Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Versionshinweise für Citrix ADC 13.0-79.64 Release

May 11, 2023
Beitrag von: 
C

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.0-79.64 bestehen.

Hinweise

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.0-79.64 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

  • Unterstützung bei der Umfrage während der Authentifizierung

    Die Citrix ADC-Appliance kann jetzt für Polling während der Multifaktor-Authentifizierung konfiguriert werden.

    Der Abfragemechanismus ermöglicht es einer Citrix ADC-Appliance, eine laufende Authentifizierung mit dem Endpunkt fortzusetzen, ohne den Authentifizierungsprozess in einem seltenen Fall eines Zurücksetzens der TCP-Verbindung am Endpunkt neu starten zu müssen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/polling-for-nfactor.html

    [NSAUTH-9043]

Bot-Verwaltung

  • Bot-Erkennung basierend auf Maus- und Tastaturdynamik

    Das Citrix-Botmanagementsystem kann jetzt Bots anhand von Tastatur- und Mausbewegungen erkennen. Im Gegensatz zu herkömmlichen Bot-Techniken, die eine direkte menschliche Interaktion erfordern (z. B. die CAPTCHA-Validierung), überwacht die neue Bot-Erkennungstechnik passiv die Maus- und Tastaturdynamik. Die Citrix ADC-Appliance sammelt dann die Echtzeit-Benutzerdaten und sendet die Daten zur Bot-Analyse an den Citrix ADM-Server.

    Die Bot-Erkennungstechnik, die Tastatur- und Mausdynamik verwendet, hat die folgenden Vorteile:

    • Ermöglicht die Überwachung während der gesamten Benutzersitzung und macht einen einzelnen Prüfpunkt überflüssig.
    • Erfordert keine menschliche Interaktion und ist für Benutzer völlig transparent.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

    [NSBOT-402]

Citrix ADC SDX-Appliance

  • Auf einer Citrix ADC SDX-Appliance zeigt ein ADC-Instanzstatus derzeit “Out of Service” an, wenn die folgenden Bedingungen erfüllt sind:

    • Das Kennwort der ADC-Instanz wird direkt mit der Instanz-CLI geändert.
    • Das Kennwort stimmt nicht mit dem im Management Service gespeicherten Instanz-Admin-Profilkennwort überein.
    • Die vorherige Sitzung geht verloren, nachdem Sie die Instanz zum ersten Mal neu gestartet haben.

    Wenn die Instance nun aufgrund eines Authentifizierungsfehlers außer Betrieb geht, ändert sich die Farbe des Instanzstatus in Grau. Um die Instanz wiederherzustellen, führen Sie einen der folgenden Schritte aus:

    • Ändern Sie in der Instanz-CLI das Kennwort der Instanz so, dass es mit dem Kennwort im Admin-Profil der Instanz übereinstimmt. Entdecken Sie dann die Instanz im Management Service erneut.
    • Erstellen Sie ein Admin-Profil mit demselben Kennwort wie das aktuelle Kennwort der ADC-Instanz. Aktualisieren Sie dann die ADC-Instanz mit dem neuen Admin-Profil.

    [ NSSVM-4193 ]

Citrix Web App Firewall

  • Entspannungs- und Durchsetzungsmodi für den Umgang mit HTML-SQL-Injection-Angriffen

    Die Web Application Firewall ist jetzt so verbessert, dass sie im Entspannungsmodus und im Erzwingungsmodus arbeitet, um einen höheren Sicherheitsschutz zu gewährleisten. Je nachdem, wie die Appliance mit HTML-SQL-Injection-Angriffen umgehen soll, können Sie die Sicherheitsüberprüfung entweder im Erzwingungs- oder Entspannungsmodus konfigurieren.

    Im Erzwingungsmodus ermöglicht die Sicherheitsprüfung die Bypass von HTML-SQL-Injection-Angriffen, sofern Sie das Profil nicht explizit so konfiguriert haben, dass die Verstöße durch verbindliche Erzwingungsregeln blockiert werden.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/application-firewall/top-level-protections/relaxtion-and-deny-rules-for-html-sql-injection-attack.html

    [NSWAF-6435]

Lastausgleich

  • Verbesserte Synchronisationsleistung der GSLB-Konfiguration und reduzierte Synchronisationszeit

    Die Citrix ADC-Appliance unterstützt jetzt die inkrementelle Synchronisation der GSLB-Konfiguration. Bei der inkrementellen Synchronisation wird nur die Konfiguration, die sich zwischen der letzten Synchronisation und dem darauffolgenden Synchronisierungsintervall (10 Sekunden) am Hauptstandort geändert hat, über alle untergeordneten Standorte synchronisiert. Wenn nur die inkrementellen Konfigurationen übertragen werden, wird die Größe der Konfigurationsdatei und damit die für die Synchronisation benötigte Gesamtzeit erheblich reduziert. Dies verbessert auch die Synchronisierungsleistung der GSLB-Konfiguration. Wenn eine inkrementelle Synchronisation fehlschlägt, führt die Citrix ADC-Appliance automatisch eine vollständige Konfigurationssynchronisierung durch.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/global-server-load-balancing/synchronizing-configuration-in-gslb-setup/real-time-synchronization.html

    [NSLB-7384]

  • Neue Algorithmen für konsistentes Hashing

    Die Algorithmen Prime Re-Shuffled Assisted CARP (PRAC) und Jump Table Assisted Ring Hash (JARH) werden jetzt unterstützt, um konsistentes Hashing durchzuführen. Diese Algorithmen sorgen für Konsistenz und gleichmäßige Verteilung des Datenverkehrs.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/load-balancing/load-balancing-customizing-algorithms/hashing-methods.html

    [NSLB-7028]

  • In seltenen Fällen zeigt ein LDAP-Monitor den LDAP-Serverstatus fälschlicherweise als inaktiv an, da der Monitor in der Serverprobe nicht das richtige Kennwort sendet.

    [NSHELP-24967]

Netzwerke

  • BGP MD5-Authentifizierungsunterstützung für Citrix ADC BLX-Appliances

    Die Citrix ADC BLX-Appliance unterstützt jetzt die MD5-Authentifizierung für das Border Gateway Protocol (BGP) mit IPv4-Peers.

    Wenn die Authentifizierung aktiviert ist, wird jedes BGP-TCP-Segment, das zwischen den BGP-IPv4-Peers ausgetauscht wird, überprüft und nur akzeptiert, wenn die Authentifizierung erfolgreich ist. Für eine erfolgreiche Authentifizierung müssen die Peers mit demselben MD5-Kennwort konfiguriert werden. Wenn die Authentifizierung fehlschlägt, wird die BGP-Nachbarbeziehung nicht hergestellt.

    Die Unterstützung der MD5-Authentifizierung für BGP in der Citrix ADC BLX-Appliance entspricht RFC 2385.

    [NSNET-19089]

Plattform

  • Unterstützung für VMware ESX 7.0 Update 1c auf der Citrix ADC VPX-Instanz

    Die Citrix ADC VPX-Instanz unterstützt jetzt die VMware ESX Version 7.0 Update 1c (Build 1732555).

    [NSHELP-26444]

SSL

  • Unterstützung für 4096-Bit-RSA-Client-Zertifikate

    Auf einer Citrix ADC VPX-Appliance wird die Clientauthentifizierung mit einem 4096-Bit-RSA-Clientzertifikat jetzt während eines SSL-Handshakes unterstützt.

    [ NSSSL-8194 ]

System

Behobene Probleme

Die Probleme, die in Build 13.0-79.64 behoben wurden.

Authentifizierung, Autorisierung und Auditing

  • Die Anpassung von Fehlermeldungen auf der Portalseite für Endbenutzer schlägt fehl, wenn der Parameter “EnableEnhancedAuthFeedback” mit dem Befehl “set aaa parameter” aktiviert wird.

    [NSHELP-26814]

  • Sie können das Gruppenattribut von “memberof” auf dem LDAP-Server nicht deaktivieren, wenn Sie über die Citrix ADC GUI konfigurieren.

    [NSHELP-26199]

  • Das Citrix Gateway-Plug-In kann nicht gestartet werden, wenn die folgenden Bedingungen erfüllt sind:

    • Citrix Gateway-Gerät ist nur als Voll-VPN konfiguriert.
    • Die Authentifizierungsmethode ist OAuth RP.

    [NSHELP-26020]

  • In einer Citrix ADC BLX-Appliance funktioniert die LDAP-Authentifizierung mit den Sicherheitstypen SSL, TLS und Klartext möglicherweise nicht wie erwartet.

    [NSHELP-25809]

  • Die folgenden Probleme treten auf, wenn die Citrix ADC-Appliance als Relying Party (RP) konfiguriert ist.

    • Die Appliance kann die Authentifizierungsanfrage von OAuth IdP nicht verarbeiten, wenn der IdP den Signaturalgorithmus für JWT als RS512 verwendet.
    • Die Appliance sendet den “anonymen” Wert für den Parameter “login_hint” an OAuth IdP.

    [NSHELP-25794]

  • Wenn Sie sich von Citrix Gateway abmelden und wenn die RADIUS-Kontoführung auf dem Gateway konfiguriert ist, werden die Abmeldeinformationen nicht an den RADIUS-Kontoführungsserver gesendet.

    [NSHELP-25765]

  • Die Authentifizierung schlägt im Dialogmodus fehl, wenn der RADIUS-Server mehrere doppelte Antworten sendet.

    [NSHELP-25758]

  • Das Citrix Gateway-Plug-In kann nicht gestartet werden, wenn die folgenden Bedingungen erfüllt sind:

    • Citrix Gateway-Gerät ist nur als Voll-VPN konfiguriert.
    • Die SSPR-Registrierung ist als letzter Faktor konfiguriert.

    [NSHELP-25691]

  • Bei der Konfiguration einer AuthentifizierungsRichtlinie mithilfe der Citrix ADC GUI kann die Aktion “NO AUTH” nicht ausgewählt werden.

    [NSHELP-25466]

  • In einigen Fällen kann die Citrix ADC-Appliance abstürzen, wenn ein Benutzer versucht, sich zu authentifizieren, und wenn die Appliance wie folgt konfiguriert ist.

    • Die Appliance ist für die 401-Authentifizierung konfiguriert.
    • Die AuthentifizierungsRichtlinie sieht NoAuth als ersten Faktor und Zertifikatsauthentifizierung als zweiten Faktor vor

    [NSHELP-25051]

Bot-Verwaltung

  • Sie können nicht mehrere Sitzungscookies mit Ratenbegrenzung an ein Bot-Profil binden.

    [NSBOT-390]

Citrix ADC SDX-Appliance

  • Auf einer Citrix ADC SDX-Appliance sendet der Management Service keine Syslog-Nachrichten an die konfigurierten Syslog-Server.

    [NSHELP-27000]

  • Nach dem Neustart des Management Service schlägt das erste Auschecken von Instanzen oder Bandbreite von einem gepoolten Lizenzserver möglicherweise fehl.

    [NSHELP-26878]

  • Auf einer Citrix ADC SDX-Appliance mit Softwareversion 13.0 können die ADC-Instanzen vom Management Service aus nicht erreichbar sein, obwohl die Instanzen direkt über die Instanz-IP-Adresse erreichbar sind.

    [NSHELP-26679]

  • Wenn Sie den Management Service neu starten und einige VPX-Instanzen bereitgestellt werden, wird die folgende Fehlermeldung angezeigt, wenn Sie versuchen, das Sitzungs-Timeout für die Standardgruppe von der Seite System > Benutzerverwaltung > Gruppen aus zu bearbeiten.

    Der autorisierte Geltungsbereich für die Standardgruppe kann nicht geändert werden.

    [NSHELP-26556]

  • Die Inventarisierung erfolgt nicht gemäß dem Inventarzyklus für Instanzen, in denen die bei der Instanzbereitstellung verwendete IP-Adresse später direkt von der Instanz aus geändert wird.

    [NSHELP-26407]

Citrix Gateway

  • Die Citrix ADC-Appliance stürzt möglicherweise in einem SSO-Flow ab, wenn Citrix Secure Web Gateway und AppFlow konfiguriert sind.

    [NSHELP-26781]

  • Die Option Override Global für den Parameter Lokaler LAN-Zugriff im Citrix Gateway-Sitzungsprofil > Client Experience > Advanced ist deaktiviert. Es ist in den vorherigen Builds standardmäßig aktiviert.

    [NSHELP-26689]

  • Das Citrix Gateway-Gerät stürzt ab, wenn ein Benutzer über die Intranet-IP (Plugin-zu-Plugin-Verkehr) über einen vollständigen VPN-Tunnel auf den IDENT-Port (113) auf den Client eines anderen Benutzers zugreift.

    [NSHELP-26631]

  • EPA-Bibliotheken für macOS wurden auf Version 1.3.4.7 aktualisiert (Opswat-Version: 4.3.1566.0)

    [NSHELP-26538]

  • Das Citrix Gateway-Gerät stürzt ab, wenn eine vom Server initiierte Verbindung Datenpakete sendet, nachdem die Verbindung geschlossen wurde.

    [NSHELP-26431]

  • Auf der Citrix Gateway-Anmeldeseite wird ein Fehler angezeigt, der besagt, dass die Anmeldung fehlgeschlagen ist, wenn die folgende Reihenfolge von Bedingungen erfüllt ist. Der Fehler tritt auch dann auf, wenn der Benutzer nicht erneut versucht hat, sich anzumelden.

    1. Die Anmeldung am Citrix Gateway schlägt fehl.
    2. Die Anmeldung am Citrix Gateway ist erfolgreich.
    3. Der Benutzer meldet sich ab.

    [NSHELP-25157]

  • Fehlstartfehler von Anwendungen werden in Gateway Insight gemeldet. Die Startfehler werden gemeldet, wenn keine App- oder Desktop-Starts erfolgen.

    [NSHELP-23047]

  • Beim Hinzufügen eines virtuellen Authentifizierungsservers mithilfe des XenApp- und XenDesktop-Assistenten schlägt das Testen der Konnektivität für diesen Authentifizierungsserver fehl.

    [CGOP-16792]

Citrix Web App Firewall

  • In einer Clusterkonfiguration lernt die Web App Firewall Learning Engine dieselben Daten mehrmals, wenn der SQL-Platzhalter einem Perzentilzeichen (%) entspricht.

    [NSWAF-7489]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die StartURL-Schließung aktiviert ist und ein Speicherzuweisungsfehler vorliegt.

    [NSHELP-27155]

  • Ein Problem tritt auf, wenn Cookiewerte durch ein Komma getrennt werden (ein Nicht-RFC-Standard), nachdem dem Citrix Web App Firewall-Profil die Unterstützung für Cookie auf Samesite hinzugefügt wurde.

    [NSHELP-26846]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn das Bot-Management kein JavaScript in die HTTP-Antwort einfügt.

    [NSHELP-26730]

  • Ein Speicherleck kann auftreten, wenn einige Nachrichtenpuffer, die für die XSS-Protokollierung verwendet werden, nicht für bestimmte Payloads freigegeben werden.

    [NSHELP-26430]

  • Wenn in einem Hochverfügbarkeits-Setup die dynamische Profilerstellung zusammen mit aktivierten SNMP-Warnungen konfiguriert ist, kann es auf dem sekundären Knoten zu einem Anstieg der Speichernutzung kommen.

    [NSHELP-25580]

  • Die Citrix ADC-Appliance stürzt möglicherweise aufgrund eines Timeout-Problems ab, wenn einer langen Liste von Datensätzen ein Verletzungsdatensatz hinzugefügt wird.

    [NSHELP-25507]

Lastausgleich

  • In einer Cluster-GSLB-Bereitstellung wird der effektive Status der lokalen GSLB-Dienste auf Knoten, die keine Eigentümer sind, nicht aktualisiert, da der GSLB-Besitzerknoten keine Dienststatusaktualisierungen an die Knoten senden kann, die keine Eigentümer sind.

    [NSHELP-26260]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, während sie ein ungültiges SIP-Paket (Session Initiation Protocol) verarbeitet.

    [NSHELP-26202]

  • Wenn ein virtueller Content Switching-Server eine HTTPS-Anfrage empfängt, führt das größte Cookie in der HTTPS-Anfrage zu einem Pufferüberlauf und einer Beschädigung des Stacks, wenn die folgenden Bedingungen erfüllt sind:

    • Das Cookie-Format ist falsch.
    • Die Länge des Cookie beträgt mehr als 32 Byte.

    [NSHELP-25932]

  • Wenn Sie die IP-Adresse des Backend-Servers für einen Server ändern, dessen Name nicht mit seiner IP-Adresse übereinstimmt, können Sie möglicherweise nicht die vollständige Konfiguration speichern. Dies ist ein seltener Fall und kann auftreten, wenn der Speicher der Citrix ADC-Appliance knapp ist.

    [NSHELP-24329]

  • Bei der Autoscale-Hochverfügbarkeit oder Cluster-Bereitstellung kann eine Citrix ADC-Appliance abstürzen, wenn ein Servicemitglied erstellt wird und wenn die folgenden Bedingungen erfüllt sind:

    • Wenn Sie das Servicemitglied an eine Dienstgruppe in einem Knoten binden, der nicht der Eigentümer ist, oder einem sekundären Knoten mit deaktivierter Systemüberwachungsoption.

    [NSHELP-24029]

Sonstiges

  • In einem Cluster-Setup schlägt die Befehlsweiterleitung möglicherweise fehl, weil die Verbindung zu CCO unterbrochen wird. Das Problem tritt auf, wenn die beiden folgenden Bedingungen erfüllt sind:

    • Sie führen im Setup einen Befehlsweitergabevorgang durch.
    • Das Setup befindet sich seit mehr als zwei Stunden im Ruhezustand. Ein Cluster-Setup wird als inaktiv bezeichnet, wenn keine CLI-Befehle zwischen den Knoten ausgetauscht werden.

    [NSHELP-26350]

Netzwerke

  • In einem Cluster-Setup mit maximaler Verbindung (MaxConn), der auf einen Wert ungleich Null festgelegt ist, schlagen CLIP-Verbindungen möglicherweise fehl, wenn eine der folgenden Bedingungen erfüllt ist:

    • Aktualisierung des Setups von Citrix ADC 13.0 76.x Build auf Citrix ADC 13.0 79.x Build.
    • Neustart des CCO-Knotens in einem Cluster-Setup, in dem der Citrix ADC 13.0 76.x-Build ausgeführt wird.

    [NSNET-21173]

  • Wenn die Anzahl der Newslog-Sicherungsdateien zunimmt, kann dies zu einer Speicherknappheit für eine laufende Citrix ADC CPX-Instanz über einen bestimmten Zeitraum führen. Mit der Umgebungsvariablen NEWNSLOG_MAX_FILENUM können Sie die Anzahl der Sicherungsdateien steuern. Indem Sie den Wert der Umgebungsvariablen auf 10 setzen, können Sie die maximale Anzahl von Newslog-Backupdateien auf 10 begrenzen.

    [NSNET-20261]

  • Eine Citrix ADC BLX-Appliance unterstützt jetzt die dynamische Routing-Protokollfunktion von Citrix ADC IPv6 OSPF (OSPFv3). Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html.

    [NSNET-19567]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn alle der folgenden Bedingungen erfüllt sind:

    • Der MAC-Modus ist auf einem virtuellen Lastausgleichsserver aktiviert, der nicht adressierbar ist.
    • Derselbe virtuelle Server ist Teil einer Link-Load-Balancing-Konfiguration oder einer Richtlinienbasierten Routing-Konfiguration.

    Im Rahmen des Fixes zeigt die Citrix ADC-Appliance jetzt die folgende Warnmeldung an, wenn die oben genannten Bedingungen erfüllt sind:

    • Warnung: Die Umleitung im MAC-Modus sollte mit der LLB-Konfiguration nicht aktiviert werden.

    [NSNET-19485]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen vorliegen:

    • Bei der IPv6-Link-Load-Balancing-Konfiguration (LLB6) ist die Persistenzoption aktiviert.
    • Für diese LLB6-Konfiguration werden einige IPv6-Dummy-Verbindungen erstellt

    [NSHELP-25695]

  • In einem Cluster-AWS-Cloud-Setup kann der Knoten mit einem höheren Prioritätswert zum CCO werden. Dies passiert, wenn acht oder mehr Knoten mit allen unterschiedlichen Prioritätswerten zusammen neu gestartet werden.

    [NSHELP-25244]

Plattform

  • In einigen Fällen wird eine VPX-Instanz auf einer Citrix SDX-Appliance nicht angezeigt, wenn der VPX-Instanz eine große Anzahl von Schnittstellen hinzugefügt wird.

    [NSHELP-26861]

  • Auf einer Citrix ADC SDX 15000-50G-Appliance kann bei einem kurzen Anstieg des Datenverkehrs, der nicht an eine der ADC VPX-Instanzen geleitet wird, das folgende Problem auftreten:

    • Die LACP-Verbindung an 10G-Ports kann zeitweise ausfallen oder dauerhaft ausfallen.

    [NSHELP-25561]

  • Auf einer Citrix ADC SDX-Appliance kann der Backplane-LA-Kanal während eines Warmneustarts einer als Clusterknoten konfigurierten VPX-Instanz aufgrund eines Set-Interface-Befehlsfehlers in den Zustand PARTIAL-UP übergehen.

    [NSHELP-23353]

  • Standardmäßig sind High Availability Monitor (HAMON) und HA Heartbeat auf einer Verwaltungsschnittstelle deaktiviert, die als interne Verwaltungsschnittstelle konfiguriert ist. Außerdem können HAMON und HA Heartbeat auf dieser Schnittstelle nicht aktiviert werden.
    Wenn später dieselbe Schnittstelle wieder als Verwaltungsschnittstelle konfiguriert und die VPX-Instanz neu gestartet wird, sind die HAMON- und HA-Heartbeat-Optionen immer noch deaktiviert.
    Sie können diese Optionen jetzt jedoch manuell aktivieren, um Probleme mit der HA-Konfiguration zu vermeiden.

    [NSHELP-21803]

Richtlinien

  • Variablen können in der Zuweisung nicht verwendet werden, wenn die Variablenlänge mehr als 31 Zeichen beträgt.

    [NSHELP-26362]

  • Das folgende Problem kann zu einem Failover in einem Hochverfügbarkeits-Setup führen:

    Wenn viele Nicht-HTTP- und Nicht-TCP-Pakete in die Warteschlange gestellt werden und darauf warten, bearbeitet zu werden, nachdem die Verarbeitung auf ihnen blockiert wurde.

    [NSHELP-23506]

SSL

  • Auf einer Citrix ADC-Appliance tritt ein Speicherverlust auf, wenn der SSL-Parameter “SessionTicket” aktiviert ist.

    [NSHELP-26207]

  • Eine Citrix ADC-Appliance kann bei der Bearbeitung von Anfragen von TLS 1.3-Clients abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Das TLS 1.3-Protokoll ist auf dem virtuellen Front-End-Server aktiviert.
    • Die zugrunde liegende Hardwareplattform verwendet Intel Coleto Creek-Kryptobeschleunigungskarten (ausgewählte MPX- und SDX-Modelle verwenden diese Chips.)
    • Auf SDX-Plattformen werden die Intel Coleto Creek-Kryptokartenressourcen der ADC-Instanz zugewiesen.

    [NSHELP-26089]

  • Verbindungsfehler aufgrund von wenig Arbeitsspeicher können auf einer Citrix ADC-Appliance auftreten, wenn die Admin-Partition aktiviert ist. Das Problem tritt auf, wenn die SSL-Krypto-Hardware-Chips voll sind.

    [NSHELP-25981]

  • In einem Clustersetup können Sie die folgenden Probleme feststellen:

    • Fehlender Befehl für das standardmäßige Zertifikatschlüsselpaar, das an die internen SSL-Dienste auf dem CLIP bindet. Wenn Sie jedoch von einem älteren Build upgraden, müssen Sie möglicherweise das Standard-Zertifikatschlüsselpaar an die betroffenen internen SSL-Dienste auf dem CLIP binden.
    • Konfigurationsdiskrepanz zwischen dem CLIP und den Knoten für den standardmäßigen set-Befehl für die internen Dienste.
    • Fehlender Standard-Verschlüsselungsbindungsbefehl an die SSL-Entitäten in der Ausgabe des Befehls show running config, der auf einem Knoten ausgeführt wird. Die Auslassung ist nur ein Anzeigeproblem und hat keine funktionalen Auswirkungen. Die Bindung kann mit dem Befehl show ssl <entity> <name> angezeigt werden.

    [ NSHELP-25764 ]

  • Die Citrix ADC-Appliance reagiert nicht mehr, wenn die folgenden Bedingungen erfüllt sind:

    • DTLS ist aktiviert.
    • Das UDP-Multiplexing verwendet einen DTLS-Kanal und pumpt den Datenverkehr mit hoher Geschwindigkeit.

    [NSHELP-22987]

System

  • In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten abstürzen, wenn Metriken auf der Citrix ADC-Appliance von Citrix ADM aktiviert sind.

    [NSHELP-26969]

  • Wenn eine Citrix ADC-Appliance ein doppeltes TCP-Paket verarbeitet, werden auf der Appliance die folgenden Probleme beobachtet:

    • Die Appliance generiert ein dupliziertes ACK mit DSACK und das Paket wird verworfen.
    • Wenn das eingehende Paket ein Fensterupdate enthält, erstellt die Appliance eine Kopie davon und simuliert ein Windows-Update ACK.
    • Die Appliance erstellt das Window Update ACK mit einem falschen Zeitstempel.

    [NSHELP-26893]

  • In HTTP/2-Frontend- und HTTP/1.1-Backend-Szenarien kann der Benutzer keine Backend-Serververbindungen sehen, wenn die Parameter Vserver-IP-Filter und -link enabled im Befehl nstrace konfiguriert sind.

    [NSHELP-26717]

  • Bei einer Clientverbindung sendet eine Citrix ADC-Appliance möglicherweise fälschlicherweise einen Verbindungs-Keep-Alive-Header als Antwort auf den Connection-Close-Header des Clients. Dieser falsche Verbindungs-Keep-Alive-Header führt zu einer Verzögerung beim Schließen der Verbindung auf dem Client.

    [NSHELP-26474]

  • Nach der Aktivierung kann der Parameter “ClientSideMeasurements” im AppFlow-Aktionsbefehl nicht deaktiviert werden.

    [NSHELP-26464]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen eingehalten werden:

    • Wenn eine Client-Anfrage von einer Ressource (mit derselben IP-Adresse und demselben Port) stammt, für die eine Ressource in der vorherigen IPS-Verbindungsstruktur (Intrusion Prevention System) nicht freigegeben wurde.
    • Das Modul Intrusion Prevention System (IPS) versucht, von der freigegebenen Struktur aus auf die nicht freigegebene Ressource zuzugreifen.

    [NSHELP-26450]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein Reset auf eine zwischengespeicherte Anfrage gesendet wird.

    [NSHELP-26410]

  • Die Patch-HTTP-Methode wird blockiert, wenn der Parameter MarkHttpHeaderExtrawsError im Befehl set HttpProfile aktiviert ist.

    [NSHELP-26398]

  • Eine Citrix ADC-Appliance stürzt möglicherweise in einem AppFlow-Modul ab, wenn die Appliance unter Speicherbelastung steht.

    [NSHELP-26367]

  • Wenn während der Klarkonfiguration kein URL-Set verwendet wird, wird in der Datei ns.log ein Fehlerprotokolleintrag angezeigt, der dem URL-Satz entspricht.

    [NSHELP-26242]

  • Nach einem Upgrade von Citrix ADC 12.1 Build 50.31 auf Citrix ADC 13.0 Build 58.32 versucht die Appliance nicht erneut, nachdem sie bei Monitoren ein fehlerhaftes ACK für das TCP-SYN-Paket empfangen hat. Infolgedessen setzt die Appliance die TCP-Verbindung des Monitors zurück und markiert den Dienst als DOWN.

    [NSHELP-25813]

  • Die RNAT-Konfiguration funktioniert nicht mit HTTP/2-Verbindungen, wenn die Appliance die RNAT-IP-Adresse für serverseitige Verbindungen (sowohl http2 als auch http1.1) verwendet.

    [NSHELP-23783]

  • Die CAPTCHA-Validierung funktioniert nicht wie erwartet, wenn ein hoher TTL-Wert für alle Pakete auf 255 festgelegt ist.

    [NSBASE - 13966]

  • Ein Fehler in der HTTP/2- und TCP-Fensterverwaltungslogik kann dazu führen, dass bei der Serververbindung ein HTTP/2- und TCP-Fensterproblem auftritt. Es verhindert, dass das Objekt vollständig zwischengespeichert wird. Das Problem tritt auf, wenn die folgenden Bedingungen erfüllt sind:

    • Die integrierte Caching-Funktion ist aktiviert und die Antwort wird zwischengespeichert.
    • Während der vorherigen Bedingung sendet der HTTP/2-Client abrupt ein Reset-Stream-Paket oder der HTTP/1.1-Client sendet ein TCP-RST auf die Verbindung.

    [NSBASE - 13878]

  • Eine Citrix ADC-Appliance schlägt möglicherweise beim Generieren von AppFlow-Datensätzen für bestimmte von VPN generierte HTTP-Antworten fehl. Das Problem tritt auf, wenn Gateway Insight aktiviert ist.

    [NSBASE - 13698]

  • Das vom TCP angekündigte Fenster (ADV_WND) -Update entspricht nicht den Erwartungen beim Empfang von Datenpaketen, wenn die DRB-Funktion (Dynamic Receive Buffering) aktiviert ist. Daher sind Uploads langsamer als bei deaktivierter DRB-Funktion.

    [NSBASE - 13100]

Benutzeroberfläche

  • Die Citrix ADC GUI zeigt einen falschen VIP an, wenn Sie den virtuellen Content Switching-Server bearbeiten, nachdem er an eine Richtlinie gebunden ist.

    [NSHELP-26853]

  • In einer Citrix ADC BLX-Appliance verringert sich die Ablaufzeit einer lokalen Lizenz möglicherweise nicht wie erwartet.

    Als Fix verringert sich die Ablaufzeit für eine lokale Lizenz jetzt alle 24 Stunden um 1.

    [NSHELP-26554]

  • In einem Hochverfügbarkeits-Setup von Citrix ADC BLX-Appliances kann die Konfigurationssynchronisierung manchmal fehlschlagen.

    [NSHELP-26495]

  • Nach dem Neustart einer Citrix ADC-Appliance geht der Lizenzstatus der Appliance in den Status Grace über, wenn der Lizenzserver von der Appliance aus nicht erreichbar ist. Der Lizenzstatus bleibt im Status Grace, auch wenn der Lizenzserver erreichbar ist.

    [NSHELP-26468]

  • Der Befehl switch partition ermöglicht die erzwungene Ausführung der Optionen f oder force. Es kann Benutzern ermöglichen, zu einer neuen Partition zu wechseln, ohne zum Speichern der Konfiguration aufzufordern, und die Konfiguration wird nicht gespeichert. Der erzwungene Wechsel erfolgt ohne Aufforderung und die Konfiguration wird gespeichert. Es passiert, wenn Sie das Flag -save verwenden.

    [NSHELP-26222]

  • In einer Loadbalancing-Persistenzansicht für virtuelle Server werden nicht alle Parameter angezeigt, wenn Sie eine vorhandene Persistenzkonfiguration für virtuelle Server bearbeiten.

    [NSHELP-25965]

  • Der Befehl show partition kann dazu führen, dass der “nsconfigd” -Daemon abstürzt, wenn die folgenden Bedingungen erfüllt sind:
    • Das API-Sitzungstoken ist kurzlebig.
    • Das Sitzungstoken ist abgelaufen, bevor der Befehl show partition abgeschlossen ist.

    [NSHELP-25880]

  • Wenn Sie in einem Cluster-Setup über CLIP auf die Citrix ADC GUI zugreifen, stellen Sie möglicherweise fest, dass die Syslog-Richtlinien des Audits nicht global gebunden sind. Das gleiche Problem wird nicht beobachtet, wenn Sie über das NSIP auf die Citrix ADC GUI zugreifen.

    [NSHELP-24631]

  • Die Schaltfläche “Aktualisieren” funktioniert nicht, wenn Sie Stream Sessions (AppExpert > Action Analytics > Stream Identifier) in der GUI aktivieren.

    [NSHELP-24195]

  • Eine Citrix ADC-Appliance unterstützt das Hinzufügen von CRL-Dateien mit mehr als 2 MB mithilfe von NITRO-APIs nicht.

    [NSHELP-20821]

  • In einer Citrix ADC BLX-Appliance funktioniert die Registerkarte “Reporting” in der GUI möglicherweise nicht wie erwartet.

    [NSCONFIG-4877]

  • Die Verbindung zwischen der ADC-Instanz und dem ADM Service geht verloren, wenn die folgenden Bedingungen erfüllt sind:

    • Die Instanz wird mithilfe eines integrierten Agenten zum ADM Service hinzugefügt.
    • Die Instanz wird mit der Option -Y oder über die ADM-GUI aktualisiert. In beiden Fällen wird der integrierte Agent nicht neu gestartet. Die Option -Y bietet Ja als Antwort auf alle Fragen zum Upgrade, die auf der CLI oder GUI erscheinen.

    [NSCONFIG-4368]

Videooptimierung

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn eine eingehende Anfrage nicht den FQDN-Grammatikregeln für die Richtlinienbewertung entspricht. Einige Beispiele für ungültige FQDNs sind SNI und Hostname, die mit einem Punkt (‘.’) beginnen.

    [NSHELP-25564]

Bekannte Probleme

Die Probleme, die in Version 13.0-79.64 bestehen.

Authentifizierung, Autorisierung und Auditing

  • In einigen Fällen wird eine HTTP-POST-Anfrage an einen virtuellen Authentifizierungs-, Autorisierungs- und Auditing-TM-Server falsch verarbeitet, wenn die Anfrage kein Authentifizierungs-Cookie enthält. Der POST-Körper geht bei der Verarbeitung verloren.

    [ NSHELP-27227 ]

  • Die Citrix ADC-Appliance stürzt häufig bei der Verarbeitung von Authentifizierung, Autorisierung und Auditing-TM sowie 401 LB-basiertem Datenverkehr ab.

    [ NSHELP-27094 ]

  • In einigen Fällen stürzt eine Citrix ADC-Appliance beim Ausführen der Benutzerauthentifizierung für Citrix Gateway und Authentifizierung, Autorisierung und Überwachung ab - verkehrsverwaltete Bereitstellung.

    [ NSHELP-26555 ]

  • Ein falscher SSO-Domänenname wird für angemeldeten Benutzer ausgefüllt, wenn im Ausdruck Authentifizierung, Autorisierung und Überwachung.USER.DOMAIN verwendet wird.

    [NSHELP-26443]

  • Bei Eingabe eines falschen OTP wird die Fehlermeldung “E-Mail-Authentifizierung fehlgeschlagen” angezeigt. Es wird keine weitere Aktion zum Fortfahren angezeigt.

    [ NSHELP-26400 ]

  • In bestimmten Szenarien schlägt der Befehl Authentifizierung, Autorisierung und Überwachung binden möglicherweise fehl, wenn der Richtlinienname länger als der Name der Intranetanwendung ist.

    [NSHELP-25971]

  • Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

    [ NSHELP-563 ]

  • Die Überprüfung der Netzwerkkonnektivität schlägt aufgrund eines Problems bei der Kennwortentschlüsselung fehl. Die Authentifizierungsfunktion funktioniert jedoch einwandfrei.

    [ NSAUTH-10216 ]

  • Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

    [ NSAUTH-6106 ]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

    [ NSAUTH-5916 ]

Zwischenspeichern

  • Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

    [NSHELP-22942]

Citrix ADC SDX-Appliance

  • Die Management Service-Befehlszeile ist defekt und der folgende Fehler wird angezeigt:

    FEHLER: Ungültiges Eigenschaftsfeld

    [ NSSVM-4551 ]

  • Wenn auf einer Citrix ADC SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

    [ NSSVM-4333 ]

  • Auf einer Citrix ADC SDX-Appliance wird die IP-Adresse (NSIP) einer ADC-Instanz möglicherweise nicht angezeigt, wenn der Burst-Durchsatz für diese Instanz konfiguriert ist.

    [NSHELP-27133]

Citrix Gateway

  • Das Citrix Gateway-Gerät stürzt ab, wenn eine Syslog-Richtlinie an einen virtuellen Server gebunden ist und die entsprechende Syslog-Aktion geändert wird.

    [ NSHELP-27171 ]

  • Die Citrix Gateway-Appliance wird aufgrund der Überflutung von SSL-VPN-Protokollmeldungen in der lokalen Datei ns.log unerwartet neu gestartet, wenn Gateway Insight aktiviert ist.

    [NSHELP-27040]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn ForwardSession für ein Back-End-Subnetz konfiguriert ist und auf einen Server im selben Subnetz über den VPN-Tunnel zugegriffen wird.

    [NSHELP-27037]

  • Einige Citrix Gateway-bezogene Protokolldateien werden nicht rotiert, was zu einer erhöhten Protokollgröße führt.

    [NSHELP-26767]

  • Die Citrix ADC-Protokolle werden möglicherweise mit der Protokollmeldung “GWInsight: func=NS_SSLVPN_Send_App_Launch_Fail_Record Appflow-Richtlinienauswertung ist fehlgeschlagen” überflutet, wenn Gateway Insight aktiviert ist.

    [ NSHELP-26750 ]

  • Wenn Sie den FQDN als Proxy auf der Seite “Citrix Gateway-Verkehrsprofil erstellen” eingeben, wird die Meldung “Ungültiger Proxywert” angezeigt.

    [ NSHELP-26613 ]

  • Das Citrix Gateway-Gerät zeigt beschädigte Sitzungsrichtliniennamen in den SSLVPN-Protokollen NONHTTP_RESOURCEACCESS_DENIED an.

    [NSHELP-26610]

  • Wenn der Anwendungsname länger als 20 Zeichen ist, wird der Anwendungsname gekürzt angezeigt, wenn eine Verbindung über Citrix Gateway hergestellt wird.

    [NSHELP-26604]

  • Das VPN-Plug-In für Windows zeigt falsche Informationen auf dem Windows-Anmeldeinformationsbildschirm an, wenn sich das Netzwerk ändert.

    [NSHELP-26562]

  • Auf der RFWebUI-Client-Erkennungsseite wird die Schaltfläche Installieren anstelle der Schaltfläche Erkennen angezeigt, wenn ein virtueller Content Switching-Server konfiguriert ist.

    [NSHELP-26138]

  • Die Citrix ADC-Appliance stürzt ab, wenn eine der folgenden Bedingungen eintritt:

    • Die Syslog-Aktion wird mit dem Domänennamen konfiguriert und Sie löschen die Konfiguration über die GUI oder der CLI.
    • Die Hochverfügbarkeitssynchronisierung erfolgt auf dem sekundären Knoten.

    Workaround:

    Erstellen Sie eine Syslog-Aktion mit der IP-Adresse des Syslog-Servers anstelle des Domänennamens des Syslog-Servers.

    [ NSHELP-25944 ]

  • Möglicherweise stellen Sie eine Diskrepanz in der Gesamtzahl der hergestellten TCP-Verbindungen fest, wenn Enlightened Data Transport (EDT) aktiviert ist.

    [NSHELP-25841]

  • Beim Erstellen eines RDP-Clientprofils über die Citrix ADC GUI wird eine Fehlermeldung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

    • Ein standardmäßiger Pre-Shared Key (PSK) ist konfiguriert.
    • Sie versuchen, den Gültigkeitszeitgeber für RDP-Cookies im Feld RDP-Cookie-Gültigkeit (Sekunden) zu ändern.

    [ NSHELP-25694 ]

  • Das Windows VPN-Gateway-Plug-In kann IPv6-DNS-Pakete nicht löschen, was zu Problemen mit der DNS-Auflösung führt.

    [NSHELP-25684]

  • Die Citrix Gateway-Anmeldeseite wird beim Löschen einer Admin-Partition nicht geladen, sofern sie konfiguriert ist.

    [NSHELP-25538]

  • Die Citric ADC-Appliance stürzt ab, wenn mehrere VPN-Plug-In-Clients X.509-Zertifikate mit einer Größe von 1800 Byte oder mehr verwenden, um einen Tunnel einzurichten.

    [ NSHELP-25195 ]

  • Die Befehlsausgabe “show tunnel global” enthält erweiterte Richtliniennamen. Zuvor wurden in der Ausgabe die erweiterten Richtliniennamen nicht angezeigt.

    Beispiel:

    Neue Ausgabe:

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0

 Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
 Priority: 1  
 Global bindpoint: REQ_DEFAULT

 Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
 Priority: 100  
 Global bindpoint: RES_DEFAULT  
 Done  
 >
 <!--NeedCopy-->

    Vorherige Ausgabe:

    
 > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

 Advanced Policies:

 Global bindpoint: REQ_DEFAULT  
 Number of bound policies: 1

 Done
 <!--NeedCopy-->

    [ NSHELP-23496 ]

  • Die ICA-Latenz einer Sitzung wird fälschlicherweise als 64.000 ms im Citrix Director aufgezeichnet, wenn die L7-Latenz aktiviert ist. Die L7-Latenz ist aktiviert, wenn der “nsapimgr” -Knopf “enable_ica_l7_latency” auf 1 gesetzt ist.

    Problemumgehung: Stellen Sie die L7-Latenzfrequenz mithilfe der CLI oder der GUI auf 5 ein.

    [ NSHELP-23459 ]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Cannot read property ‘type’ of undefined”.

    [ NSHELP-21897 ]

  • Ein Fehler beim Start der Anwendung aufgrund eines ungültigen STA-Tickets wird in Gateway Insight nicht gemeldet.

    [ CGOP-13621 ]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [ CGOP-13584 ]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [ CGOP-13511 ]

  • Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

    [ CGOP-13050 ]

  • Der Text “Homepage” in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

    [ CGOP-13049 ]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

    [ CGOP-11830 ]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem kritischen Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Die von aslearn gelernten Daten werden nicht übersprungen, wenn die gelernten Firewall-Daten der Anwendung Sonderzeichen enthalten.

    [NSWAF-7584]

  • Die Cookie-Hijacking-Funktion unterstützt den Internet Explorer (IE) -Browser nur eingeschränkt, da IE-Browser die SSL-Verbindungen nicht wiederverwenden. Aufgrund der Einschränkung werden mehrere Umleitungen für eine Anfrage gesendet, was letztendlich zu einem Fehler “MAX REDIRECTS EXCEDED” im IE-Browser führt.

    [ NSHELP-27193 ]

  • Nach einem Upgrade auf Citrix ADC Version 13.0 Build 76.29 und aktivierter Funktion zum Hochladen von Dateien auf der Appliance wird das folgende Problem beobachtet:

    • SQL- und XSS-Schutzprüfungen blockieren den Datei-Upload-Prozess für alle Webanwendungen.

    [ NSHELP-27140 ]

  • Im Citrix Web App Firewall-Modul werden die DHT-Einträge (Distributed Hash Table) nicht auf dem primären Knoten freigegeben. Dieses Problem tritt auf, wenn Firewall-Sitzungen für Anwendungen ein kürzeres Timeout haben und mit einer höheren Rate erstellt werden.

    [NSHELP-26570]

  • Einige Anfragen mit Sicherheitsverstößen werden durch die HTML-Cross-Site-Scripting-Sicherheitsprüfung nicht blockiert.

    [NSHELP-24762]

  • Proxy-Einstellungen für die automatische Signaturaktualisierung konfigurieren

    Wenn der ausgehende Datenverkehr über ein Proxy-Gerät (wie Bluecoat oder Squid) erfolgt, können Sie jetzt die Proxy-Einstellungen für die automatischen Signatupdates konfigurieren.

    CLI-Befehl:

    set appfw settings -proxyServer <IP> -proxyPort <port>

    Beispiel:

    Appfw-Einstellungen festlegen -ProxyServer 10.10.10.10 -ProxyPort 8080

    [NSHELP-17494]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

    [ NSLB-7679 ]

  • Die GSLB-Konfiguration kann teilweise verloren gehen, wenn die folgenden Bedingungen erfüllt sind:

    • Die Citrix ADC-Appliance wird neu gestartet.
    • Der ADNS-Dienst ist mit derselben IP-Adresse wie der Remote-GSLB-Standort konfiguriert.

    [NSHELP-26816]

  • In einem Cluster-Setup wird die IP-Adresse des GSLB-Dienstes nicht in der GUI angezeigt, wenn über virtuelle GSLB-Serverbindungen zugegriffen wird. Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

    [ NSHELP-20406 ]

Sonstiges

  • Wenn Sie Konfigurationen mithilfe eines StyleBook an die Cluster-Instanzen übertragen, schlagen die Befehle mit der Fehlermeldung “Befehlsweitergabe fehlgeschlagen” fehl.

    Bei aufeinanderfolgenden Ausfällen behält der Cluster die Teilkonfiguration bei.

    Workaround:

    1. Identifizieren Sie die fehlgeschlagenen Befehle im Protokoll.
    2. Wenden Sie die Wiederherstellungsbefehle manuell auf die fehlgeschlagenen Befehle an.

    [NSHELP-24910]

Netzwerke

  • In einer Citrix ADC BLX-Appliance funktioniert NSVLAN, das an markierte Nicht-DPDK-Schnittstellen gebunden ist, möglicherweise nicht wie erwartet. NSVLAN, das an ungetaggte Nicht-DPDK-Schnittstellen gebunden ist, funktioniert einwandfrei.

    [NSNET-18586]

  • Nach einem Upgrade von Citrix ADC BLX Appliance 13.0 61.x Build auf 13.0 64.x Build gehen die Einstellungen in der BLX-Konfigurationsdatei verloren. Die BLX-Konfigurationsdatei wird dann auf die Standardeinstellungen zurückgesetzt.

    [NSNET-17625]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Smartcard
    • Reset

    [NSNET-16559]

  • Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine Citrix ADC BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (“/etc/blx/blx.conf”) immer im Shared-Modus bereitgestellt. Dieses Problem tritt auf, weil “mawk”, das auf Debian-basierten Linux-Systemen standardmäßig vorhanden ist, einige der in der Datei “blx.conf” enthaltenen awk-Befehle nicht ausführt.

    Problemumgehung: Installieren Sie “gawk”, bevor Sie eine Citrix ADC BLX-Appliance installieren. Sie können den folgenden Befehl in der Linux-Host-CLI ausführen, um “gawk” zu installieren:

    • apt-get install gawk

    [NSNET-14603]

  • Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

    “The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable”

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

    • dpkg — Architektur hinzufügen i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • In einer Citrix ADC-Appliance ist der neighbor <IPv6 neighbor> shutdown BGP-Befehl nicht wirksam, wenn der Nachbar Teil der Peer-Group ist.

    Aufgrund dieses Problems befindet sich jeder IPv6-BGP-Nachbar, der mit dem neighbor <IPv6 neighbor> shutdown Befehl heruntergefahren wurde, nach dem Neustart oder Upgrade der Appliance im Status UP.

    [NSHELP-26957]

  • In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

    • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

    Problemumgehung: Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Status “Synchronisierung erfolgreich”).

    [ NSHELP-25598 ]

  • Bei internen SSL-Diensten an einem nicht standardmäßigen HTTPS-Port werden SSL-Zertifikatsbindungen nach dem Neustart der Appliance möglicherweise auf die Standardeinstellung zurückgesetzt.

    [NSHELP-24034]

Plattform

  • Auf der Citrix ADC SDX 8900-Plattform wird die LOM-Version von 4,5x auf 4.61 aktualisiert. Auf den Plattformen Citrix ADC SDX 15000 und SDX 26000 wird die LOM-Version von 5.03 auf 5.56 aktualisiert. Nach dem Upgrade wird das Standardkennwort der LOM für neu hergestellte Plattformen auf die Seriennummer der Appliance zurückgesetzt. Dieses Upgrade behebt die beschriebene Sicherheitsanfälligkeit CVE-2013-4786. Weitere Informationen finden Sie unter [https://support.citrix.com/article/CTX234367](https://support.citrix.com/article/CTX234367).

    [NSPLAT-19327]

  • Wenn Sie beim Neustart der Citrix ADC VPX-Instanz für AWS statische Routen zu DNS-Servern hinzufügen, indem Sie ein anderes Gateway als das Standard-Gateway verwenden, treten die folgenden Ereignisse auf:

    • Die statischen Routen, die den DNS-Servern hinzugefügt wurden, werden entfernt.
    • Neue statische Routen werden mithilfe des Standard-Gateways hinzugefügt.

    [NSHELP-27116]

  • Wenn Sie die Clusterknoten auf Rendite einstellen möchten, müssen Sie die folgenden zusätzlichen Konfigurationen auf CCO durchführen:

    • Wenn ein Cluster gebildet wird, werden alle Knoten mit Yield=DEFAULT angezeigt.
    • Wenn ein Cluster mit den Knoten gebildet wird, die bereits auf Yield=YES gesetzt sind, werden die Knoten mit DEFAULT Yield zum Cluster hinzugefügt.

    Hinweis: Wenn Sie die Clusterknoten auf Yield=yes setzen möchten, können Sie geeignete Konfigurationen erst nach der Bildung des Clusters durchführen, nicht jedoch vor der Bildung des Clusters.

    [NSHELP-27091]

  • Auf der Citrix ADC SDX-Plattform kann der Clusterstatus unterbrochen werden, wenn ein Knoten einem Cluster beitritt. Das Flattern tritt auf, wenn ein impliziter Reset der Schnittstelle ausgelöst wird, der sich auf den Zustand des Clusters auswirkt.

    [NSHELP-27081]

Richtlinien

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

  • Die NS-Variable mit globalem Umfang funktioniert nicht für HTTP/2-Verkehr.

    [ NSHELP-27095 ]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn alle folgenden Bedingungen erfüllt sind.

    • nstrace wird mit einem Filterausdruck aktiviert
    • Die Debug-Auditprotokollierung auf einem externen ADC-Auditserver ist aktiviert
    • Eine AuthentifizierungsRichtlinie mit einem erweiterten Regelausdruck ist konfiguriert

    [NSHELP-26045]

  • Das folgende Problem tritt auf, wenn zwei Richtlinienvariablen mit unterschiedlicher Ablaufzeit konfiguriert sind:

    • Das Löschen des abgelaufenen Werts für die Variable mit der kürzeren Ablaufzeit kann verzögert werden, bis der abgelaufene Wert mit der längeren Ablaufzeit gelöscht wird.

    [NSHELP-25786]

SSL

  • Wenn mehrere SSL-Richtlinien an der Client-Hello-Bindung an einen einzelnen virtuellen Server gebunden sind und eine ALPN- oder SNI-Richtlinie die erste Richtlinienbindung ist, kann die folgende Fehlerbedingung auftreten:

    Wenn der Client keine ALPN- oder SNI-Anfrage sendet, werden die anderen an den virtuellen Server gebundenen Richtlinien nicht ausgewertet.

    [NSSSL-9865]

  • Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Zum Beispiel set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:

    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL-Aktualisierung deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

  • Der Name des CA-Zertifikats, der die CRL ausgestellt hat, wird auf 32 Zeichen gekürzt, obwohl ein Zertifikatsschlüsselname bis zu 64 Zeichen lang sein kann. Dieses Problem tritt auf, weil das CRL-Feld eine Begrenzung von 32 Zeichen hat.

    [NSHELP-26986]

  • Die Citrix ADC-Appliance stürzt beim Neustart ab, wenn Sie den Namen des integrierten Zertifikats (“ns-server-certificate”) in der Konfigurationsdatei ändern.

    [ NSHELP-26858 ]

System

  • Eine Citrix ADC-Appliance sendet möglicherweise ein ungültiges TCP-Paket zusammen mit TCP-Optionen wie SACK-Blöcken, Zeitstempel und MPTCP-Daten-ACK bei MPTCP-Verbindungen.

    [NSHELP-27179]

  • Eine Nichtübereinstimmung in Logstream-Datensätzen wird in der Citrix ADC-Appliance und im Datenlader beobachtet.

    [NSHELP-25796]

  • Eine Citrix ADC-Appliance kann während der Löschkonfiguration fehlschlagen, wenn die folgenden Bedingungen erfüllt sind:

    • Die IP-Adresse eines Dienstes wird geändert, wenn der Dienst an einen virtuellen Server gebunden ist.
    • Derselbe virtuelle Server wird als Collector in einem Analyseprofil verwendet.

    [NSBASE - 11511]

Benutzeroberfläche

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie Cloudbridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der Citrix ADC GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Das Importieren eines Zertifikats in eine Admin-Partition schlägt möglicherweise fälschlicherweise mit der folgenden Meldung fehl:

    FEHLER: Der Benutzer hat keine Berechtigung für den angegebenen Zielpfad

    [NSHELP-26918]

  • In einer Citrix ADC VPX Appliance schlägt ein festgelegter Kapazitätsvorgang möglicherweise nach dem Hinzufügen eines Lizenzservers fehl. Das Problem tritt auf, weil die Initialisierung der Flexera-bezogenen Komponenten aufgrund der großen Anzahl unterstützter Lizenzen für das Ein- und Auschecken vom Typ “Typ” (CICO) länger dauert, um zu initialisieren.

    [ NSHELP-23310 ]

  • Das Hochladen und Hinzufügen einer Zertifikatsperrlistendatei (CRL) schlägt in einer Admin-Partitionseinrichtung fehl.

    [NSHELP-20988]

  • In einem Citrix ADC BLX-Cluster-Setup schlägt der Befehl “Clusterdateien synchronisieren” möglicherweise aufgrund eines internen Fehlers fehl.

    Problemumgehung: Starten Sie den Prozess “nsclfsyncd” neu.

    [NSCONFIG-4968]

  • Wenn eine Citrix ADC BLX-Appliance mit Citrix ADM lizenziert wird, schlägt die Lizenzierung möglicherweise nach dem Upgrade der Appliance auf Version 13.0 Build 83.x fehl.

    Problemumgehung: Aktualisieren Sie zuerst Citrix ADM auf Version 13.0 Build 83.x oder höher, bevor Sie die Citrix ADC BLX-Appliance aktualisieren.

    [NSCONFIG-4834]

  • Wenn Sie eine Citrix ADC-Appliance Version 13.0-71.x auf einen früheren Build herunterstufen, funktionieren einige Nitro-APIs aufgrund der Änderungen der Dateiberechtigung möglicherweise nicht.

    Problemumgehung: Ändern Sie die Berechtigung für “/nsconfig/ns.conf” auf 644.

    [NSCONFIG-4628]

  • Manchmal dauert es lange, bis die Firewall-Signaturen der Anwendung mit Nicht-CCO-Knoten synchronisiert werden. Daher können Befehle, die diese Dateien verwenden, fehlschlagen.

    [NSCONFIG-4330]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

    1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:

      • Build 13.0 52.24
      • Build 12.1 57.18
      • Build 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
    3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

    Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie
    in der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Workaround:

    Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
    • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Versionshinweise für Citrix ADC 13.0-79.64 Release
May 11, 2023
Beitrag von: 
C
May 11, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.