Citrix ADC

Versionshinweise für die Citrix ADC Version 13.0-85.19

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.0-85.19 bestehen.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.
  • Build 13.0-85.19 und spätere Builds beheben die unter beschriebenen Sicherheitslücken https://support.citrix.com/article/CTX457048.
  • Build 85.19 ersetzt Build 85.15.
  • Dieser Build enthält auch eine Lösung für das folgende Problem: NSHELP-31668.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.0-85.19 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

  • Unterstützung für die aktive GSLB-Bereitstellung für die nFactor-Authentifizierung mithilfe des Verbindungsproxys

    Es wurde jetzt Unterstützung für die aktive GSLB-Bereitstellung für die nFactor-Authentifizierung mithilfe des Verbindungsproxys hinzugefügt. Diese Unterstützung gilt sowohl für Citrix Gateway als auch für Authentifizierungs-, Autorisierungs- und Überwachungsszenarien.
    Wenn in der nFactor-Authentifizierung verschiedene Faktoren konfiguriert sind und das Gateway für GSLB konfiguriert ist, kann die Authentifizierung derzeit unterbrochen werden, wenn die Clientanfrage auf verschiedenen GSLB-Sites landet.

    Wenn beispielsweise LDAP als erster Faktor und RADIUS als zweiter Faktor konfiguriert ist, kann die Authentifizierung im folgenden Szenario unterbrochen werden.

    • Kundenanfrage für LDAP landet auf GSLB-Standort 1.
    • Die Radiusanfrage landet auf der GSLB-Website 2.

    Der Verbindungsproxy wird jetzt verwendet, um Anforderungen an die richtigen GSLB-Sites weiterzuleiten, um die Authentifizierung abzuschließen und den Datenverkehr

    [ NSAUTH-7141 ]

Behobene Probleme

Die Probleme, die in Build 13.0-85.19 behoben wurden.

Authentifizierung, Autorisierung und Auditing

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn beim Aktualisieren des SSL-Zertifikatsschlüsselpaars, das in der SAML-Konfiguration verwendet wird, ein Fehler auftritt. Um dieses Problem zu beheben, können Sie das Zertifikat aufheben, das Zertifikat aktualisieren und dann erneut binden.

    [ NSHELP-30270 ]

  • Benutzer können sich nicht bei der Citrix ADC-Appliance anmelden, wenn die Anmeldeanforderung mit SAML andere Leerzeichen als ‘’ (einfache Anführungszeichen) enthält. Mit diesem Fix sind alle Leerraumzeichen zulässig.

    [ NSHELP-29773 ]

  • In seltenen Fällen kann die Citrix ADC-Appliance aufgrund einer falschen Protokollposition abstürzen.

    [ NSHELP-29267 ]

  • Eine Citrix ADC-Appliance, die für die Authentifizierung mit dem OAuth Service Provider konfiguriert ist, kann nicht mit ‘client-secrete_post’ konfiguriert werden, um sich bei IDP TokenEndpoint zu authentifizieren.

    Mit diesem Fix wird die Authentifizierungsmethode “client_secret_basic” zur OAuth-Dienstanbieter-Funktion von ADC hinzugefügt, wenn sie mit dem Token-Endpunkt des IDP kommuniziert.

    [ NSHELP-28945 ]

  • Eine Citrix ADC-Appliance reagiert möglicherweise nicht, wenn die SAML-Authentifizierung ausgeführt wird und X.509-Zertifikate mit einer Größe von 1800 Byte oder mehr in der SAML-Authentifizierung verwendet werden.

    [NSHELP-28608, NSHELP-29913]

  • In einem Citrix ADC Hochverfügbarkeits-Setup werden einige Authentifizierungsbefehle während der CLI-Konfiguration aufgrund eines Synchronisierungsproblems angezeigt.

    [NSHELP-28448]

  • Der Ausdruck Authentication, Authorization and auditing.USER.ATTRIBUTE kann in der Citrix ADC-Appliance mit mehreren Kernen einen leeren Wert ergeben, wenn das Benutzerkennwort nach Ablauf geändert wird.

    [ NSHELP-28419 ]

  • Wenn die Citrix ADC-Appliance als OAuth Relying Party konfiguriert ist, fügt sie die extrahierten Feldinformationen “E-Mail” und “Benutzername” aus dem ID-Token nicht zum Hash-Attribut der Authentifizierungs-, Autorisierungs- und Überwachungssitzung hinzu.

    [ NSHELP-28262 ]

  • Manchmal schlägt die Authentifizierung möglicherweise fehl, wenn Authentifizierung, Autorisierung und auditing.LOGIN.PASSWORD verwendet werden.

    [ NSHELP-28101 ]

  • Wenn SAML-Metadaten konfiguriert sind, wird bei SSL-Zertifikaten ein Speicherverlust beobachtet.

    [NSHELP-27846, NSHELP-25020]

  • Die Citrix ADC-Appliance gerät möglicherweise in eine SSO-Schleife mit dem Backend-Server und führt zu einem Speicheraufbau, wenn die beiden folgenden Bedingungen erfüllt sind.

    • Die ADC-Appliance führt Verhandlungs- und NTLM-SSO-Authentifizierungen mit dem Backend-Server durch.
    • Der Backend-Server führt nicht beide Authentifizierungen durch.

    [ NSHELP-27757 ]

  • Die Citrix ADC-Appliance kann während der Extraktion von Active Directory-Gruppen abstürzen, wenn der definierte Name einer extrahierten Gruppe NULL ist.

    [NSHELP-26899]

  • Wenn nFactor konfiguriert ist, wird manchmal eine falsche IP-Adresse in der Abmeldungsnachricht protokolliert.

    [ NSHELP-26692 ]

  • In einem Hochverfügbarkeitssetup stürzt die Citrix ADC-Appliance ab, wenn eine erzwungene Synchronisierung initiiert wird.

    [ NSAUTH-11876 ]

  • Intune NAC v2 wird für Android 11 und höher nicht unterstützt.

    [ NSAUTH-11872 ]

  • Administratoren können das LDAP- oder RADIUS-Konnektivitätstool nicht verwenden, wenn das Kennwort ein bestimmtes Sonderzeichen enthält oder wenn die Argumente ein Leerzeichen enthalten.

    [ NSAUTH-11322 ]

Bot-Verwaltung

  • Wenn die CAPTCHA-Herausforderung in Bearbeitung ist, berücksichtigt die Citrix ADC Bot-Verwaltung nicht den konfigurierten Wert, der vom Benutzer für die CAPTCHA-Wiederholungsversuche festgelegt wurde.

    [ NSBOT-801 ]

CallHome

  • Die CallHome-Registrierung schlägt möglicherweise für Citrix ADC MPX-Appliances mit gepoolter Lizenzierung fehl Die Registrierung schlägt fehl, da CallHome eine falsche Seriennummer für die Registrierung der Appliances beim Citrix Support Server verwendet.

    [ NSHELP-28667 ]

Citrix ADC SDX-Appliance

  • Wenn Sie eine Citrix ADC SDX-Appliance aus der Backup wiederherstellen, wird die Eingabeaufforderungszeichenfolge nicht wiederhergestellt.

    [ NSHELP-30238 ]

  • Eine falsche Meldung wird angezeigt, wenn die Neuinstallation fehlschlägt, weil die Werkspartition nicht über genügend Speicherplatz verfügt.

    [ NSHELP-30136 ]

  • Auf einer Citrix ADC SDX 115xx-Appliance kann die Wiederherstellung einer VPX, der eine hohe Anzahl von CPU-Kernen (3-5 Kerne) zugewiesen ist, fehlschlagen, wenn das Appliance-Backup drei oder mehr Instanzen enthält.

    [ NSHELP-30135 ]

  • Das Backplane-Feld auf der Seite “Cluster-Knoten hinzufügen” ist nicht mehr obligatorisch, sofern eine der folgenden Bedingungen nicht erfüllt ist:

    • Die Knotengruppe ist bereits für Layer-3-Cluster vorhanden.
    • Es ist ein Layer-2-Cluster.

    [ NSHELP-29701 ]

  • Auf einer Citrix ADC SDX-Appliance wird der Standardwert für das Auslösen des Alarms bei der Warnung “Hypervisor Disk Usage High” auf 98 Prozent erhöht.

    [ NSHELP-29688 ]

  • In seltenen Fällen erfolgt der ADC-Bestand nicht auf einer Citrix ADC SDX-Appliance.

    [ NSHELP-29607 ]

  • Die Daten in der ADC-Ereignistabelle können nun seitenübergreifend sortiert werden, wenn die Gesamtzahl der Datensätze weniger als 5000 beträgt.

    [NSHELP-29170]

Citrix Gateway

  • Benutzer können bei der Konfiguration von Citrix Gateway mithilfe der Citrix ADC GUI Standard License Edition kein Authentifizierungsprofil hinzufügen. Mit diesem Fix können Benutzer das mit einer Standardlizenz verfügbare nFactor-Authentifizierungsprofil anhängen.

    [NSHELP-30647]

  • Benutzer können das EPA-Plug-In oder das VPN-Plug-In nach einem Upgrade auf Chrome 98 oder Edge 98 nicht starten. Um dieses Problem zu beheben, führen Sie Folgendes aus:
    1. Für das VPN-Plug-In-Upgrade müssen Endbenutzer zum ersten Mal eine Verbindung über den VPN-Client herstellen, um das Update auf ihren Computern zu erhalten. Bei den nachfolgenden Anmeldeversuchen können Benutzer den Browser oder das Plug-In für die Verbindung auswählen.
    2. Für den alleinigen Anwendungsfall der EPA verfügen die Endbenutzer nicht über den VPN-Client, um eine Verbindung zum Gateway herzustellen. Führen Sie in diesem Fall Folgendes aus:
      1. Stellen Sie mit einem Browser eine Verbindung zum Gateway her.

      2. Warten Sie, bis die Download-Seite angezeigt wird, und laden Sie die nsepa_setup.exe herunter.
      3. Schließen Sie nach dem Herunterladen den Browser und installieren Sie die Datei nsepa_setup.exe.
      4. Starten Sie den Client neu.

    [ NSHELP-30641 ]

  • In einem Citrix ADC GSLB- und SSL-VPN-Setup wird bei der Verarbeitung einer DTLS-ICA-Verbindung ein Speicherleck beobachtet. Dadurch wird die Verbindung unterbrochen und Speicher baut sich auf.

    [ NSHELP-30182 ]

  • Der EPA-Scan zur Überprüfung des letzten vollständigen Systemscans des Virenschutzes schlägt unter macOS fehl.

    [ NSHELP-29571 ]

  • In einem Hochverfügbarkeitssetup mit TCP-SYSLOG-Konfiguration kann ein Knoten während des HA-Failovers oder während des Löschvorgangs abstürzen.

    [ NSHELP-29251 ]

  • Ein Speicherleck wird in einer Citrix ADC-Appliance beobachtet, wenn ein ausgehender Proxy konfiguriert ist.

    [ NSHELP-29234 ]

  • Auf der Citrix Gateway-Portalseite ändert sich das RDP-Proxy-Link-Symbol nicht mit dem RfWebUI-Portaldesign.

    [ NSHELP-28974 ]

  • Der vollständige Citrix Gateway VPN-Tunnel funktioniert nicht wie erwartet, wenn die binäre Antwort aktiviert ist. Infolgedessen ist das NSAAC-Cookie beschädigt. Mit diesem Fix funktioniert die binäre Antwort in den früheren VPN-Plug-Ins. Citrix empfiehlt jedoch, das neueste VPN-Plug-In zu verwenden, das mit der JSON-Antwort funktioniert.

    [ NSHELP-28729 ]

  • Das Citrix Gateway-Gerät stürzt bei der Verarbeitung von STA in DTLS Audio ab, da der zugewiesene Speicher nicht zurückgesetzt wird.

    [NSHELP-28432, NSHELP-29796]

  • Das Verzeichnis /var/netscaler/logon/logonpoint/custom/ wird nach einem Upgrade nicht erstellt, wenn das Verzeichnis ursprünglich nicht vorhanden war.

    [NSHELP-28223]

  • Der Zugriff auf StoreFront über einen virtuellen VPN-Server schlägt fehl, wenn auf StoreFront über einen virtuellen Backuplastausgleichsserver zugegriffen wird.

    [ NSHELP-27852 ]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn Sie eine Verbindung zu einer vorhandenen ICA-Sitzung

    [ NSHELP-27441 ]

  • Wenn Sie den FQDN als Proxy auf der Seite “Citrix Gateway-Verkehrsprofil erstellen” eingeben, wird die Meldung “Ungültiger Proxywert” angezeigt.

    [ NSHELP-26613 ]

Citrix Web App Firewall

  • Ein Upgrade auf die XML-Bibliothek Version 2.9.12 führt dazu, dass die WAF-Signatur-bezogenen XML-Dateien während des Parsens beschädigt werden.

    [NSWAF-8662]

  • Der JSON-Befehlseinschleusungsschutz wird in der Meldung ns.log als “Nicht blockiert” angezeigt, auch wenn die HTTP-Anforderung vom Web App Firewall-Modul blockiert wurde.

    [ NSHELP-29709 ]

  • In der Protokollmeldung der Web App Firewall wird “BAD URL” für Verstöße gegen das Cross-Site Scripting (XSS) -URL-Attribut angezeigt, und der Begriff “Schlechte URL” ist nicht klar, zu welcher Kategorie sie gehört (z. B. Tag, Muster oder Attribut).

    [ NSHELP-29358 ]

  • Die URL des Bot-Geräte-Fingerabdrucks kann fehlschlagen, wenn die Bot-Verwaltungsrichtlinie auf einem virtuellen Lastausgleichsserver vom Typ SSL aktiviert ist.

    [ NSHELP-29198 ]

  • Eine Citrix ADC-Appliance kann abstürzen, wenn die folgenden Module aktiviert sind:

    • Web App Firewall mit erweiterten Sicherheitsüberprüfungen.
    • Appqoe.

    [ NSHELP-28251 ]

Lastausgleich

  • In einer DNS-Bereitstellung mit automatischer Skalierung erkennen die Mitglieder im TROFS-Status keinen Fehler bei der Integritätsprüfung und reagieren nicht darauf.

    [ NSHELP-29628 ]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, während die Richtlinie zum Umschreiben an den virtuellen Lastausgleichsserver gebunden wird, wenn die folgenden Bedingungen erfüllt sind:

    1. Bei der Auswertung des zweiten Ausdrucks werden die Policy-State-Variablen des ersten Ausdrucks überschrieben, der gerade ausgeführt wird.
    2. Die Richtlinienstatusvariablen DETERMINE_SERVICES werden durch die Regel überschrieben, die vom virtuellen Lastausgleichsserver definiert ist.

    [ NSHELP-29449 ]

  • Die Citrix ADC-Appliance stürzt ab, während sie versucht, Speicher freizugeben, der in einer anderen Partition als der, von der sie befreit wird, zugewiesen ist.

    [NSHELP-29038]

  • Die Reaktionszeit des Monitors, die angezeigt wird, wenn Sie den Befehl show service ausführen, ist manchmal falsch.

    [ NSHELP-28994 ]

  • Einige Dienstgruppenmitglieder werden nicht aus der Autoscale-Dienstgruppenliste entfernt, wenn ein Konflikt zwischen statisch gebundenen Mitgliedern und dynamisch aufgelösten DNS-Datensätzen besteht. Dieses Problem führt zu einer Beschädigung des Speichers.

    [ NSHELP-28949 ]

  • In seltenen Fällen fehlt die Standortdatenbankkonfiguration möglicherweise in der Konfigurationsdatei (ns.conf).

    [ NSHELP-28570 ]

  • In einer persistenzfähigen Bereitstellung wird beim Speichern des Kontextes ein falscher virtueller Server gespeichert.

    [ NSHELP-28342 ]

  • Eine Citrix ADC-Appliance schlägt möglicherweise fehl, wenn die Monitorprobe für den Monitortyp MySQL behandelt wird, was schließlich zu einem Neustart des Systems führt.

    [NSHELP-27953]

Sonstiges

  • Die Citrix Gateway-Anmeldeseite kann bei einer Neuinstallation der Citrix ADC-Appliance nicht geladen werden, da GUI-Dateien im Verzeichnis /var/netscaler/logon fehlen.

    [NSHELP-31668]

  • Das folgende Problem tritt nach dem Upgrade der Appliance auf Citrix ADC Version 12.1 Build 63.22 auf:

    • Die Erweiterungssuche-API funktioniert nach dem Upgrade möglicherweise nicht.

    [ NSHELP-29860 ]

Netzwerke

  • In einer Citrix ADC-Appliance mit einer geraden Anzahl von Paket-Engines (PE) zeigt die Appliance fälschlicherweise den Status aktiver Schnittstellen als inaktiv eines redundanten Schnittstellensatzes (LR-Kanäle) an. Dieses Problem wirkt sich nicht auf die Funktionalität der Citrix ADC-Appliance aus.

    [ NSHELP-28099 ]

  • Die Citrix ADC-Appliance generiert nach einem Kaltstart möglicherweise keine “ColdStart” -SNMP-Trap-Meldungen.

    [ NSHELP-27917 ]

Plattform

  • Auf die serielle Konsole einer Citrix ADC VPX-Instanz, die in der Azure-Cloud gehostet wird, kann nicht zugegriffen werden, wenn sich die virtuelle Maschine in einem frühen Stadium des Startens befindet.

    [ NSPLAT-23010 ]

SSL

  • In seltenen Fällen kann es während der DTLS-Verarbeitung auf den folgenden Plattformen zu einem Absturz kommen:

    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 15000
    • MPX/SDX 15000-50 G
    • MPX/SDX 26000
    • MPX/SDX 26000-50S
    • MPX/SDX 26000-100G

    [ NSHELP-29538 ]

  • Eine Citrix ADC-Appliance stürzt ab, wenn die folgenden Schritte ausgeführt werden:

    1. Ein Monitor vom Typ SSL wird hinzugefügt.
    2. Ein Zertifikatsschlüsselpaar ist an den Monitor gebunden.
    3. Der Monitor ist entfernt.
    4. Ein weiterer Monitor mit demselben Namen wird hinzugefügt.
    5. Das Zertifikatsschlüsselpaar wurde aktualisiert.

    [NSHELP-28666, NSHELP-29784]

  • In einem Hochverfügbarkeits-Setup wird der Zertifikatstyp nicht korrekt zwischen dem primären und dem sekundären Knoten synchronisiert.

    [ NSHELP-27589 ]

  • In einer VPN-Bereitstellung nimmt die Citrix ADC-Appliance eine SSL-Sitzung zur Wiederverwendung der Sitzung aus dem Cache auf, um mit dem Proxy- oder Backend-Server zu kommunizieren. Dies geschieht, ohne dass das vom Client empfangene SNI mit dem in der zwischengespeicherten Sitzung vorhandenen SNI abgeglichen wird.

    Infolgedessen wird entweder das SNI nicht gesendet oder es wird ein anderes SNI gesendet, abhängig von den zwischengespeicherten Daten.

    [ NSHELP-27439 ]

  • In einem Hochverfügbarkeits-Setup schlägt die automatische CRL-Aktualisierung zeitweise fehl, wenn beide der folgenden Bedingungen erfüllt sind:

    • Dateien werden vom primären Knoten zum sekundären Knoten synchronisiert.
    • Die CRL-Datei wird gleichzeitig vom CRL-Server heruntergeladen.

    [ NSHELP-27435 ]

  • Der Name des CA-Zertifikats, der die CRL ausgestellt hat, wird auf 32 Zeichen gekürzt, obwohl ein Zertifikatsschlüsselname bis zu 64 Zeichen lang sein kann. Dieses Problem tritt auf, weil das CRL-Feld eine Begrenzung von 32 Zeichen hat.

    [NSHELP-26986]

  • SSL-Handshake schlägt fehl, wenn Sie DH-Verschlüsselungen mit einem externen HSM verwenden.

    [NSHELP-25307]

System

  • Die Citrix ADC-Appliance stürzt ab, wenn eine der folgenden Bedingungen eintritt:

    • Die Syslog-Aktion wird mit dem Domänennamen konfiguriert und Sie löschen die Konfiguration über die GUI oder der CLI.
    • Die Hochverfügbarkeitssynchronisierung erfolgt auf dem sekundären Knoten.

    [ NSHELP-30987, NSHELP-28121, NSHELP-29843 ]

  • Die Citrix ADC-Appliance kann einige der Nicht-HTTP-Datenpakete nicht an die Back-End-Server weiterleiten.

    [ NSHELP-30192 ]

  • Ein Speicherverlust wird in einer Citrix ADC-Appliance beobachtet, wenn der zugewiesene Speicher für Intrusion Prevention System (IPS) -Ressourcen gelöscht wird.

    [ NSHELP-29992 ]

  • In bestimmten Szenarien leitet die Citrix ADC-Appliance einige HTTP-Pakete nicht an den Back-End-Server weiter, wenn die folgende Bedingung erfüllt ist:

    • Wenn eine Citrix ADC-Funktion intern HTTP-Pakete klont.

    [ NSHELP-29958 ]

  • Konfigurationsvorgänge, die SSL-Profile und SSL-Zertifikatsschlüssel mit einem virtuellen HTTP-QUIC-Server verknüpfen, schlagen möglicherweise bei einer Citrix ADC-Clusterbereitstellung fehl.

    [ NSHELP-29655 ]

  • Eine zweite Anforderung auf derselben Clientverbindung schlägt fehl, wenn die folgenden Bedingungen erfüllt sind:

    • clientSideMeasurements ist aktiviert.
    • HEAD-Anfrage ist eingegangen.

    [ NSHELP-29353 ]

  • Die Citrix ADC-Appliance fügt möglicherweise fälschlicherweise eine IPv4-Adresse zu einem AppFlow-Datensatz hinzu, der sich auf eine IPv6-Transaktion bezieht.

    [ NSHELP-29261 ]

  • In einigen Szenarien kann eine Citrix ADC-Appliance unter den folgenden Bedingungen abstürzen:

    • TCP-Jumbo-Frames werden verwendet.
    • Die Persistenz ist auf einem virtuellen TCP-Lastausgleichsserver konfiguriert.

    [ NSHELP-29162 ]

  • Eine Citrix ADC-Appliance stürzt ab, wenn die folgenden Bedingungen erfüllt sind:

    • Die clientseitige Messoption ist in der AppFlow-Aktion aktiviert.
    • Die Chunk-Header fallen auf die Paketgrenze.

    [ NSHELP-29049 ]

  • Eine Citrix ADC-Appliance setzt eine Verbindung zurück, wenn die Größe der HTTP-Pipeline (eine oder mehrere Anforderungen) 128 KB überschreitet. Das Problem tritt auf, weil die Pipeline-Größe schwer auf 128 KB begrenzt ist.

    [ NSHELP-28846 ]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn eine Chunked-Antwort vom ICAP-Modul an den Client wiedergegeben wird.

    [ NSHELP-28788 ]

  • In einer TCP-Verbindung legt die Citrix ADC-Appliance möglicherweise ein FIN-Paket ab, das von einem Server empfangen wurde, anstatt es an den Client weiterzuleiten, wenn alle folgenden Bedingungen erfüllt sind:

    • Die TCP-Pufferung ist aktiviert.
    • Der Server sendet das FIN-Paket und das Datenpaket getrennt.

    [ NSHELP-27274 ]

Benutzeroberfläche

  • Sie können versehentlich die Verknüpfung eines SSL-Zertifikats aufheben, da keine Aufforderung zur Bestätigung erfolgt. Mit diesem Fix wird der Benutzer, wenn er auf ein verknüpftes Zertifikat klickt, zur Bestätigung aufgefordert, bevor die Verknüpfung eines Zertifikats aufgehoben wird.

    [ NSUI-17897 ]

  • Bei einer RPC-Knotenkonfiguration mit deaktivierter Option “Sicher” zeigt das Dialogfeld “RPC-Knoten konfigurieren” in der Citrix ADC GUI fälschlicherweise die Option “Sicher” als aktiviert an.

    [NSHELP-30887]

  • Die Cache-Filterung funktioniert in der Citrix ADC GUI möglicherweise nicht wie erwartet.

    [ NSHELP-30392 ]

  • Die Citrix ADC GUI verarbeitet die RAPI-Aufrufe nicht, was dazu führt, dass einige Komponenten der GUI nicht mehr reagieren.

    [ NSHELP-30231 ]

  • In einigen Fällen können Sie möglicherweise keine SSL-Schlüssel von der Registerkarte SSL-Schlüssel in der Citrix ADC GUI laden.

    [ NSHELP-28870 ]

  • Die API-Antwort für eine NITRO GET-Anforderung mit Filter kann zusätzliche Informationen enthalten, auch wenn sie nicht im Filter erwähnt werden.

    [ NSHELP-28598 ]

  • Bei der Konfiguration oder Überprüfung von SSL-Zertifikaten mit der Citrix ADC GUI wird möglicherweise der Fehler “Das Verzeichnis ist nicht vorhanden” angezeigt. Dieses Problem tritt auf, wenn ein Dateiname zwei aufeinanderfolgende Punkte enthält (“.. “) existiert im SSL-Ordner “/nsconfig/ssl”.

    [ NSHELP-28589 ]

  • In einem Hochverfügbarkeitssetup schlägt die HA-Synchronisierung für eine integrierte Richtlinienmustersatzbindung möglicherweise fehl, wenn der integrierte Richtlinienmustersatz auf dem primären Knoten geändert wurde.

    [NSHELP-28460]

  • Wenn der Benutzer versucht, die Seitengröße einer Liste in den Seitenbereichsansichten zu ändern, wird die Seite verzerrt.

    [ NSHELP-28220 ]

  • Der ping- oder ping6-Befehl mit der Option interface (-I) schlägt möglicherweise mit dem folgenden Fehler fehl:

    • “Schnittstellenoption wird nicht unterstützt”

    [ NSHELP-26962 ]

  • In einer Citrix ADC VPX Appliance schlägt ein festgelegter Kapazitätsvorgang möglicherweise nach dem Hinzufügen eines Lizenzservers fehl. Das Problem tritt auf, weil die Initialisierung der Flexera-bezogenen Komponenten aufgrund der großen Anzahl unterstützter Lizenzen für das Ein- und Auschecken vom Typ “Typ” (CICO) länger dauert, um zu initialisieren.

    [ NSHELP-23310 ]

Bekannte Probleme

Die Probleme, die in Version 13.0-85.19 bestehen.

AppFlow

  • HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

    [ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Auditing

  • Formularbasiertes SSO schlägt für die Backend-Server fehl, die Schlüsselwertparameter in der URL-Abfrage senden.

    [NSHELP-30975]

  • Die Citrix ADC-Appliance stürzt möglicherweise aufgrund einer großen Speicherzuweisung aufgrund einer fehlenden Ziel-URL in der OAuth-Konfiguration ab.

    [NSHELP-30963]

  • Das Modul Authentifizierung, Autorisierung und AuditingD der Citrix ADC-Appliance kann aufgrund einer fehlenden oder falschen eingehenden Kennwortlänge von der Paket-Engine zur Authentifizierung, Autorisierung und AuditingD abstürzen.

    [NSHELP-30911]

  • Möglicherweise liegt ein zeitweiliger Fehler bei der Verbindung zum Outlook-Austauschserver über die Outlook-App vor, da die Citrix ADC-Appliance einen falschen Header hinzugefügt hat.

    [NSHELP-30555]

  • Die Citrix ADC-Appliance stürzt ab, wenn die ADFSPIP-URL auf den Typ “http://” gesetzt ist. ADFSPIP unterstützt nur URL-Typen vom Typ “https://”.

    [ NSHELP-29838 ]

  • Single Sign-On schlägt während einer Authentifizierungssitzung fehl, wenn das Ereignis zur Kennwortänderung ausgelöst wird. Dieses Problem tritt nur auf, wenn der Parameter “persistentLogin attempts” aktiviert ist.

    [NSHELP-28085]

  • In einigen Fällen wird während des RADIUS-Authentifizierungsprozesses die Fehlermeldung “Ungültige Anmeldeinformationen” angezeigt. Der Fehler tritt auf, wenn über den Google Chrome-Browser von einem Clientgerät auf die Citrix ADC-Appliance zugegriffen wird.

    [ NSHELP-27113 ]

  • Der Zugriff auf einen Dienst wird verweigert, wenn die folgenden Bedingungen erfüllt sind:

    • Der Dienst ist an einen virtuellen Authentifizierungsserver gebunden.
    • 401-Authentifizierung ist auf dem Dienst und dem virtuellen Server konfiguriert, an den der Dienst gebunden ist.

    [NSHELP-26903]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Synchronisierung der Sitzung und der Schlüsselkonfiguration zwischen der primären und der sekundären Controllerkarte erfolgt.

    [ NSHELP-26891 ]

  • In bestimmten Szenarien schlägt der Befehl Authentifizierung, Autorisierung und Überwachung binden möglicherweise fehl, wenn der Richtlinienname länger als der Name der Intranetanwendung ist.

    [NSHELP-25971]

  • Die Citrix ADC-Appliance gibt den Kern ab, wenn NOAUTH als erster Faktor konfiguriert ist, und Negotiate als der nachfolgende Faktor im 401-basierten Authentifizierungsfluss.

    [NSHELP-25203]

  • Wenn das Admin-Kennwort für LDAP-, RADIUS- oder TACACS-Dienste das Zeichen in doppelten Anführungszeichen (“) enthält, entfernt die Citrix ADC-Appliance es während der Prüfung “Konnektivität testen”, was zu einem Verbindungsfehler führt.

    [NSHELP-23630]

  • Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

    [ NSHELP-563 ]

  • Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

    [ NSAUTH-6106 ]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status eines Proxy-Profils wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgeführt wird: show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

    [ NSAUTH-5916 ]

  • Die Seite Authentifizierung LDAP-Server konfigurieren auf der Citrix ADC-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

    • Die Option LDAP-Erreichbarkeit testen wird geöffnet.
    • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
    • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

    Problemumgehung: Schließen Sie die Option LDAP Reachability testen und öffnen Sie sie.

    [ NSAUTH-2147 ]

Caching

  • Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

    [NSHELP-22942]

Citrix ADC SDX-Appliance

  • Wenn auf einer Citrix ADC SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

    [ NSSVM-4333 ]

  • Paketverluste werden auf einer VPX-Instanz angezeigt, die auf einer Citrix ADC SDX-Appliance gehostet wird, wenn die folgenden Bedingungen erfüllt sind:

    • Der Durchsatzzuweisungsmodus ist Burst.
    • Es besteht ein großer Unterschied zwischen dem Durchsatz und der maximalen Burstkapazität.

    [ NSHELP-21992 ]

Citrix Gateway

  • In einigen Fällen unterbricht Citrix Secure Access für macOS Verbindungen aufgrund von Problemen mit einigen Nicht-DNS-Protokollen, die Port 53 verwenden, wie z. B. STUN.

    [NSHELP-31004]

  • Manchmal können Benutzer im erweiterten clientlosen VPN-Modus nicht auf die Lesezeichen zugreifen.

    [ NSHELP-30939 ]

  • Wenn Always on konfiguriert ist, schlägt der Benutzertunnel aufgrund der falschen Versionsnummer (1.1.1.1) in der Datei aoservice.exe fehl.

    [NSHELP-30662]

  • Benutzer können keine Verbindung zur Citrix Gateway-Appliance herstellen, nachdem sie den Profilparameter “networkAccessOnVPNFailure” von “fullAccess” auf “onlyToGateway” geändert haben.

    [NSHELP-30236]

  • Der Start von PCoIP Apps and Desktops schlägt fehl, wenn er über einen Browser gestartet wird, und die Fehlermeldung “VMware-Client fehlt” wird angezeigt. Dieses Problem tritt auf, weil das Protokoll “vmware-view” nicht zur Liste der zulässigen Protokolle hinzugefügt wurde.

    [NSHELP-30062]

  • Die Citrix Gateway-Appliance stürzt möglicherweise während der Kanalanalyse ab, wenn HDX Insight aktiviert und NSAP deaktiviert ist.

    [NSHELP-30029]

  • Der Windows VPN-Client berücksichtigt die Warnung “SSL-Benachrichtigung zum Schließen” des Servers nicht und sendet die Anmeldeanforderung für die Übertragung über dieselbe Verbindung.

    [ NSHELP-29675 ]

  • Gateway Insight meldet einen falschen Authentifizierungsfehler, noch bevor der Benutzer die Anmeldeinformationen für die Anmeldung sendet, wenn die Authentifizierungsregel so konfiguriert ist, dass sie einer der Anforderungen im Anmeldeablauf entspricht.

    [NSHELP-29313]

  • Auf der Seite “Aktive Benutzersitzung” werden nicht alle aktiven Benutzersitzungen angezeigt, es sei denn, die Anzahl der Einträge wurde auf 2000 pro Seite geändert.

    Mit diesem Fix wird der Admin-Benutzeroberfläche ein neuer Link “Alle Benutzersitzungen” (Citrix Gateway -> Verbindungen überwachen > Alle Benutzersitzungen) hinzugefügt, der alle Benutzersitzungen und Verbindungen auflistet.

    [NSHELP-29151]

  • Möglicherweise stellen Sie einige interne IP-Adressen von Citrix in der Datei rdx.js fest.

    [NSHELP-28682]

  • Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

    [ NSHELP-28551 ]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn EPA konfiguriert ist und nicht genügend Speicher verfügbar ist.

    [NSHELP-28329]

  • Das Citrix Gateway-Gerät stürzt möglicherweise bei der Verarbeitung vom Server initiierten UDP-Datenverkehr ab.

    [ NSHELP-27611 ]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn Async blockiert ist und Sie die Richtlinienkonfiguration für den Content Switching ändern.

    [NSHELP-27570]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn in der Sitzungsrichtlinie eine unbekannte VPN-Clientoption festgelegt ist

    [NSHELP-27380]

  • Manchmal werden während der Transferanmeldung Intranet-IP-Subnetze auf der Clientseite falsch angezeigt.

    [NSHELP-26904]

  • Die Citrix Gateway-GUI zeigt beim Bearbeiten eines VPN-Sitzungsprofils die Meldung “Ungültige IP oder Port” an.

    [NSHELP-26722]

  • Beim Erstellen eines RDP-Clientprofils über die Citrix ADC GUI wird eine Fehlermeldung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

    • Ein standardmäßiger Pre-Shared Key (PSK) ist konfiguriert.
    • Sie versuchen, den Gültigkeitszeitgeber für RDP-Cookies im Feld RDP-Cookie-Gültigkeit (Sekunden) zu ändern.

    [ NSHELP-25694 ]

  • Die Befehlsausgabe “show vpn ICAConnection” zeigt die Seriennummern der ICA-Verbindungen nicht korrekt an. Dieses Problem tritt auf, weil die Seriennummer willkürlich zurückgesetzt wird, wenn “show vpn icaconnection” ausgeführt wird.

    [NSHELP-25646]

  • In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

    • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

    Problemumgehung: Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Status “Synchronisierung erfolgreich”).

    [ NSHELP-25598 ]

  • Das EPA-Plug-in für Windows verwendet keinen konfigurierten Proxy des lokalen Computers und stellt eine direkte Verbindung zum Gateway-Server her.

    [ NSHELP-24848 ]

  • Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

    [ NSHELP-23937 ]

  • Das VPN-Plug-in richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

    • Citrix Gateway-Appliance ist für Always On konfiguriert
    • Die Appliance ist für die zertifikatsbasierte Authentifizierung konfiguriert, wobei die Zwei-Faktor-Authentifizierung “aus” ist.

    [ NSHELP-23584 ]

  • Die Befehlsausgabe “show tunnel global” enthält erweiterte Richtliniennamen. Zuvor wurden in der Ausgabe die erweiterten Richtliniennamen nicht angezeigt.

    Beispiel:

    Neue Ausgabe:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    Vorherige Ausgabe:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Eigenschaft ‘Typ’ von undefined kann nicht gelesen werden”.

    [ NSHELP-21897 ]

  • Wenn Sie Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf Citrix Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und die in Version 12.1 nicht verfügbar sind.

    [ CGOP-19355 ]

  • Ein Fehler beim Start der Anwendung aufgrund eines ungültigen STA-Tickets wird in Gateway Insight nicht gemeldet.

    [ CGOP-13621 ]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [ CGOP-13584 ]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [ CGOP-13511 ]

  • Wenn eine ICA-Verbindung von einem MAC-Receiver Version 19.6.0.32 oder Citrix Virtual Apps and Desktops Version 7.18 gestartet wird, ist die HDX Insight-Funktion deaktiviert.

    [CGOP-13494]

  • Wenn die EDT Insight-Funktion aktiviert ist, können Audiokanäle manchmal während einer Netzwerkabweichung ausfallen.

    [CGOP-13493]

  • Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

    [ CGOP-13050 ]

  • Der Text “Homepage” in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

    [ CGOP-13049 ]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

    [ CGOP-11830 ]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem kritischen Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Bei einer WAF-SQL-Einschleusung, die ein Anführungszeichen enthält (einfaches Anführungszeichen, doppeltes Anführungszeichen oder Back-Tick), müssen das öffnende und schließende Anführungszeichen vorhanden sein, um das Muster als Angriff zu erkennen. Wenn das Muster jedoch einen Kommentar enthält, ist das abschließende Anführungszeichen nicht erforderlich.

    [NSHELP-30379]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

    [ NSLB-7679 ]

  • Das Bereichspräfix ist nicht korrekt festgelegt, wenn ECS auf der ADC-Appliance aktiviert ist und der Speicherort nicht gefunden wird. Dieses Problem führt zur Erstellung eines falschen Persistenzeintrags. Der falsche Persistenzeintrag wird basierend auf der LDNS-IP-Adresse anstelle der ECS-IP-Adresse erstellt, die in der Anforderung für die nicht statische Proximity-basierte GSLB-Methode empfangen wurde.

    [NSHELP-30846]

  • In einem seltenen Szenario mit Rennbedingungen stürzt die Paket-Engine möglicherweise mit dem Core-Dump ab, wenn die folgende Konfiguration auf der Citrix ADC-Appliance vorhanden ist:

    • Der virtuelle GSLB-Server ist mit der auf der Quell-IP-Adresse basierenden Persistenz konfiguriert, und die DNS-Protokollierung ist für das an den ADNS-Dienst gebundene DNS-Profil aktiviert.
    • Der DNS-Load-Balancing-Server ist ohne aktivierte DNS-Protokollierung im DNS-Profil konfiguriert

    [NSHELP-29791]

  • Die inkrementelle Synchronisation schlägt für die Befehle “add dns action” und “add location” mit Richtlinienausdrücken fehl, die Platzhalter enthalten.

    [ NSHELP-29301 ]

  • Der Status der Dienstgruppe, die in den Befehlen show und stat angezeigt wird, ist inkonsistent.

    [ NSHELP-28931 ]

  • Der Loadbalancing- oder GSLB-Domain-basierte Autoscale-Servicegroup-Status bleibt DOWN, wenn Sie einen Wildcard-Port verwenden.

    [NSHELP-28548]

  • Monitore vom Typ SQL oder Oracle stürzen ab, wenn der Peer eine Anforderung zum Zurücksetzen der vorhandenen Verbindung sendet.

    [ NSHELP-28478 ]

  • Die SMPP-Wiederholungsnachrichten werden an alle Knoten in einem Cluster gesendet, auch wenn die Anforderung erfolgreich ist. Dieses Szenario führt zu einem hohen Speicherverbrauch auf der Citrix ADC-Appliance.

    [ NSHELP-28332 ]

  • In bestimmten Szenarien zeigen Server, die an eine Dienstgruppe gebunden sind, einen ungültigen Cookie-Wert an. Sie können den richtigen Cookie-Wert in den Ablaufverfolgungsprotokollen sehen.

    [NSHELP-21196]

  • In einem Cluster-Setup wird die IP-Adresse des GSLB-Dienstes nicht in der GUI angezeigt, wenn über virtuelle GSLB-Serverbindungen zugegriffen wird. Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

    [ NSHELP-20406 ]

Sonstiges

  • Wenn in einem Hochverfügbarkeits-Setup eine erzwungene Synchronisation stattfindet, führt die Appliance den Befehl “set urlfiltering parameter” im sekundären Knoten aus.
    Daher überspringt der sekundäre Knoten jedes geplante Update bis zur nächsten geplanten Zeit, die im Parameter “TimeOfDayToUpdateDB” angegeben ist.

    [NSSWG-849]

  • Die jQuery-Benutzeroberfläche des Portals wurde von 1.12.1 auf 1.13.1 aktualisiert, um die in Security Bulletins beschriebene Sicherheitsanfälligkeit zu beheben: CVE-2021-41182, CVE-2021-41183 und CVE-2021-41184.

    [NSHELP-30209]

  • Die Citrix ADC CPX-Instanz, die auf einem Linux-System mit 64-Bit-Architektur und 1 TB Dateispeicher ausgeführt wird, kann jetzt Zertifikat- und Schlüsseldateien laden.

    [NSHELP-28986]

  • Eine Citrix ADC-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter der URL-Filterung auftritt.

    [NSHELP-22409]

Netzwerke

  • Eine Citrix ADC-Appliance kann abstürzen, wenn alle folgenden Bedingungen erfüllt sind:

    • Eine Load Balancing-Route wird in einer Verkehrsdomäne auf der Appliance konfiguriert.
    • Ein klarer Konfigurationsvorgang wird auf der Appliance ausgeführt.

    [NSNET-23847]

  • Eine Citrix ADC BLX-Appliance im DPDK-Modus kann abstürzen, wenn ein Web Application Firewall-Profil mit erweiterten Sicherheitsschutzprüfungen konfiguriert ist.

    Problemumgehung: Entfernen Sie die erweiterte Sicherheitsschutzkonfiguration für WAF.

    [NSNET-22654]

  • In einer Citrix ADC BLX-Appliance funktioniert NSVLAN, das an markierte Nicht-DPDK-Schnittstellen gebunden ist, möglicherweise nicht wie erwartet. NSVLAN, das an ungetaggte Nicht-DPDK-Schnittstellen gebunden ist, funktioniert einwandfrei.

    [NSNET-18586]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Smartcard
    • Reset

    [NSNET-16559]

  • Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine Citrix ADC BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (“/etc/blx/blx.conf”) immer im Shared-Modus bereitgestellt. Dieses Problem tritt auf, weil “mawk”, das auf Debian-basierten Linux-Systemen standardmäßig vorhanden ist, einige der in der Datei “blx.conf” enthaltenen awk-Befehle nicht ausführt.

    Problemumgehung: Installieren Sie “gawk”, bevor Sie eine Citrix ADC BLX-Appliance installieren. Sie können den folgenden Befehl in der Linux-Host-CLI ausführen, um “gawk” zu installieren:

    • apt-get install gawk

    [NSNET-14603]

  • Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

    “The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable”

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

    • dpkg — Architektur hinzufügen i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • In einigen Fällen von FTP-Datenverbindungen führt die Citrix ADC-Appliance nur NAT-Operationen und keine TCP-Verarbeitung für die Pakete für die TCP-MSS-Aushandlung aus. Infolgedessen ist die optimale Schnittstellen-MTU nicht für die Verbindung eingestellt. Diese falsche MTU-Einstellung führt zu einer Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

    [NSNET-5233]

  • In einem großen NAT44-Setup kann die Citrix ADC-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

    • Einträge zur LSN-Filterung und -Zuordnung sind in der Appliance nicht vorhanden.

    [NSHELP-30225]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie eine Datenmenge von einer ACL-Regel lösen, wenn einige Pakete mit der ACL-Regel übereinstimmten.

    [NSHELP-30221]

  • In einem großen NAT44-Setup kann die Citrix ADC-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

    • Die Anzahl der Sitzungsreferenzen ist beim Löschen eines Filtereintrags nicht Null.

    [NSHELP-29348]

  • In einem großen NAT44-Setup kann die Citrix ADC-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

    • Das LSN-Modul findet den Dienst nicht, während es den Referenzzähler verringert oder den Dienst löscht.

    [ NSHELP-29134 ]

  • In einer großen NAT44-Bereitstellung kann die Citrix ADC-Appliance aus folgendem Grund beim Empfangen von SIP-Verkehr abstürzen:

    • Das LSN-Modul hat auf den Speicherplatz eines bereits gelöschten Dienstes zugegriffen.

    [ NSHELP-28815 ]

  • In einem Hochverfügbarkeits-Setup wird die für dynamisches Routing aktivierte SNIP-Adresse beim Neustart nicht VTYSH ausgesetzt, wenn die folgende Bedingung erfüllt ist:

    • Eine für dynamisches Routing aktivierte SNIP-Adresse ist an das freigegebene VLAN in einer nicht standardmäßigen Partition gebunden.

    Als Teil des Fix erlaubt die Citrix ADC-Appliance jetzt nicht, eine für dynamische Routing aktivierte SNIP-Adresse an das freigegebene VLAN in einer nicht standardmäßigen Partition zu binden

    [NSHELP-24000]

  • Wenn ein Speicherlimit für die Administratorpartition in der Citrix ADC-Appliance geändert wird, wird das TCP-Pufferspeicherlimit automatisch auf das neue Speicherlimit der Administratorpartition festgelegt.

    [NSHELP-21082]

Plattform

  • Das Hochverfügbarkeitsfailover funktioniert nicht in AWS- und GCP-Clouds. Die Verwaltungs-CPU erreicht möglicherweise ihre Kapazität von 100% in AWS- und GCP-Clouds und Citrix ADC VPX on-premises. Beide Probleme werden verursacht, wenn die folgenden Bedingungen erfüllt sind:

    1. Beim ersten Start der Citrix ADC-Appliance speichern Sie das angeforderte Kennwort nicht.
    2. Anschließend starten Sie die Citrix ADC-Appliance neu.

    [ NSPLAT-22013 ]

  • Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den Citrix ADC-Appliances installiert. Dieses Problem wurde für die folgenden Citrix ADC-Versionen behoben:

    • 13.1-4.x
    • 13.0-82.31 und später
    • 12.1-62.21 und später

    Die Python-Pakete werden nicht installiert, wenn Sie die Citrix ADC-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

    • Jeder 11.1-Build
    • 12.1-62,21 und früher
    • 13.0-81.x und früher

    [NSPLAT-21691]

  • In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance gibt es eine CLAG-MAC-Nichtübereinstimmung auf dem zweiten Knoten und CLIP, wenn die folgenden Bedingungen erfüllt sind:

    • Die CLAG wird auf einer Mellanox-NIC erstellt.
    • Sie fügen dem Cluster- und CLAG-Setup eine weitere VPX-Instanz hinzu.

    Infolgedessen stoppt der Datenverkehr zur VPX-Instanz.

    [NSPLAT-21049]

  • In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance wird der erste Knoten aufgrund einer Nichtübereinstimmung der MAC-Adressen in der CLIP- und MAC-Tabelle DOWN, wenn die folgenden Bedingungen erfüllt sind:

    • Die CLAG wird auf einer Mellanox-NIC erstellt.
    • Sie entfernen den zweiten Knoten aus dem Cluster.

    [NSPLAT-21042]

  • Wenn Sie eine Autoscale-Einstellung oder einen VM-Maßstabssatz aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der Citrix ADC-Instanz. Verwenden Sie den Befehl “rm cloudprofile”, um das Profil zu löschen.

    [NSPLAT-4520]

  • In einem Hochverfügbarkeitssetup auf Azure wird bei der Anmeldung am sekundären Knoten über die GUI der Bildschirm für den Erstbenutzer (FTU) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt.
    Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich beim primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil sollte immer auf dem primären Knoten konfiguriert werden.

    [ NSPLAT-4451 ]

  • Auf einer Citrix ADC SDX-Appliance mit Single Bundle Image (SBI) und VPX-Versionen 13.1-24.x oder höher wird die Aktiv-Aktiv-Bereitstellung mithilfe von VRRP auf Fortville NICs unterstützt. Diese Bereitstellung wird im L2-Modus nicht unterstützt.

    Die folgenden Punkte gelten für die Bereitstellung:

    • Citrix empfiehlt, die VRID-Konfiguration aus dem Management Service zu entfernen, bevor die zugehörige VPX-Instanz aktualisiert oder heruntergestuft wird. Fügen Sie die VRID-Konfiguration aus dem Management Service hinzu, nachdem der Upgrade- oder Downgrade-Vorgang abgeschlossen ist.
    • Wenn Sie die vorherige Empfehlung nicht beachten, müssen Sie die VPX-Instanzen aus dem Management Service manuell neu ermitteln, um die VRRP-Konvergenz zu ermöglichen.

    [NSHELP-30670]

  • Während des Citrix ADC VPX HA-Failovers schlägt die elastische IP-Adressverschiebung in der AWS-Cloud fehl, wenn Sie ein IPset konfigurieren, ohne das IPset an eine IP-Adresse zu binden.

    [ NSHELP-29425 ]

  • Das HA-Failover für die Citrix ADC VPX-Instanz in der GCP- und AWS-Cloud schlägt fehl, wenn das Kennwort eines RPC-Knotens ein Sonderzeichen enthält.

    [NSHELP-28600]

Richtlinien

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

  • In einigen Szenarien kann eine Citrix ADC-Appliance abstürzen, wenn eine Zuweisungsaktion mit der Löschoperation für eine AppExpert-Variable verwendet wird.

    [ NSHELP-29766 ]

SSL

  • Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL Refresh deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

  • Ein abgelaufenes Sitzungsticket wird nach einem HA-Failover auf einem Nicht-CCO-Knoten und auf einem HA-Knoten berücksichtigt.

    [ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

  • Bei MPX 8900- und MPX 15000 FIPS-zertifizierten Appliances kann der ausgeführte ECDHE-Datenverkehr zu einem Speicherverlust führen.

    [NSHELP-30744]

  • Die Citrix ADC-Appliance stürzt ab, wenn das SSL-Abfangen aktiviert ist und mehrere parallele Anforderungen für den Zugriff auf einen Backend-Server mit einem abgelaufenen Zertifikat vorliegen.

    [ NSHELP-29520 ]

  • Wenn in einem Clustersetup zwei installierte Zertifikate Aussteller eines Serverzertifikats mit der OCSP AIA-Erweiterung sind, ist die Appliance nicht mehr erreichbar, wenn Sie das Serverzertifikat entfernen.

    [ NSHELP-28058 ]

  • Eine Citrix ADC MPX/SDX 14000 FIPS-Appliance kann aufgrund der kontinuierlichen Verwendung von APIs für Kryptovorgänge durch interne Anwendungen wie SAML über einen bestimmten Zeitraum abstürzen.

    [NSHELP-27952]

System

  • In einer Citrix ADC-Appliance wird ein Latenzproblem bei HTTP/2-Transaktionen beobachtet, wenn die folgenden Bedingungen erfüllt sind:

    • Die HTTP/2-SSL-Konfiguration ist im Back-End-Dienst aktiviert
    • Der Dienst unterstützt das HTTP/2-Protokoll nicht.

    [NSHELP-30020]

  • Die Citrix ADC-Appliance meldet einen falschen SNMP-Alarm auf den SYN-Flood-Zählern des Dienstes.

    [NSHELP-28710, NSHELP-28713]

  • Die Citrix ADC VPX-Instanz stürzt möglicherweise ab, wenn Responder-Richtlinien konfiguriert sind, und Sie fügen einige UmschreibRichtlinien hinzu, die zu einer Beschädigung des Headers führen.

    Problemumgehung: Entfernen Sie die Responder-Richtlinie.

    [NSHELP-28512, NSHELP-30415]

  • Erhöhte Neuübertragungen von Paketen sind in öffentlichen Cloud-MPTCP-Cluster-Bereitstellungen zu beobachten, wenn Linkset deaktiviert ist.

    [NSHELP-27410]

  • Eine Citrix ADC-Appliance sendet möglicherweise ein ungültiges TCP-Paket zusammen mit TCP-Optionen wie SACK-Blöcken, Zeitstempel und MPTCP-Daten-ACK bei MPTCP-Verbindungen.

    [NSHELP-27179]

  • Ein Pitboss-Fehler tritt auf, wenn eine große Anzahl von Paketen in der Warteschlange für die erneute Übertragung in

    [ NSHELP-26071 ]

  • Eine Nichtübereinstimmung in Logstream-Datensätzen wird in der Citrix ADC-Appliance und im Datenlader beobachtet.

    [NSHELP-25796]

  • Einige SYSLOG-Meldungen werden verworfen, wenn Sie sich mit dem TCP-Protokoll an einem externen SYSLOG-Server anmelden.

    [ NSHELP-24522 ]

  • In bestimmten Szenarien verfehlen bei der nstrace-Paketerfassung alle Pakete, wenn Sie den IP-Adressbasierten Filter anwenden.

    [ NSHELP-23483 ]

  • In einem Cluster-Setup funktioniert der Befehl “set ratecontrol” erst nach dem Neustart der Citrix ADC-Appliance.

    Problemumgehung: Verwenden Sie den nsapimgr_wr.sh -ys icmp_rate_threshold=<new value> Befehl.

    [ NSHELP-21811 ]

  • Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 festgelegt, wenn die Appliance den max_concurrent_stream-Einstellungsrahmen nicht vom Client empfängt.

    [NSHELP-21240]

  • Die mptcp_cur_session_without_subflow-Zähler verringern fälschlicherweise auf einen negativen Wert statt auf Null.

    [NSHELP-10972]

  • Wenn Sie in einer Cluster-Bereitstellung den Befehl “Force Cluster Sync” auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

    [NSBASE-16304, NSGI-1293]

  • Wenn Sie Citrix ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

    Problemumgehung: Starten Sie den Management-Pod neu.

    [NSBASE - 15556]

  • In einer Cluster-Konfiguration wird ein Knoten mit CCO-Priorität aufgrund von Netzwerkproblemen von Open vSwitch (OVS) getrennt. Nachdem der Knoten wieder in die Cluster-Konfiguration aufgenommen wurde, erhält er nicht das neueste SYN-Cookie.

    [NSBASE - 14419]

  • Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

    [NSBASE-8506]

Benutzeroberfläche

  • In der Citrix ADC-GUI ist der Link “Hilfe” auf der Registerkarte “Dashboard” defekt.

    [NSUI-14752]

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie Cloudbridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der Citrix ADC-GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Wenn Sie über die GUI einen ECDSA-Schlüssel erstellen, wird der Kurventyp nicht angezeigt.

    [NSUI-6838]

  • Wenn eine mit Pool-Lizenzierung konfigurierte Citrix ADC-Appliance aktualisiert wird, wird die Appliance möglicherweise mit einer Teilkonfiguration neu gestartet.
    Problemumgehung: Löschen Sie die Cluster-Konfigurationsdatenbank, die nach dem Upgrade erstellt wurde, und starten Sie die Appliance im Warmbetrieb neu.

    [NSHELP-30926]

  • In einer Citrix ADC-Appliance schlägt das Binden der Cache-Richtlinie zum Überschreiben von global oder default global über die GUI-Schnittstelle mit dem folgenden Fehler fehl:

    • Erforderliches Argument fehlt.

    Dieser Fehler tritt beim Binden der Cache-Richtlinie über die CLI-Schnittstelle nicht auf.

    [NSHELP-30826]

  • Die Wiederverbindung zur Citrix ADC-Appliance schlägt mit dem folgenden Fehler fehl, wenn “STRG+C” eingegeben wird, während der Ausführung des Befehls “show run” in der CLI-Schnittstelle ausgeführt wird:

    • “Ungültiger Benutzername oder Kennwort”

    Dieses Problem tritt auf, wenn die Zeichen in Schlüssel und Kennwort identisch sind.

    [NSHELP-30817]

  • Wenn eine Citrix ADC-Appliance für die Verwendung eines externen Authentifizierungsservers konfiguriert ist, kann es zu einer Verzögerung bei der Ausführung der Stat-Befehle kommen, unabhängig davon, ob der global zu deaktivierende RBAonResponse-Parameter festgelegt ist. Der Parameter kann über GUI oder CLI deaktiviert werden.

    [ NSHELP-30289 ]

  • Der Suchfilter ist für den Schlüssel “Name” auf der Seite Citrix ADC GUI Manage Certificates > CSR nicht verfügbar.

    [NSHELP-30274]

  • Die Citrix ADC GUI generiert möglicherweise fälschlicherweise ein Paket für den technischen Support des Clusters mit nur einem Knoten anstelle aller Clusterknoten.

    [NSHELP-28606]

  • Das Erstellen eines Pakets für den technischen Support für Cluster mithilfe der Citrix ADC GUI schlägt möglicherweise mit einem Fehler fehl.

    [NSHELP-28586]

  • Nach dem Upgrade eines Hochverfügbarkeitssetups oder eines Cluster-Setups auf Version 13.0 Build 74.14 oder höher schlägt die Konfigurationssynchronisierung möglicherweise aus folgendem Grund fehl:

    • Sowohl die privaten als auch die öffentlichen Schlüssel “ssh_host_rsa_key” sind ein falsches Paar.

    Problemumgehung: Generieren Sie “ssh_host_rsa_key” neu. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX322863.

    [NSHELP-27834]

  • Sie können einen Dienst oder eine Dienstgruppe nicht über die Citrix ADC GUI an einen virtuellen Lastausgleichsserver mit Priorität binden.

    [ NSHELP-27252 ]

  • Manchmal dauert es lange, bis die Firewall-Signaturen der Anwendung mit Nicht-CCO-Knoten synchronisiert werden. Daher können Befehle, die diese Dateien verwenden, fehlschlagen.

    [NSCONFIG-4330]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

    1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:

      • Build 13.0 52.24
      • Build 12.1 57.18
      • Build 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
    3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

    Um die Liste dieser Systembenutzer über die CLI anzuzeigen, geben Sie
    in der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Workaround:

    Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
    • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Versionshinweise für die Citrix ADC Version 13.0-85.19