellt ein neues Image. Die fehlenden Verschlüsselungsschlüssel im neuen Image führen zu einem Fehler bei der Entschlüsselung und einer fehlenden Konfiguration.

    [ NSHELP-30755 ]

  • Die Citrix ADC GUI generiert möglicherweise fälschlicherweise ein Paket für den technischen Support des Clusters mit nur einem Knoten anstelle aller Clusterknoten.

    [NSHELP-28606]

  • Das Erstellen eines Pakets für den technischen Support für Cluster mithilfe der Citrix ADC GUI schlägt möglicherweise mit einem Fehler fehl.

    [NSHELP-28586]

  • Nach dem Upgrade eines Hochverfügbarkeitssetups oder eines Cluster-Setups auf Version 13.0 Build 74.14 oder höher schlägt die Konfigurationssynchronisierung möglicherweise aus folgendem Grund fehl:

    • Sowohl die privaten als auch die öffentlichen Schlüssel “ssh_host_rsa_key” sind ein falsches Paar.

    Problemumgehung: Generieren Sie “ssh_host_rsa_key” neu. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX322863.

    [NSHELP-27834]

  • Sie können einen Dienst oder eine Dienstgruppe nicht über die Citrix ADC GUI an einen virtuellen Lastausgleichsserver mit Priorität binden.

    [ NSHELP-27252 ]

  • Auf der Citrix ADC GUI zeigt der Konfigurationsbildschirm Saved vs Running (System > Diagnostics) fälschlicherweise HTML-Tags an, anstatt Klartext anzuzeigen.

    [NSHELP-27169]

  • Beim Anzeigen der Richtlinien, die an ein Content-Switching-Richtlinienlabel gebunden sind, in der Citrix ADC GUI werden nur 25 Richtlinien angezeigt, obwohl mehr Richtlinien an diese Richtlinienbezeichnung gebunden sind.

    [NHELP - 23428]

  • Manchmal dauert es lange, bis die Firewall-Signaturen der Anwendung mit Nicht-CCO-Knoten synchronisiert werden. Daher können Befehle, die diese Dateien verwenden, fehlschlagen.

    [NSCONFIG-4330]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

    1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds
      • Build 13.0 52.24
      • Build 12.1 57.18
      • Build 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
    3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

    Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie
    in der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Problemumgehung: Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
    • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [NSCONFIG-3188]

Versionshinweise für Citrix ADC 13.0—64.35 Version