Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Versionshinweise für Citrix ADC 13.0-82.45 Release

July 24, 2023
Beitrag von: 
C

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.0-82.45 bestehen.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.
  • Build 13.0-82.45 und spätere Builds beheben die unter beschriebenen Sicherheitslücken https://support.citrix.com/article/CTX319135.
  • Build 82.45 ersetzt Build 82.42.
  • Dieser Build enthält auch Korrekturen für die folgenden Probleme, die im vorherigen Build der Citrix ADC 13.0-Version aufgetreten sind: NSHELP-28098, NSCONFIG-5621, NSHELP-28341.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.0-82.45 verfügbar sind.

Citrix ADC SDX-Appliance

  • Wenn Sie auf einer Citrix ADC SDX-Appliance die Konfiguration zurücksetzen oder versuchen, das Kennwort wiederherzustellen, müssen Sie sich mit der Seriennummer der Appliance als Kennwort anmelden.

    [ NSSVM-4357 ]

Citrix Web App Firewall

  • Unterstützung für die grammatikbasierte Erkennung von Microsoft SQL (MSSQL)

    Der bestehende grammatikbasierte Mechanismus zur Erkennung von SQL-Injections wurde erweitert, um Microsoft SQL Server-Abfragen für Webanwendungen zu unterstützen.

    [NSWAF-7290]

Sonstiges

  • Unterstützung für SSH-, SFTP- und FTP-Verkehr in expliziten Proxy-Bereitstellungen wurde hinzugefügt. Bisher wurde nur regulärer Webverkehr unterstützt. Der eingehende Verkehr für diese Protokolle wird nun an das Backend überbrückt.

    [NSSWG-1272]

Netzwerke

SSL

  • Neuer Parameter zum Ignorieren schlechter MAC-Einträge in einer DTLS-Sitzung

    Wenn in einer DTLS-Sitzung ein fehlerhafter MAC-Datensatz empfangen wird, beendet die ADC-Appliance derzeit die Sitzung und sendet eine Warnung. Infolgedessen werden VDA-Sitzungen in der Cloud getrennt.

    Dem DTLS-Profil wurde jetzt ein Parameter maxBadMacIgnoreCount hinzugefügt, um diese schlechten Datensätze zu ignorieren. Mit diesem Parameter werden fehlerhafte Datensätze bis zu dem im Parameter festgelegten Wert ignoriert. Die Appliance beendet die Sitzung erst, nachdem das Limit erreicht ist, und sendet eine Warnung.

    Diese Parametereinstellung ist nur wirksam, wenn der Parameter TerminateSession aktiviert ist.

    [ NSSSL-8581 ]

System

  • Unterstützung für das HTTP/3-Protokoll auf virtuellen Servern

    Die Citrix ADC-Appliance unterstützt jetzt das HTTP/3-Protokoll auf virtuellen Servern (nur im Frontend) zum Senden mehrerer Streams von HTTP-Anfragen über eine einzige Verbindung. QUIC ist ein neues Protokoll, das UDP anstelle von TCP als Basistransport verwendet. Das Protokoll implementiert eine zuverlässige Verbindung, über die Sie mehrere HTTP-Anfragen streamen können. QUIC enthält auch TLS als integrierte Komponente und nicht als zusätzliche Layer wie in HTTP/1.1 oder HTTP/2.

    Im Rahmen der HTTP/3-Konfiguration unterstützt die Appliance für HTTP/3-Verkehr die Richtlinienkonfiguration für die folgenden Funktionen.

    • Responder
    • Rewrite
    • HTTP-Komprimierung
    • Integriertes Caching
    • Firewall für Webanwendungen
    • URL-Transformation
    • SSL
    • Frontend-Optimierung
    • AppQoE

    Darüber hinaus werden die folgenden Feature-Richtlinienkonfigurationen nicht unterstützt.

    • Authentifizierungs-, Autorisierungs- und AuditRichtlinie
    • Bot-Verwaltung
    • AppFlow

    Die HTTP/3-Konfiguration unterstützt auch die HTTP/3-Diensterkennung für virtuelle Server, um die Verfügbarkeit eines HTTP/3-Dienstendpunkts mithilfe des HTTP Alternative Services-Mechanismus zu bewerben.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/system/http3-over-quic-protocol.html

    [NSBASE - 11110]

  • PI-Ausdrücke für den Abgleich von gRPC-Protokollpufferfeldern

    Die Citrix ADC-Appliance unterstützt jetzt die folgenden Funktionen in gRPC:

    • Zugriff auf den GrPC-Protokollpuffer. Die beliebigen gRPC-API-Aufrufe stimmen jetzt die Nachrichtenfeldnummer mit den neuen PI-Ausdrücken ab. In der PI-Konfiguration werden die Matches nur mit den Feldnummern und dem API-Pfad durchgeführt.
    • GrPC-Header-Filterung. Die “HttpProfile” -Parameter für gRPC werden jetzt verwendet, um das Standardverhalten des gRPC-Parsens (einschließlich gRPC-PI-Ausdrücken) anzupassen. Die folgenden Parameter gelten für gRPC-PI-Ausdrücke:
      • gRPCLengthDelimitation. Es ist standardmäßig aktiviert und erwartet, dass die Protokollpuffer mit einer längengetrennten Nachricht angezeigt werden.
      • gRPCHoldLimit. Der Standardwert ist 131072. Es ist die maximale Größe der Protokollpuffernachricht in Byte.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/system/grpc/grpc-with-responder-policy-configuration.html%23policy-expressions-for-matching-grpc-protocol-buffer-fields

    [NSBASE - 10458]

Benutzeroberfläche

  • Wenn Sie Ihre Citrix ADC-Appliance auf Softwareversion 13.0 Build 81.6 und höher aktualisieren, funktioniert die CICO 40G-Funktion nicht wie erwartet.

    [NSCONFIG -5621]

Behobene Probleme

Die Probleme, die in Build 13.0-82.45 behoben wurden.

Authentifizierung, Autorisierung und Auditing

  • Die Anmeldung bei Citrix Gateway-Endpunkten mit der vollständigen URL, die im Computerbrowser des Benutzers gespeichert ist, schlägt fehl, wenn für die Endpunktgeräte der RelayStateRule-Ausdruck im Befehl samlAction konfiguriert ist.

    Wenn Sie beispielsweise versuchen, sich mit der als Lesezeichen versehenen vollständigen URL wie https://citrixgateway.com/citrix/storeweb in Ihrem Browser anzumelden und versuchen, sich anzumelden, schlägt die Anmeldung fehl.

    [NSHELP-28098]

  • In einigen Fällen schlägt die Authentifizierung fehl, wenn Citrix ADC in einer aktiven GSLB-Site-Bereitstellung als OAuth IdP konfiguriert ist.

    [NSHELP-27651]

  • In seltenen Fällen kann die EPA-Bewertung fehlschlagen.

    [NSHELP-27333]

  • Die als OAuth-IdP konfigurierte Citrix ADC-Appliance stürzt ab, wenn ein nicht unterstütztes Zertifikat an den Zertifikatsendpunkt der Appliance gebunden ist.

    [NSHELP-27248]

  • Die E-Mail-Validierung schlägt fehl, wenn sie nach der E-Mail-ID-Registrierung als nächster Faktor konfiguriert wird.

    [NSHELP-26905]

  • In seltenen Fällen gibt ein Citrix Gateway-Gerät den Kern aus, wenn es die OAuth-Authentifizierungsmethode für den Zugriff auf das Gerät verwendet.

    [NSHELP-26745]

  • Das Citrix Gateway-Gerät stürzt während der nFactor-Authentifizierung ab, wenn die folgenden Bedingungen erfüllt sind.

    • WebView wird für den Zugriff auf das Citrix Gateway-Gerät verwendet.
    • Blockierungsausdrücke werden in der VPN-Sitzungsrichtlinie konfiguriert.

    [NSHELP-26433]

  • Der Parameter “timeout” für den Befehl emailAction ist veraltet. Der Standardwert für Timeout ist 180 Sekunden.

    [NSHELP-26424]

  • Die Authentifizierung über die Citrix Workspace-App schlägt fehl, wenn Citrix ADC mit SAML-Authentifizierung und RelayStateRule konfiguriert ist. Die browserbasierte Anmeldung ist nicht betroffen.

    [ NSAUTH-10517 ]

Bot-Verwaltung

  • Die Aktionswerte für das Zurücksetzen und Umleiten werden in derselben Signaturdatei beibehalten und nach der automatischen Aktualisierung der Bot-Signatur nicht an die neue Datei weitergegeben.

    [NSBOT-579]

  • HTTP-URL-Informationen fehlen in der Protokollmeldung, die für die IP-Verletzungstypen HOST, GEOLOCATION und SOURCE während der BOT-TPS-Erkennung generiert wurde.

    [NSBOT-575]

  • Das Standard-Bot-Logformat wird geändert, wenn die CEF-Protokollierung (Common Event Format) in den Web App Firewall-Einstellungen aktiviert ist.

    [NSBOT-562]

  • In Bot-Verstoßprotokollen werden die URLs der SSL-Anfrage als “http://” statt als “https://” angezeigt.

    [NSBOT-537]

Citrix ADC SDX-Appliance

  • Auf einer Citrix ADC SDX-Appliance schlägt das automatische Upgrade und die Registrierung mithilfe von “Mastools” im Management Service aufgrund einer fehlenden Python-Modulbibliothek fehl.

    [NSSVM-4697]

  • Die Management Service-Befehlszeile ist defekt und der folgende Fehler wird angezeigt:

    FEHLER: Ungültiges Eigenschaftsfeld

    [ NSSVM-4551 ]

  • Auf einer Citrix ADC SDX-Appliance wird die IP-Adresse (NSIP) einer ADC-Instanz möglicherweise nicht angezeigt, wenn der Burst-Durchsatz für diese Instanz konfiguriert ist.

    [NSHELP-27133]

Citrix Gateway

  • Endbenutzer können die EPA-Scans Bypass und sich mit einem bösartigen Skript bei der Citrix ADC-Appliance anmelden. Abhilfe für die Umgehung der EPA-Gerätezertifikatsrichtlinie wurde hinzugefügt. Der Fix wird unter dem “nsapimgr” -Knob “sslvpn_toggle_devicecert_epa_validate” hinzugefügt, der standardmäßig deaktiviert ist. Endbenutzer müssen diesen Knopf in ADC aktivieren, um die Bypass durch bösartiges Skript zu verhindern.

    [NSHELP-27573]

  • In einigen Fällen schließt das EPA-Plug-In die Verbindung, wenn der EPA-Scan nicht innerhalb der festgelegten Zeit (ca. 25 Sekunden) abgeschlossen wird.

    [NSHELP-27241]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn ForwardSession für ein Back-End-Subnetz konfiguriert ist und auf einen Server im selben Subnetz über den VPN-Tunnel zugegriffen wird.

    [NSHELP-27037]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn ein Multicore-Gerät die Anforderung “/broker URL” empfängt, und zwar aus den folgenden Gründen:

    • Die Anfrage landet auf einem anderen Kern als dem, auf dem die VPN-Sitzung erstellt wurde.
    • Ein neues Authentifizierungs-, Autorisierungs- und Audit-Cookie wird verwendet und eine Dummy-Sitzung wird erstellt.

    [NSHELP-27008]

  • Einige Citrix Gateway-bezogene Protokolldateien werden nicht rotiert, was zu einer erhöhten Protokollgröße führt.

    [NSHELP-26767]

  • Das Citrix Gateway-Gerät zeigt beschädigte Sitzungsrichtliniennamen in den SSLVPN-Protokollen NONHTTP_RESOURCEACCESS_DENIED an.

    [NSHELP-26610]

  • Wenn der Anwendungsname länger als 20 Zeichen ist, wird der Anwendungsname gekürzt angezeigt, wenn eine Verbindung über Citrix Gateway hergestellt wird.

    [NSHELP-26604]

  • Die Citrix Receiver-Download-URL (Datei receiver.exe) wird nach der Authentifizierung nicht heruntergeladen.

    [NSHELP-26600]

  • Das Citrix Gateway-Gerät reagiert möglicherweise nicht mehr, wenn es mit einer IPv6-Adresse konfiguriert ist und das Gateway als Proxy für das Enlightened Data Transport (EDT) -Protokoll verwendet wird.

    [NSHELP-26357]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein FQDN in der Syslog-Aktionskonfiguration verwendet wird.

    In diesem Fall können Sie die IP-Adresse des Syslog-Servers anstelle des FQDN verwenden.

    [NSHELP-26355]

  • Auf der RFWebUI-Client-Erkennungsseite wird die Schaltfläche Installieren anstelle der Schaltfläche Erkennen angezeigt, wenn ein virtueller Content Switching-Server konfiguriert ist.

    [NSHELP-26138]

  • Möglicherweise stellen Sie eine Diskrepanz in der Gesamtzahl der hergestellten TCP-Verbindungen fest, wenn Enlightened Data Transport (EDT) aktiviert ist.

    [NSHELP-25841]

  • Das Starten einer Anwendung von StoreFront über Citrix Gateway schlägt möglicherweise fehl, wenn die von StoreFront generierte ICA-Datei eine Größe von 2048 Byte überschreitet.

    [NSHELP-25838]

  • Die Citrix Gateway-Anmeldeseite wird beim Löschen einer Admin-Partition nicht geladen, sofern sie konfiguriert ist.

    [NSHELP-25538]

  • Die Citrix ADC-Appliance stürzt möglicherweise während einer Abmeldung von Authentifizierungs-, Autorisierungs- und Überwachungssitzungen ab, wenn sich der Benutzer von Citrix Workspace aus anmeldet.

    [NSHELP-23623]

  • Die folgenden Features sind veraltet.

    • WionNS — Websites, die das NetScaler-Webinterface für den Zugriff auf Citrix Virtual Apps and Desktops-Anwendungen verwenden.
    • WebFront — Citrix ADCs WebFront für den Zugriff auf StoreFront.

    Eine Warnung wird angezeigt, wenn Sie Befehle für diese Funktionen ausführen.

    Citrix empfiehlt die Verwendung von StoreFront für die Bereitstellung der Citrix Virtual Apps and Desktops-Anwendungen.

    [CGOP-17707]

Citrix Web App Firewall

  • Der Web App Firewall-Protokollausdruck funktioniert nicht für XML-Sicherheitsprüfungen.

    [NSWAF-7705]

  • In einem Cluster-Setup stürzt der “aslearn” -Prozess gelegentlich auf Knoten ab, die keine Konfigurationskoordinatoren sind.

    [NSWAF-7619]

  • Die von aslearn gelernten Daten werden nicht übersprungen, wenn die gelernten Firewall-Daten der Anwendung Sonderzeichen enthalten.

    [NSWAF-7584]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die IP-Reputationsfunktion aktiviert ist und Richtlinienausdrücke konfiguriert sind.

    [NSHELP-26983]

  • Im Citrix Web App Firewall-Modul werden die DHT-Einträge (Distributed Hash Table) nicht auf dem primären Knoten freigegeben. Dieses Problem tritt auf, wenn Firewall-Sitzungen für Anwendungen ein kürzeres Timeout haben und mit einer höheren Rate erstellt werden.

    [NSHELP-26570]

  • Ein Fehler bei der Speicherzuweisung wird beobachtet, wenn die folgenden Bedingungen erfüllt sind:

    • Für das Web App Firewall-Profil ist die Schließung der Start-URL aktiviert und konfiguriert.
    • HTTP-Antworten, die ständig verarbeitet werden, enthalten Tausende von eindeutigen URLs.

    [NSHELP-26435]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn im System eine große Anzahl von Web App Firewall-Relaxationsregeln vorhanden sind.

    [NSHELP-26074]

  • Einige Anfragen mit Sicherheitsverstößen werden durch die HTML-Cross-Site-Scripting-Sicherheitsprüfung nicht blockiert.

    [NSHELP-24762]

  • Proxy-Einstellungen für die automatische Signaturaktualisierung konfigurieren

    Wenn der ausgehende Datenverkehr über ein Proxy-Gerät (wie Bluecoat oder Squid) erfolgt, können Sie jetzt die Proxy-Einstellungen für die automatischen Signatupdates konfigurieren.

    CLI-Befehl:

    set appfw settings -proxyServer <IP> -proxyPort <port>

    Beispiel:

    Appfw-Einstellungen festlegen -ProxyServer 10.10.10.10 -ProxyPort 8080

    [NSHELP-17494]

Lastausgleich

  • Die vollständige GSLB-Synchronisierung schlägt fehl, wenn die folgenden Bedingungen erfüllt sind:

    • Sie fügen einen GSLB-Dienst mit einem IP-Adressserver hinzu, dessen öffentliche IP-Adresse und öffentlicher Port von einem anderen GSLB-Dienst verwendet werden.
    • Sie führen den Befehl “add gslb service” aus. In diesem Fall schlägt der Befehl fehl, aber der auf der IP-Adresse basierende Server ist immer noch Teil der laufenden GSLB-Konfiguration.

    [NSHELP-26949]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen erfüllt sind:

    • Die Größe des Datenfeldes ist ungerade, z. B. 3, 5, 7, 9 usw.
    • Die lokale Variable der statischen Funktion wird nicht auf Null gesetzt, bevor sie für eine Sitzungs-ID verwendet wird.

    [NSHELP-26312]

  • In seltenen Fällen kann die Citrix ADC-Appliance bei der Verarbeitung einfacher ACK-Pakete, die von einer GSLB-Remote-Site empfangen werden, abstürzen.

    [NSHELP-25886]

Sonstiges

  • Auf einer Citrix ADC SDX-Appliance tritt auf einer oder mehreren VPX-Instanzen ein Fehler beim Aufbau einer neuen SSL-Sitzung auf der Grundlage von RSA auf, wenn die folgenden Bedingungen erfüllt sind:

    • Auf den VPX-Instanzen wird die ADC-Softwareversion 12.x oder 13.0 ausgeführt.
    • Der Management Service wurde auf die ADC-Softwareversion 13.0 aktualisiert.

    [SDX-486]

  • In einem Cluster-Setup treten die folgenden Probleme auf, nachdem ein Clusterknoten, für den ein LA-Kanal als Backplane festgelegt ist, neu gestartet oder auf Version 13.0 Build 82.42 aktualisiert wurde:

    • Die LA-Kanalkonfiguration geht verloren, wodurch der Knoten inaktiv wird, wenn der Kanal mit LACP erstellt wurde und eine Jumbo-MTU für den Kanal eingestellt wurde.
    • Die MTU-Konfiguration des LA-Kanals geht verloren, was dazu führt, dass der Knoten Pakete in voller Größe verwirft, wenn für den Kanal eine MTU eingestellt wurde, die keine Jumbo-MTU ist.

    [NSHELP-28341]

  • HTTP-URLs werden von der Responder-Richtlinie im Rahmen des URLSet-Matching-Prozesses nicht erkannt.

    [NSHELP-27504]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn sie versucht, während der Inhaltsüberprüfung eine nicht zugewiesene Struktur zu dereferenzieren. Der Absturz tritt auf, weil die Speicherzuweisung für diese Ressource/Struktur fehlgeschlagen ist.

    [NSHELP-27358]

  • Eine Citrix ADC-Appliance stürzt möglicherweise aufgrund eines Nullpunktfehlers ab.

    [NSHELP-27021]

  • Eine Citrix ADC-Appliance kann abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Änderung des anforderungsbasierten Richtlinienausdrucks, bevor die Antwort eingeht.
    • Content Inspection kümmert sich nicht um den Unterfall.

    [NSHELP-26980]

Netzwerke

  • Wenn Sie Citrix ADC CPX mit Citrix Metrics Exporter als Nebenfahrzeug in einem Kubernetes-Cluster bereitstellen, muss die METRICS_EXPORTER_PORT=<port-number> environment Variable verfügbar gemacht werden. Die Portnummer sollte dieselbe Portnummer sein, die für das Argument “–port” des Metrics Exporters angegeben wurde.

    [NSNET-21213]

  • In einem CGNAT-NAT44-Modus kann die Citrix ADC-Appliance beim Empfang von SIP-Verkehr aus dem folgenden Grund abstürzen:

    • Das LSN-Modul setzt die Anzahl der gepaarten IP-Referenzen von Abonnenten nicht auf Null zurück, während die abonnentenbezogenen Daten von der Appliance entfernt werden.

    [NSHELP-27332]

  • In einer Citrix ADC-Appliance ist der neighbor <IPv6 neighbor> shutdown BGP-Befehl nicht wirksam, wenn der Nachbar Teil der Peer-Group ist.

    Aufgrund dieses Problems befindet sich jeder IPv6-BGP-Nachbar, der mit dem neighbor <IPv6 neighbor> shutdown Befehl heruntergefahren wurde, nach dem Neustart oder Upgrade der Appliance im Status UP.

    [NSHELP-26957]

  • Beide Knoten eines Hochverfügbarkeits-Setups geben an, der primäre Knoten zu sein, wenn die folgende Bedingung erfüllt ist:

    • Keine der Schnittstellen befindet sich innerhalb von 3 Sekunden nach dem Warmstart des Primärknotens im Status UP. Dieses Problem wird verursacht, weil für ein internes HA-INIT-Modul keine Switch-Lernzeit festgelegt ist.

    [NSHELP-26288]

  • In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten nach einem Neustart abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Eine große Anzahl aktiver LSN-Sitzungen ist im primären Knoten vorhanden.
    • Der Pitboss-Prozess startet die Paket-Engines neu, wenn eine große Anzahl von LSN-Sitzungen im sekundären Knoten synchronisiert wird.

    [NSHELP-26257]

Plattform

  • Der Verwaltungszugriff auf die Citrix ADC VPX-Instanz geht verloren, wenn Sie Citrix ADC VPX for AWS auf Instanztypen mit Elastic Network Adapter (ENA) -NIC ausführen, die im Warmbetrieb neu gestartet wurde.

    [NSPLAT-20296]

  • Auf der Citrix ADC SDX 8900-Plattform wird die LOM-Version von 4,5x auf 4.61 aktualisiert. Auf den Plattformen Citrix ADC SDX 15000 und SDX 26000 wird die LOM-Version von 5.03 auf 5.56 aktualisiert. Nach dem Upgrade wird das Standardkennwort der LOM für neu hergestellte Plattformen auf die Seriennummer der Appliance zurückgesetzt. Dieses Upgrade behebt die beschriebene Sicherheitsanfälligkeit CVE-2013-4786. Weitere Informationen finden Sie unter [https://support.citrix.com/article/CTX234367](https://support.citrix.com/article/CTX234367).

    [NSPLAT-19327]

  • Auf der Citrix ADC MPX 14000 FIPS-Plattform mit gepoolter Kapazitätslizenzierung sind die ECC-Leistungszahlen niedriger als die veröffentlichten Zahlen, wenn der Hybrid-ECC-Modus aktiviert ist.

    [NSHELP-27482]

  • Wenn Sie die Prüfsumme des von Citrix bereitgestellten Kernels ändern und anschließend den Kernel installieren, tritt möglicherweise eines der folgenden Probleme auf:

    • Der Befehl installns wird abgeschlossen. Nach dem Neustart der Appliance meldet sie, dass die Kernelinstallation nicht abgeschlossen werden konnte, und der Startvorgang wird angehalten. Sie müssen dann einen anderen Kernel laden, um die Box aufzurufen.
    • Der Befehl installns erkennt die Nichtübereinstimmung und stoppt die Installation. Es wird eine Fehlermeldung angezeigt.

    [NSHELP-27420]

  • Wenn Sie beim Neustart der Citrix ADC VPX-Instanz für AWS statische Routen zu DNS-Servern hinzufügen, indem Sie ein anderes Gateway als das Standard-Gateway verwenden, treten die folgenden Ereignisse auf:

    • Die statischen Routen, die den DNS-Servern hinzugefügt wurden, werden entfernt.
    • Neue statische Routen werden mithilfe des Standard-Gateways hinzugefügt.

    [NSHELP-27116]

  • Wenn Sie die Clusterknoten auf Rendite einstellen möchten, müssen Sie die folgenden zusätzlichen Konfigurationen auf CCO durchführen:

    • Wenn ein Cluster gebildet wird, werden alle Knoten mit Yield=DEFAULT angezeigt.
    • Wenn ein Cluster mit den Knoten gebildet wird, die bereits auf Yield=YES gesetzt sind, werden die Knoten mit DEFAULT Yield zum Cluster hinzugefügt.

    Hinweis: Wenn Sie die Clusterknoten auf Yield=yes setzen möchten, können Sie geeignete Konfigurationen erst nach der Bildung des Clusters durchführen, nicht jedoch vor der Bildung des Clusters.

    [NSHELP-27091]

  • Auf der Citrix ADC SDX-Plattform kann der Clusterstatus unterbrochen werden, wenn ein Knoten einem Cluster beitritt. Das Flattern tritt auf, wenn ein impliziter Reset der Schnittstelle ausgelöst wird, der sich auf den Zustand des Clusters auswirkt.

    [NSHELP-27081]

Richtlinien

  • Eine Citrix ADC-Appliance kann abstürzen, wenn der MATCHES () -Ausdruck im nicht TCP-basierten Protokoll verwendet wird.

    [NSHELP-26062]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn alle folgenden Bedingungen erfüllt sind.

    • nstrace wird mit einem Filterausdruck aktiviert
    • Die Debug-Auditprotokollierung auf einem externen ADC-Auditserver ist aktiviert
    • Eine AuthentifizierungsRichtlinie mit einem erweiterten Regelausdruck ist konfiguriert

    [NSHELP-26045]

  • Das folgende Problem tritt auf, wenn zwei Richtlinienvariablen mit unterschiedlicher Ablaufzeit konfiguriert sind:

    • Das Löschen des abgelaufenen Werts für die Variable mit der kürzeren Ablaufzeit kann verzögert werden, bis der abgelaufene Wert mit der längeren Ablaufzeit gelöscht wird.

    [NSHELP-25786]

SSL

  • Wenn mehrere SSL-Richtlinien an der Client-Hello-Bindung an einen einzelnen virtuellen Server gebunden sind und eine ALPN- oder SNI-Richtlinie die erste Richtlinienbindung ist, kann die folgende Fehlerbedingung auftreten:

    Wenn der Client keine ALPN- oder SNI-Anfrage sendet, werden die anderen an den virtuellen Server gebundenen Richtlinien nicht ausgewertet.

    [NSSSL-9865]

  • SSL-Zähler, die in der Ausgabe des Befehls “stat ssl” angezeigt werden, werden nicht gelöscht.

    [NSHELP-20966]

System

  • Eine Citrix ADC-Appliance schließt eine Serververbindung ungefähr 40 Millisekunden nach dem Schließen der Clientverbindung, wobei das Verbindungsmultiplexing deaktiviert ist.

    [NSHELP-26968]

  • Eine erweiterte Round-Trip-Messung (RTT) könnte zu einer Verlangsamung der 5G-Bereitstellung führen. Das Problem tritt auf, wenn die Warteschlangenverzögerung, die durch die Stimulationsschicht bei einer RTT-Messung verursacht wird, mit einberechnet wird.

    [NSHELP-26755]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn sie in einer bereits geschlossenen MPTCP-Sitzung ein teilweise bestätigter MPTCP-MP-FAIL-Signal empfängt. Der Absturz gilt für virtuelle Server, auf denen MPTCP im TCP-Profil aktiviert ist.

    [NSHELP-26594]

  • Wenn die Citrix ADC-Appliance nicht unterstützte TCP-Optionen mit der NOOP-Option neu schreibt, lehnen einige IoT- oder eingebettete Geräte möglicherweise TCP-Verbindungen von der Appliance ab.

    [NSHELP-25767]

  • Eine Citrix ADC-Appliance kann während der Löschkonfiguration fehlschlagen, wenn die folgenden Bedingungen erfüllt sind:

    • Die IP-Adresse eines Dienstes wird geändert, wenn der Dienst an einen virtuellen Server gebunden ist.
    • Derselbe virtuelle Server wird als Collector in einem Analyseprofil verwendet.

    [NSBASE - 11511]

Benutzeroberfläche

  • Die standardmäßigen Kompressionsrichtlinienbindungen auf HTTP-Ebene schlagen nach der Konfiguration des HTTP_QUIC-Protokolls fehl.

    [NSUI-17729]

  • Die Frontend-Optimierungskonfiguration (FEO) auf der Citrix ADC GUI unterstützt HTTP/3 über QUIC-Verkehr nicht. Die Konfiguration funktioniert jedoch auf der Citrix ADC-Befehlsschnittstelle einwandfrei.

    [NSUI-17616]

  • In einem Hochverfügbarkeits-Setup können Konfigurationen mit mehreren Kennwörtern auf dem sekundären Knoten während einer Hochverfügbarkeitssynchronisierung aus dem folgenden Grund fehlschlagen:

    Wenn eines der Passwörter in der Sequenz übersprungen wird, schlägt die nachfolgende Kennwort-Entschlüsselung auf dem sekundären Knoten fehl. Die Entschlüsselung schlägt fehl, weil sie nach dem lokalen KEK des Primärknotens sucht, der im sekundären Knoten nicht vorhanden ist.

    [NSHELP-27797]

  • Bei der GSLB-Konfigurationssynchronisierung können Befehle mit langen Benutzerkennungen (UIDs) möglicherweise nicht synchronisiert werden.

    [NSHELP-27328]

  • In einem Hochverfügbarkeits-Setup kann die HA-Propagierung fehlschlagen, wenn alle der folgenden Bedingungen erfüllt sind:

    • Die Option Zertifikat validieren (validatecert) des RPC-Knotens ist auf JA und dann auf NEIN gesetzt.
    • CA-Zertifikat ist nicht konfiguriert

    [NSHELP-27315]

  • Die inkrementelle GSLB-Synchronisierung schlägt fehl, wenn Sie den Befehl “enable gslb servicegroup” oder “disable gslb servicegroup” ausführen. Infolgedessen wird die vollständige GSLB-Konfigurationssynchronisierung initiiert.

    [NSHELP-27079]

  • Das Importieren eines Zertifikats in eine Admin-Partition schlägt möglicherweise fälschlicherweise mit der folgenden Meldung fehl:

    FEHLER: Der Benutzer hat keine Berechtigung für den angegebenen Zielpfad

    [NSHELP-26918]

  • In einem Citrix ADC BLX-Cluster-Setup schlägt der Befehl “Clusterdateien synchronisieren” möglicherweise aufgrund eines internen Fehlers fehl.

    [NSCONFIG-4968]

Videooptimierung

  • Eine Citrix ADC-Appliance kann abstürzen, wenn alle folgenden Bedingungen erfüllt sind:

    • Die GX-Schnittstelle ist konfiguriert.
    • Die GX-Sitzungsberichterstattung ist konfiguriert.
    • Der Befehl “clear subscriber sessions” wird ausgelöst, wenn der Empfang einer CCA-Nachricht vom GX-Server aussteht.

    [NSHELP-27474]

Bekannte Probleme

Die Probleme, die in Version 13.0-82.45 bestehen.

Authentifizierung, Autorisierung und Auditing

  • Wenn Sie einen LDAP-Monitor an einen Dienst binden, fällt der Monitor aus, da die Citrix ADC-Appliance ein falsches Kennwort an das Active Directory sendet.

    [ NSHELP-27961 ]

  • In einem AD mit mehreren Kaskaden wird ein Konto für einen Benutzer nicht gesperrt, wenn ein Benutzer in der letzten Kaskade nicht gefunden wurde.

    [ NSHELP-27948 ]

  • Wenn eine Citrix ADC-Appliance für die SAML-Authentifizierung konfiguriert ist, gibt die Appliance den Kern ab, wenn ein anderes Zertifikat als RSA verwendet wird.

    [ NSHELP-27813 ]

  • SameSite-Cookie-Attribute werden den Authentifizierungscookies nicht hinzugefügt, wenn eine Citrix ADC-Appliance für 401-basierte Authentifizierung konfiguriert ist.

    [NSHELP-27764]

  • Das Web App Firewall-Profil funktioniert aufgrund eines SQLite-Abhängigkeitsfehlers in Citrix ADC Version 13.0 Build 67.x und höher nicht wie erwartet.

    [NSHELP-27458]

  • In einigen Fällen wird eine HTTP-POST-Anfrage an einen virtuellen Authentifizierungs-, Autorisierungs- und Auditing-TM-Server falsch verarbeitet, wenn die Anfrage kein Authentifizierungs-Cookie enthält. Der POST-Körper geht bei der Verarbeitung verloren.

    [ NSHELP-27227 ]

  • Ein falscher SSO-Domänenname wird für angemeldeten Benutzer ausgefüllt, wenn im Ausdruck Authentifizierung, Autorisierung und Überwachung.USER.DOMAIN verwendet wird.

    [NSHELP-26443]

  • In bestimmten Szenarien schlägt der Befehl Authentifizierung, Autorisierung und Überwachung binden möglicherweise fehl, wenn der Richtlinienname länger als der Name der Intranetanwendung ist.

    [NSHELP-25971]

  • Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

    [ NSHELP-563 ]

  • Die Überprüfung der Netzwerkkonnektivität schlägt aufgrund eines Problems bei der Kennwortentschlüsselung fehl. Die Authentifizierungsfunktion funktioniert jedoch einwandfrei.

    [ NSAUTH-10216 ]

  • Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

    [ NSAUTH-6106 ]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

    [ NSAUTH-5916 ]

Zwischenspeichern

  • Eine zusätzliche Header-Information wird in der Cache-Antwort gesendet, wenn der Parameter ‘insertAge’ im Befehl ‘set cache ContentGroup’ aktiviert ist.

    [ NSHELP-27772 ]

  • Eine Citrix ADC-Appliance könnte abstürzen, wenn die Parameterwerte “Max_Age” und “s_maxage” im Cache-Kontrollblock nicht dynamisch gesetzt werden.

    [NSHELP-27758]

  • In einem Hochverfügbarkeits-Setup stürzt der primäre Knoten ab, nachdem er auf einen NULL-Zeiger anstelle eines zwischengespeicherten Objekts zugegriffen hat.

    [ NSHELP-26967 ]

  • Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

    [NSHELP-22942]

Citrix ADC SDX-Appliance

  • Wenn auf einer Citrix ADC SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

    [ NSSVM-4333 ]

  • Auf einer Citrix ADC SDX-Appliance wird der Standardwert für das Auslösen des Alarms bei “Hypervisor Disk Usage High” auf 98% erhöht.

    [NSHELP-27854]

  • Auf einer Citrix ADC SDX-Appliance meldet der Verwaltungsdienst möglicherweise eine hohe Speicherauslastung von etwa 80% aufgrund erhöhter Jobs und Scheduler, die im Inventar ausgeführt werden.

    [ NSHELP-27805 ]

  • Auf einer Citrix ADC SDX-Appliance wird eine Schnittstelle, die Teil eines Verwaltungskanals ist, zusammen mit dem Verwaltungskanal angezeigt, wenn die folgende Reihenfolge von Bedingungen erfüllt ist:

    1. Die VPX-Instanz ist Teil eines Clusters.
    2. Der Managementkanal wird geschaffen.

    [NSHELP-27487]

  • Auf einer Citrix ADC SDX-Appliance meldet der Verwaltungsdienst möglicherweise eine hohe Speicherauslastung von etwa 80% aufgrund erhöhter Jobs und Scheduler, die im Inventar ausgeführt werden.

    [ NSHELP-27396 ]

Citrix Gateway

  • Die Citrix ADC-Appliance stürzt während der Verarbeitung des eingehenden Encapsulating Security Payload (ESP) -Datenverkehrs ab und die Sicherheitszuordnung (SA) wurde nicht gefunden.

    [NSHELP-27991]

  • Wenn während der Anmeldung aufgrund eines Netzwerkfehlers ein JavaScript-Fehler auftritt, schlagen nachfolgende Anmeldeversuche mit demselben JavaScript-Fehler fehl.

    [NSHELP-27912]

  • Nach dem Tunnelaufbau fügt das Windows-Plug-In die Routen mit der Standard-Gateway-Adresse hinzu, anstatt DNS-Serverrouten mit der vorherigen Gateway-IP-Adresse hinzuzufügen.

    [NSHELP-27850]

  • In seltenen Fällen zeigt die Citrix Gateway-Portalseite nicht die Download-Schaltfläche für das EPA-Plug-in im Internet Explorer-Browser an.

    [NSHELP-27849]

  • Beim Zugriff auf das Citrix Gateway-Gerät mithilfe des clientlosen VPN wird möglicherweise Core-Dump generiert.

    [ NSHELP-27653 ]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn Async blockiert ist und Sie die Richtlinienkonfiguration für den Content Switching ändern.

    [NSHELP-27570]

  • Eine Citrix ADC-Appliance kann während der Verarbeitung des UDP-Verkehrs abstürzen.

    [NSHELP-27536]

  • Die persönliche Lesezeichendatei der Benutzer kann nicht von einem Citrix Gateway-Gerät auf ein anderes Gerät kopiert werden.

    [NSHELP-27389]

  • Die Citrix Gateway-Appliance wird aufgrund der Überflutung von SSL-VPN-Protokollmeldungen in der lokalen Datei ns.log unerwartet neu gestartet, wenn Gateway Insight aktiviert ist.

    [NSHELP-27040]

  • Die Citrix ADC-Protokolle werden möglicherweise mit der Protokollmeldung “GWInsight: func=NS_SSLVPN_Send_App_Launch_Fail_Record Appflow-Richtlinienauswertung ist fehlgeschlagen” überflutet, wenn Gateway Insight aktiviert ist.

    [ NSHELP-26750 ]

  • Die Citrix Gateway-GUI zeigt beim Bearbeiten eines VPN-Sitzungsprofils die Meldung “Ungültige IP oder Port” an.

    [NSHELP-26722]

  • Wenn Sie den FQDN als Proxy auf der Seite “Citrix Gateway-Verkehrsprofil erstellen” eingeben, wird die Meldung “Ungültiger Proxywert” angezeigt.

    [ NSHELP-26613 ]

  • Das VPN-Plug-In für Windows zeigt falsche Informationen auf dem Windows-Anmeldeinformationsbildschirm an, wenn sich das Netzwerk ändert.

    [NSHELP-26562]

  • Die Citrix ADC-Appliance stürzt ab, wenn eine der folgenden Bedingungen eintritt:

    • Die Syslog-Aktion wird mit dem Domänennamen konfiguriert und Sie löschen die Konfiguration über die GUI oder der CLI.
    • Die Hochverfügbarkeitssynchronisierung erfolgt auf dem sekundären Knoten.

    Workaround:

    Erstellen Sie eine Syslog-Aktion mit der IP-Adresse des Syslog-Servers anstelle des Domänennamens des Syslog-Servers.

    [ NSHELP-25944 ]

  • Beim Erstellen eines RDP-Clientprofils über die Citrix ADC GUI wird eine Fehlermeldung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

    • Ein standardmäßiger Pre-Shared Key (PSK) ist konfiguriert.
    • Sie versuchen, den Gültigkeitszeitgeber für RDP-Cookies im Feld RDP-Cookie-Gültigkeit (Sekunden) zu ändern.

    [ NSHELP-25694 ]

  • Das Windows VPN-Gateway-Plug-In kann IPv6-DNS-Pakete nicht löschen, was zu Problemen mit der DNS-Auflösung führt.

    [NSHELP-25684]

  • Die SNMP-OID sendet falsche aktuelle Verbindungen an den virtuellen VPN-Server.

    [ NSHELP-25596 ]

  • Die Citric ADC-Appliance stürzt ab, wenn mehrere VPN-Plug-In-Clients X.509-Zertifikate mit einer Größe von 1800 Byte oder mehr verwenden, um einen Tunnel einzurichten.

    [ NSHELP-25195 ]

  • Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

    [ NSHELP-23937 ]

  • Die Befehlsausgabe “show tunnel global” enthält erweiterte Richtliniennamen. Zuvor wurden in der Ausgabe die erweiterten Richtliniennamen nicht angezeigt.

    Beispiel:

    Neue Ausgabe:

    
 > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0

 Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
 Priority: 1  
 Global bindpoint: REQ_DEFAULT

 Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
 Priority: 100  
 Global bindpoint: RES_DEFAULT  
 Done  
 >
 <!--NeedCopy-->

    Vorherige Ausgabe:

    
 > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

 Advanced Policies:

 Global bindpoint: REQ_DEFAULT  
 Number of bound policies: 1

 Done
 <!--NeedCopy-->

    [ NSHELP-23496 ]

  • Die ICA-Latenz einer Sitzung wird fälschlicherweise als 64.000 ms im Citrix Director aufgezeichnet, wenn die L7-Latenz aktiviert ist. Die L7-Latenz ist aktiviert, wenn der “nsapimgr” -Knopf “enable_ica_l7_latency” auf 1 gesetzt ist.

    Problemumgehung: Stellen Sie die L7-Latenzfrequenz mithilfe der CLI oder der GUI auf 5 ein.

    [ NSHELP-23459 ]

  • Wenn Sie die RADIUS-Kontoführung für das ICA-Start-/Stoppereignis konfiguriert haben, wird die Sitzungs-ID in der RADIUS-Kontoführungsanforderung für den ICA-Start ausschließlich als Nullen angezeigt.

    [ NSHELP-22576 ]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Cannot read property ‘type’ of undefined”.

    [ NSHELP-21897 ]

  • Die Ausgabe “Auditmeldungen anzeigen” zeigt nicht die neuesten Protokolle an, wenn Sie den Syslog-Server in den globalen Syslog-Parametern ändern.

    [NSHELP-19430]

Citrix Web App Firewall

  • In einem Citrix ADC-Clustersetup stürzt einer der Knoten ab, wenn ein oder mehrere Knoten von Citrix ADC Version 12.0, 12.1 oder 13.0 Build 52.x oder früheren Builds aktualisiert werden. Der Absturz tritt aufgrund einer Inkompatibilität im Cookie-Format und der Größe des Web App Firewall auf.

    [NSWAF-7689]

  • Das Lernmodul von Citrix Web App Firewall lernt die Feldformat-Regeln nur, wenn ein Verstoß festgestellt wird.

    [NSWAF-7677]

  • Die Cookie-Hijacking-Funktion unterstützt den Internet Explorer (IE) -Browser nur eingeschränkt, da IE-Browser die SSL-Verbindungen nicht wiederverwenden. Aufgrund der Einschränkung werden mehrere Umleitungen für eine Anfrage gesendet, was letztendlich zu einem Fehler “MAX REDIRECTS EXCEDED” im IE-Browser führt.

    [ NSHELP-27193 ]

  • Nach einem Upgrade auf Citrix ADC Version 13.0 Build 76.29 und aktivierter Funktion zum Hochladen von Dateien auf der Appliance wird das folgende Problem beobachtet:

    • SQL- und XSS-Schutzprüfungen blockieren den Datei-Upload-Prozess für alle Webanwendungen.

    [ NSHELP-27140 ]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

    [ NSLB-7679 ]

  • In einem GSLB-Setup wird der Status der Remote-Dienste nicht aktualisiert, nachdem die Statistiken auf der GSLB-Site gelöscht wurden. Löschen Sie als Problemumgehung die Statistiken erneut auf derselben GSLB-Site. Der Status der Remote-Dienste wird dann aktualisiert.

    [ NSHELP-28169 ]

  • Der CookieTimeout-Wert wird während des GET-Vorgangs falsch festgelegt, was zum Fehlschlagen des Aktualisierungsvorgangs des virtuellen CS-Servers führt.

    [NSHELP-27979]

  • In einigen Fällen kann eine Citrix ADC-Appliance abstürzen, wenn der Befehl show running configuration ausgegeben wird.

    [NSHELP-27815]

  • Wenn in einem Cluster-Setup ein oder mehrere Knoten in den Status “DOWN” wechseln, kann der Backup-Knoten der Clusterknotengruppe möglicherweise nicht beitreten. Dieser Fehler führt dazu, dass einige Citrix ADC-Funktionen ausfallen.

    [NSHELP-27664]

  • Eine Citrix ADC-Appliance fügt möglicherweise keine geeignete Paketkennung in die Antworten ein, wenn Pipeline-Radius-Anforderungen empfangen werden. Aufgrund dieses Problems erhält der Kunde eine ungültige Antwort.

    [NSHELP-27391]

  • In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Die Menge an physischem Speicher auf beiden Knoten unterscheidet sich voneinander.
    • Die Datensitzungen werden nicht ordnungsgemäß synchronisiert.

    Problemumgehung:
    Behalten Sie die gleiche Menge und mindestens 4 GB physischen Speicher auf beiden HA-Knoten.

    [ NSHELP-26503 ]

  • In einem Cluster-Setup wird die IP-Adresse des GSLB-Dienstes nicht in der GUI angezeigt, wenn über virtuelle GSLB-Serverbindungen zugegriffen wird. Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

    [ NSHELP-20406 ]

Netzwerke

  • Nachdem eine Citrix ADC BLX-Appliance auf Version 13.1 Build 4.x aktualisiert wurde, blockiert die Webanwendungsfirewall möglicherweise fälschlicherweise eine Anforderung, die keinen Inhaltstyp-Header hat.

    Problemumgehung: Führen Sie die folgenden Befehle in der Citrix ADC BLX CLI aus:

    • “add appfw JSONContentType “^application/json$” -isRegex REGEX”
    • “add appfw UrlencodedFormContentType “application/x-www-form-urlencoded” -isRegex NOTREGEX”
    • “add appfw UrlencodedFormContentType “application/x-www-form-urlencoded.*” -isRegex REGEX”
    • “add appfw MultipartFormContentType “multipart/form-data” -isRegex NOTREGEX”
    • “add appfw MultipartFormContentType “multipart/form-data.*” -isRegex REGEX”
    • “add appfw XMLContentType “.*/xml” -isRegex REGEX”
    • “add appfw XMLContentType “./.+xml” -isRegex REGEX”
    • “add appfw XMLContentType “./xml-.” -isRegex REGEX”

    [NSNET-21415]

  • In einer Citrix ADC BLX-Appliance funktioniert NSVLAN, das an markierte Nicht-DPDK-Schnittstellen gebunden ist, möglicherweise nicht wie erwartet. NSVLAN, das an ungetaggte Nicht-DPDK-Schnittstellen gebunden ist, funktioniert einwandfrei.

    [NSNET-18586]

  • Nach einem Upgrade von Citrix ADC BLX Appliance 13.0 61.x Build auf 13.0 64.x Build gehen die Einstellungen in der BLX-Konfigurationsdatei verloren. Die BLX-Konfigurationsdatei wird dann auf die Standardeinstellungen zurückgesetzt.

    [NSNET-17625]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Smartcard
    • Reset

    [NSNET-16559]

  • Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine Citrix ADC BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (“/etc/blx/blx.conf”) immer im Shared-Modus bereitgestellt. Dieses Problem tritt auf, weil “mawk”, das auf Debian-basierten Linux-Systemen standardmäßig vorhanden ist, einige der in der Datei “blx.conf” enthaltenen awk-Befehle nicht ausführt.

    Problemumgehung: Installieren Sie “gawk”, bevor Sie eine Citrix ADC BLX-Appliance installieren. Sie können den folgenden Befehl in der Linux-Host-CLI ausführen, um “gawk” zu installieren:

    • apt-get install gawk

    [NSNET-14603]

  • Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

    “The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable”

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

    • dpkg — Architektur hinzufügen i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • In einer Citrix ADC-Appliance verwendet die interne Treiberschicht möglicherweise einen falschen Datenpuffer, was zu einer Datenbeschädigung führt, was wiederum zum Absturz der Appliance führt.

    [ NSHELP-27858 ]

  • Die Citrix ADC VPX-Instanz kann abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Es ist eine hohe Anzahl von FTP-Datenverbindungen vorhanden.
    • Ein Failover findet auf der Citrix ADC-Appliance statt.
    • Eine client- oder serverseitige NATPCB-Verbindung wird gelöscht.

    [NSHELP-27816]

  • Behobenes Problem:

    Citrix ADC CPX, das als Beiwagen bereitgestellt und mit mehreren Netzwerken verbunden war, konnte nicht die richtige Quell-IP-Adresse für das Zielsubnetz auswählen.

    [ NSHELP-27810 ]

  • In einem Hochverfügbarkeits-Setup schlägt die HA-Synchronisierung für WAF-Profil- und Standortdateikonfigurationen möglicherweise fehl.

    [ NSHELP-27546 ]

  • In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

    • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

    Problemumgehung: Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Status “Synchronisierung erfolgreich”).

    [ NSHELP-25598 ]

Plattform

  • Die Citrix ADC-Appliance generiert Falschpakete pro Sekunde (PPS) Ratenbegrenzungswarnungen, noch bevor die Citrix ADC-Appliance ihr PPS-Limit für die Lizenz erreicht.

    [ NSHELP-26935 ]

Richtlinien

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

SSL

  • Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Zum Beispiel set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:

    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL-Aktualisierung deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

  • In einem Hochverfügbarkeits-Setup schlägt die automatische CRL-Aktualisierung zeitweise fehl, wenn beide der folgenden Bedingungen erfüllt sind:

    • Dateien werden vom primären Knoten zum sekundären Knoten synchronisiert.
    • Die CRL-Datei wird gleichzeitig vom CRL-Server heruntergeladen.

    [ NSHELP-27435 ]

  • Der Name des CA-Zertifikats, der die CRL ausgestellt hat, wird auf 32 Zeichen gekürzt, obwohl ein Zertifikatsschlüsselname bis zu 64 Zeichen lang sein kann. Dieses Problem tritt auf, weil das CRL-Feld eine Begrenzung von 32 Zeichen hat.

    [NSHELP-26986]

System

  • Wenn die empfangene Headergröße größer als die maximale Größe der Kopfzeilentabelle ist, setzt die Appliance die Tabellengröße auf Null zurück. Infolgedessen schlagen HTTP2-Anfragen nach einigen Anfragen fehl.

    Problemumgehung: Konfigurieren Sie die Größe der Kopfzeilentabelle so, dass sie größer oder gleich der maximalen Kopfzeilengröße ist.

    [NSHELP-27977]

  • Wenn ADM ausstehende Transaktionen in der Warteschlange hat, meldet es zufällig eine kritische Warnung für eine hohe Speichernutzung.

    [NSHELP-27913]

  • Eine Citrix ADC-Appliance kann mit einer ICAP OPTIONS-Antwort abstürzen. Das Problem tritt auf, wenn der erlaubte Header-Wert einen anderen Wert als 204 enthält.

    [ NSHELP-27879 ]

  • Im AppFlow stimmt die Anzahl der Layer 4-Byte für Flow-Datensätze nicht mit den virtuellen HTTP-Server-Transaktionen überein. Der Zählwert ist niedriger als der Wert für die Byteanzahl des virtuellen Layer 7-Servers.

    [ NSHELP-27495 ]

  • Der Zähler TcpCurClientConn zeigt einen großen Wert an, wenn die Citrix ADC-Appliance im Citrix ADM registriert ist.

    [ NSHELP-27463 ]

  • Erhöhte Neuübertragungen von Paketen sind in öffentlichen Cloud-MPTCP-Cluster-Bereitstellungen zu beobachten, wenn Linkset deaktiviert ist.

    [NSHELP-27410]

  • Eine Citrix ADC-Appliance sendet möglicherweise ein ungültiges TCP-Paket zusammen mit TCP-Optionen wie SACK-Blöcken, Zeitstempel und MPTCP-Daten-ACK bei MPTCP-Verbindungen.

    [NSHELP-27179]

  • Eine Nichtübereinstimmung in Logstream-Datensätzen wird in der Citrix ADC-Appliance und im Datenlader beobachtet.

    [NSHELP-25796]

Benutzeroberfläche

  • In der GUI des KomprimierungsRichtlinien-Managers kann eine KomprimierungsRichtlinie nicht an ein HTTP-Protokoll gebunden werden, indem ein relevanter Verbindungspunkt und Verbindungstyp angegeben wird.

    [NSUI-17682]

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie Cloudbridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der Citrix ADC GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Es kann zu einem Konfigurationsverlust kommen, wenn eine mit KEK konfigurierte VPX-Instanz auf AWS auf Citrix ADC Version 13.0 Build 76.x oder höher aktualisiert wird. Alle vertraulichen Daten, die mit KEK verschlüsselt wurden, schlagen fehl, wenn die Konfiguration nach einem Neustart geladen wird.

    [ NSHELP-28010 ]

  • Nach dem Upgrade eines Hochverfügbarkeitssetups oder eines Cluster-Setups auf Version 13.0 Build 74.14 oder höher schlägt die Konfigurationssynchronisierung möglicherweise aus folgendem Grund fehl:

    • Sowohl die privaten als auch die öffentlichen Schlüssel “ssh_host_rsa_key” sind ein falsches Paar.

    Problemumgehung: Generieren Sie “ssh_host_rsa_key” neu. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX322863.

    [NSHELP-27834]

  • Ein zusätzlicher umgekehrter Schrägstrich wird fälschlicherweise eingeführt, wenn in einigen SSL-Befehlen Sonderzeichen innerhalb von Argumenten verwendet werden, z. B. “create ssl rsakey” und “create ssl cert”.

    [ NSHELP-27378 ]

  • In einem Hochverfügbarkeits-Setup schlägt die HA-Synchronisierung oder HA-Propagierung möglicherweise fehl, wenn eine der folgenden Bedingungen erfüllt ist:

    • Das RPC-Knotenkennwort hat Sonderzeichen.
    • Das RPC-Knotenkennwort hat 127 Zeichen (maximal zulässige Zeichen).

    [ NSHELP-27375 ]

  • In einer Citrix ADC VPX Appliance schlägt ein festgelegter Kapazitätsvorgang möglicherweise nach dem Hinzufügen eines Lizenzservers fehl. Das Problem tritt auf, weil die Initialisierung der Flexera-bezogenen Komponenten aufgrund der großen Anzahl unterstützter Lizenzen für das Ein- und Auschecken vom Typ “Typ” (CICO) länger dauert, um zu initialisieren.

    [ NSHELP-23310 ]

  • Das Hochladen und Hinzufügen einer Zertifikatsperrlistendatei (CRL) schlägt in einer Admin-Partitionseinrichtung fehl.

    [NSHELP-20988]

  • Wenn eine Citrix ADC BLX-Appliance mit Citrix ADM lizenziert wird, schlägt die Lizenzierung möglicherweise nach dem Upgrade der Appliance auf Version 13.0 Build 83.x fehl.

    Problemumgehung: Aktualisieren Sie zuerst Citrix ADM auf Version 13.0 Build 83.x oder höher, bevor Sie die Citrix ADC BLX-Appliance aktualisieren.

    [NSCONFIG-4834]

  • Wenn Sie eine Citrix ADC-Appliance Version 13.0-71.x auf einen früheren Build herunterstufen, funktionieren einige Nitro-APIs aufgrund der Änderungen der Dateiberechtigung möglicherweise nicht.

    Problemumgehung: Ändern Sie die Berechtigung für “/nsconfig/ns.conf” auf 644.

    [NSCONFIG-4628]

  • Manchmal dauert es lange, bis die Firewall-Signaturen der Anwendung mit Nicht-CCO-Knoten synchronisiert werden. Daher können Befehle, die diese Dateien verwenden, fehlschlagen.

    [NSCONFIG-4330]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

    1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:

      • Build 13.0 52.24
      • Build 12.1 57.18
      • Build 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
    3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

    Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie
    in der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Workaround:

    Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
    • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Versionshinweise für Citrix ADC 13.0-82.45 Release
July 24, 2023
Beitrag von: 
C
July 24, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.