Citrix ADC

Versionshinweise für die Citrix ADC Version 13.0-87.9

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.0-87.9 bestehen.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.0-87.9 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

Lastausgleich

  • Unterstützung für sichere Script-Argumente für Benutzermonitore

    Ein neuer Parameter, -secureargs, wird dem Befehl “add lb monitor” hinzugefügt. Dieser Parameter speichert die Skript-Argumente in einem verschlüsselten Format statt im Nur-Text-Format. Mit diesem Parameter können Sie sensible Daten in Bezug auf die Skripte für den Benutzermonitor sichern, z. B. Citrix empfiehlt Ihnen, den Parameter -secureargs anstelle des Parameters -scriptargs für sensible Daten im Zusammenhang mit den Skripts zu verwenden. Wenn Sie beide Parameter zusammen verwenden möchten, muss das in -scriptname angegebene Skript die Argumente in der Reihenfolge akzeptieren: <scriptargs> <secureargs>. Das heißt, Sie müssen die ersten Parameter in <scriptargs> und den Rest der Parameter in <secureargs> angeben, indem Sie die für die Argumente definierte Reihenfolge beibehalten. Sichere Argumente gelten nur für den internen Dispatcher.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-custom-monitors/configure-user-monitor.html.

    [NSLB-7310]

Netzwerke

  • Verbesserungen um den Schweregrad beim Senden von SNMP-Trap-Nachrichten einzubeziehen

    Die Citrix ADC VPX Appliance enthält jetzt den Schweregrad in den SNMP-Trap-Nachrichten als variable Bindung. Verwenden Sie den folgenden Befehl mit der Option severityInfoInTrap :

    • set snmp option -severityInfoInTrap ENABLED

    Wenn diese Option aktiviert ist, wird der Trap-Schweregrad in der SNMP-Trap-Meldung enthalten.

    [NSNET-21603]

System

  • Konfigurieren Sie den Schwellenwertparameter für langsamen Start

    Die Citrix ADC-Appliance unterstützt jetzt die Konfiguration des Schwellenwerts für langsamen Start, wodurch die folgenden Probleme behoben werden.

    • Die Dynamic Round Trip Time (RTT) ist für den von der Citrix ADC-Appliance verarbeiteten TCP-Verkehr hoch.
    • Die TCP-Protokollvariante Nile, die das RTT für die Überlastungskontrolle berücksichtigt, funktioniert nicht. Das konfigurierte Überlastungsfenster ist viel höher und wird dem Schwellenwert für langsamen Start des Nils zugeordnet.

    Weitere Informationen finden Sie unter TCP-Konfigurationen.

    [NSBASE - 16509]

Behobene Probleme

Die Probleme, die in Build 13.0-87.9 behoben wurden.

Authentifizierung, Autorisierung und Auditing

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die SAML-Metadaten-URL in der Konfiguration nicht mit einem umgekehrten Schrägstrich (/) endet oder diesen enthält.

    [NSHELP-31937]

  • Wenn Sie einen Syslog-Server konfiguriert haben, sehen Sie ein einzelnes SAML-bezogenes Protokoll in zwei Zeilen.

    [ NSHELP-31750 ]

  • Beim Anwenden von Rewrite-Richtlinien für die InhaltssicherheitsRichtlinie (CSP) auf einem virtuellen Authentifizierungsserver können Probleme beim Neuschreiben von Anwendungen auftreten.

    [ NSHELP-31583 ]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Synchronisierung der Sitzung und der Schlüsselkonfiguration zwischen der primären und der sekundären Controllerkarte erfolgt.

    [ NSHELP-26891 ]

Citrix Gateway

  • In einigen Fällen kann eine Citrix ADC-Appliance abstürzen, wenn einem Client eine Intranet-IP-Adresse zugewiesen wird.

    [NSHELP-31712]

  • Wenn die klassische EPA-Richtlinie und die nFactor-Authentifizierung konfiguriert sind, werden die Gateway Insight-Ereignisse für eine erfolgreiche Authentifizierung nicht an Citrix Application Delivery Management gesendet.

    [NSHELP - 30901]

  • Sie können die Bindung einer klassischen Autorisierungsrichtlinie nicht über die GUI aufheben. Sie können jedoch die CLI verwenden, um die Authentifizierungs-, Autorisierungs- und Überwachungsautorisierungsrichtlinie aufzuheben.

    Mit diesem Fix können Sie jetzt die Autorisierungsrichtlinie über die GUI aufheben.

    [ NSHELP-27064 ]

  • Der App-Start schlägt nach Eingabe Ihrer Anmeldeinformationen fehl, wenn das Sitzungsprofil den FQDN von Storefront enthält. Der folgende Fehler wird angezeigt.

    ‘Http/1.1 Internal Server Error 43531’

    Mit diesem Fix können Kunden den FQDN anstelle der WI-Adresse des Sitzungsprofils in IP eingeben.

    [NSHELP-26671]

Citrix Web App Firewall

  • In den Protokollen für “Keine User-Agent-Header-Aktion” und “Multi-User-Agent-Header-Aktion” wird möglicherweise fälschlicherweise die Protokollnachricht der IP-Reputationsprüfung verwendet.

    [NSHELP-31935]

  • Eine Citrix ADC-Appliance stürzt möglicherweise beim Verarbeiten von BOT-Signatursuchen mit langsamen DNS-Servern ab.

    [NSHELP-31642]

Lastausgleich

  • In einem Hochverfügbarkeits-Setup (HA) werden Routen auf dem neuen primären Knoten verworfen und nicht erneut erlernt, wenn die folgende Bedingung erfüllt ist.

    • Dynamisches Routenlöschen und HA-Failover erfolgen gleichzeitig aufgrund eines kritischen Schnittstellenfehlers.

    [NSHELP - 32264]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab und gibt den Core aus, wenn das Benutzerüberwachungsskript eine Antwort mit mehr als 1024 Byte zurückgibt.

    [NSHELP - 32097]

  • In seltenen Fällen stürzt eine Citrix ADC-Appliance ab und gibt den Core aus, wenn die DNSSEC-Verarbeitung aktiviert ist und die DNS-Zonenkonfiguration vorhanden ist.

    [NSHELP-31993]

  • In einigen Fällen wird der Status des Dienstes nicht mit dem Status des Monitors synchronisiert.

    [NSHELP-31747]

  • In einer DNS-Bereitstellung mit automatischer Skalierung erkennen die Mitglieder im TROFS-Status keinen Fehler bei der Integritätsprüfung und reagieren nicht darauf.

    [ NSHELP-29628 ]

  • Wenn sich ein Mitglied der DNS-Dienstgruppe vom Typ Autoscale im Status TROFS befindet und dasselbe Mitglied erneut zur Gruppe hinzugefügt wird, wird der Status dieses Mitglieds nicht weitergegeben.

    [ NSHELP-29493 ]

  • Die inkrementelle Synchronisation schlägt für die Befehle “add dns action” und “add location” mit Richtlinienausdrücken fehl, die Platzhalter enthalten.

    [ NSHELP-29301 ]

  • Der Loadbalancing- oder GSLB-Domain-basierte Autoscale-Servicegroup-Status bleibt DOWN, wenn Sie einen Wildcard-Port verwenden.

    [NSHELP-28548]

Sonstiges

  • Wenn in einer Citrix ADC-Appliance eine zusätzliche Festplatte zur Appliance hinzugefügt wird, wird ein Link für die Datei “/var/nslog” im Absturzordner “/var/crash/nslog” erstellt. Die im Absturzordner verfügbaren “newnslog” -Dateien werden nicht in dem vom technischen Support generierten Collector-Ordner gesammelt.

    [NSHELP-31354]

  • In einem Citrix ADC-Clustersetup mit konfigurierter Public-Key-Systemauthentifizierung wird das folgende Problem beobachtet:

    • VTYSH zeigt keine Informationen aller Clusterknoten auf dem Clusterkonfigurationskoordinator (CCO) an.

    [NSHELP-28762]

Plattform

  • Die Log-Rotation schlägt bei Dateien fehl, die im Ordner /var/log/waagent gespeichert sind, und nimmt mehr Speicherplatz in Anspruch. Dieser Fehler tritt auf, wenn Sie eine Backupkonfiguration aus einer Citrix ADC VPX-Instanz über die Wiederherstellungsfunktion auf eine andere ADC VPX-Instanz anwenden, die in der Azure-Cloud gehostet wird.

    [NSHELP-31599]

Richtlinien

  • In einer Citrix ADC-Appliance wird Folgendes beobachtet.
    • Probleme im Zusammenhang mit der Speicherabrechnung in einigen ungewöhnlichen Fällen.
    • Probleme im Zusammenhang mit der Speicherzuweisung/Freigabe bestimmter Entitäten.

    Zusätzlich wurde die Nachverfolgung der Zuweisung/Deallokation bestimmter Entitäten hinzugefügt/verbessert.

    [NSHELP-29215]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie die Funktion MATCHES_LOCATION () in einem Richtlinienausdruck konfigurieren und nstrace mit einem Filterausdruck starten.

    [NSHELP-22687]

SSL

  • Eine Citrix ADC-Appliance kann in den folgenden Szenarien abstürzen:

    • Ein Load-Balancing-Monitor vom Typ SSL und SSL-Dienst haben den gleichen Namen
    • Ein SSL-Dienst wurde umbenannt
    • Ein Load Balancing-Monitor wird gelöscht

    [ NSHELP-30445 ]

  • Eine Citrix ADC-Appliance stürzt ab, wenn alle folgenden Bedingungen eintreten:

    • Ein standardmäßiges RSA-Zertifikatschlüsselpaar ist an einen internen Service gebunden.
    • Ein Nicht-RSA-Zertifikatschlüsselpaar ist an denselben Dienst gebunden.
    • HA-Synchronisierung erfolgt.

    [NSHELP-30084]

System

  • In einer Citrix ADC-Appliance verursacht der Standardwert des Parameters “maxHeaderFieldLen” im HTTP-Profil das folgende Problem.

    • Verkehrsausfall nach dem Upgrade auf 13.0 Build.

    [NSHELP - 32079]

  • In einer Citrix ADC-Appliance wird das folgende Problem beim Aktivieren der HTTP/2-Konfiguration für eine virtuelle IP (VIP) für Content Switching oder Load Balancing Virtual IP (VIP) beobachtet.

    • Eine Erhöhung der Latenz um bis zu 100 ms beim Weiterleiten des HTTP/2-Headers und der Datenframes an die Website über die Citrix ADC-Appliance.

    [NSHELP-30094]

  • Wenn Sie in einer Citrix ADC-Appliance die erweiterten globalen Standardrichtlinien aufheben und die Konfiguration speichern, werden die Änderungen beim nächsten Neustart nicht berücksichtigt.

    [ NSHELP-19867 ]

Benutzeroberfläche

  • Die folgende Ausnahme tritt im Python-API-SDK auf, wenn versucht wird, einen virtuellen SSL-Server und eine Zertifikatschlüsselpaarbindung zu löschen.
    TypeError: Die Objekte ‘str’ und ‘bool’ können nicht verkettet werden

    [NSHELP-31746]

  • Sie können Mitglieder von Load Balancing-Dienstgruppen nicht über die GUI des Citrix ADC Version 13.0 Version 85.15 Build trennen.

    [NSHELP-31474]

  • Das Hochladen und Hinzufügen einer Zertifikatsperrlistendatei (CRL) schlägt in einer Admin-Partitionseinrichtung fehl.

    [NSHELP-20988]

  • Die Details der Serverstatistiken für den Lastausgleich sind im Citrix ADC GUI-Dashboard falsch ausgerichtet.

    [NSHELP-20752]

Bekannte Probleme

Die in Version 13.0-87.9 vorhandenen Probleme.

Authentifizierung, Autorisierung und Auditing

  • Die Citrix ADC-Appliance stürzt ab, wenn die ADFSPIP-URL auf den Typ “http://” gesetzt ist. ADFSPIP unterstützt nur URL-Typen vom Typ “https://”.

    [ NSHELP-29838 ]

  • Nicht-ASCII-Zeichen werden in nsvpn.log aufgezeichnet, wenn die LDAP-Aktion für einen FQDN anstelle einer IP-Adresse konfiguriert ist.

    [ NSHELP-27281 ]

  • In einigen Fällen wird während des RADIUS-Authentifizierungsprozesses die Fehlermeldung “Ungültige Anmeldeinformationen” angezeigt. Der Fehler tritt auf, wenn über den Google Chrome-Browser von einem Clientgerät auf die Citrix ADC-Appliance zugegriffen wird.

    [ NSHELP-27113 ]

  • Die Citrix ADC GUI zeigt nicht die Standard-Cache-Richtlinien an, die an einen virtuellen VPN-Server gebunden sind.

    [ NSHELP-26874 ]

  • In bestimmten Szenarien schlägt der Befehl Authentifizierung, Autorisierung und Überwachung binden möglicherweise fehl, wenn der Richtlinienname länger als der Name der Intranetanwendung ist.

    [NSHELP-25971]

  • Die Citrix ADC-Appliance gibt den Kern ab, wenn NOAUTH als erster Faktor konfiguriert ist, und Negotiate als der nachfolgende Faktor im 401-basierten Authentifizierungsfluss.

    [NSHELP-25203]

  • Wenn das Admin-Kennwort für LDAP-, RADIUS- oder TACACS-Dienste das Zeichen in doppelten Anführungszeichen (“) enthält, entfernt die Citrix ADC-Appliance es während der Prüfung “Konnektivität testen”, was zu einem Verbindungsfehler führt.

    [NSHELP-23630]

  • Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

    [ NSHELP-563 ]

  • Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

    [ NSAUTH-6106 ]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

    [ NSAUTH-5916 ]

Caching

  • Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

    [NSHELP-22942]

Citrix ADC SDX-Appliance

  • Wenn auf einer Citrix ADC SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

    [ NSSVM-4333 ]

  • Auf einer Citrix ADC SDX-GUI kann das Anzeigen der NTP-Server die Benutzeroberfläche einfrieren, wenn die NTP-Konfigurationsdatei (ntp.conf) nur Leerzeichen in einer der Zeilen enthält.

    [NSHELP-31530]

Citrix Gateway

  • Wenn Always on konfiguriert ist, schlägt der Benutzertunnel aufgrund der falschen Versionsnummer (1.1.1.1) in der Datei aoservice.exe fehl.

    [NSHELP-30662]

  • Der Start der ICA-App schlägt unter folgenden Bedingungen fehl:

    • Die Funktion Content Security Policy (CSP) ist aktiviert.
    • Der Benutzer meldet sich über einen Browser an, verwendet jedoch die Citrix Workspace-App, um die App zu starten.

    [ NSHELP-30534 ]

  • Benutzer können keine Verbindung zur Citrix Gateway-Appliance herstellen, nachdem sie den Profilparameter “networkAccessOnVPNFailure” von “fullAccess” auf “onlyToGateway” geändert haben.

    [NSHELP-30236]

  • Die Gateway-Startseite wird nicht sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat Um dieses Problem zu beheben, wird der folgende Registrierungswert eingeführt.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Typ: DWORD

    Standardmäßig wird dieser Registrierungswert nicht festgelegt oder hinzugefügt. Wenn der Wert von “SecureChannelResetTimeoutSeconds” 0 ist oder nicht hinzugefügt wird, funktioniert der Fix zur Behandlung der Verzögerung nicht. Dies ist das Standardverhalten. Der Administrator muss diese Registrierung auf dem Client einrichten, um das Update zu aktivieren (das heißt, die Homepage wird sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat).

    [NSHELP-30189]

  • Manchmal richtet der Citrix Secure Access Agent im Modus “Nur Maschinentunnel” den Maschinentunnel nicht automatisch ein, nachdem die Maschine aus dem Ruhemodus erwacht.

    [NSHELP-30110]

  • Der Windows VPN-Client berücksichtigt die Warnung “SSL-Benachrichtigung zum Schließen” des Servers nicht und sendet die Anmeldeanforderung für die Übertragung über dieselbe Verbindung.

    [ NSHELP-29675 ]

  • Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

    [ NSHELP-28551 ]

  • Manchmal wird ein Benutzer innerhalb weniger Sekunden bei Citrix Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

    [ NSHELP-28404 ]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn EPA konfiguriert ist und nicht genügend Speicher verfügbar ist.

    [NSHELP-28329]

  • Das Citrix Gateway-Gerät stürzt möglicherweise bei der Verarbeitung vom Server initiierten UDP-Datenverkehr ab.

    [ NSHELP-27611 ]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn Async blockiert ist und Sie die Richtlinienkonfiguration für den Content Switching ändern.

    [NSHELP-27570]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn in der Sitzungsrichtlinie eine unbekannte VPN-Clientoption festgelegt ist

    [NSHELP-27380]

  • Beim Erstellen eines RDP-Clientprofils über die Citrix ADC GUI wird eine Fehlermeldung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

    • Ein standardmäßiger Pre-Shared Key (PSK) ist konfiguriert.
    • Sie versuchen, den Gültigkeitszeitgeber für RDP-Cookies im Feld RDP-Cookie-Gültigkeit (Sekunden) zu ändern.

    [ NSHELP-25694 ]

  • Das EPA-Plug-in für Windows verwendet keinen konfigurierten Proxy des lokalen Computers und stellt eine direkte Verbindung zum Gateway-Server her.

    [ NSHELP-24848 ]

  • Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

    [ NSHELP-23937 ]

  • Die Befehlsausgabe “show tunnel global” enthält erweiterte Richtliniennamen. Zuvor wurden in der Ausgabe die erweiterten Richtliniennamen nicht angezeigt.

    Beispiel:

    Neue Ausgabe:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    Vorherige Ausgabe:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Eigenschaft ‘Typ’ von undefined kann nicht gelesen werden”.

    [ NSHELP-21897 ]

  • Ein Fehler beim Start der Anwendung aufgrund eines ungültigen STA-Tickets wird in Gateway Insight nicht gemeldet.

    [ CGOP-13621 ]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [ CGOP-13584 ]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [ CGOP-13511 ]

  • Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

    [ CGOP-13050 ]

  • Der Text “Homepage” in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

    [ CGOP-13049 ]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

    [ CGOP-11830 ]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem kritischen Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [ CGOP-7269 ]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

    [ NSLB-7679 ]

  • In bestimmten Szenarien zeigen Server, die an eine Dienstgruppe gebunden sind, einen ungültigen Cookie-Wert an. Sie können den richtigen Cookie-Wert in den Ablaufverfolgungsprotokollen sehen.

    [NSHELP-21196]

  • In einem Cluster-Setup wird die IP-Adresse des GSLB-Dienstes nicht in der GUI angezeigt, wenn über virtuelle GSLB-Serverbindungen zugegriffen wird. Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

    [ NSHELP-20406 ]

Sonstiges

  • Die AlwaysOnAllow Listenregistrierung funktioniert nicht wie erwartet, wenn der Registrierungswert größer als 2000 Byte ist.

    [NSHELP-31836]

  • Die Citrix ADC CPX-Instanz, die auf einem Linux-System mit 64-Bit-Architektur und 1 TB Dateispeicher ausgeführt wird, kann jetzt Zertifikat- und Schlüsseldateien laden.

    [NSHELP-28986]

Netzwerke

  • In einer Citrix ADC BLX-Appliance funktioniert NSVLAN, das an markierte Nicht-DPDK-Schnittstellen gebunden ist, möglicherweise nicht wie erwartet. NSVLAN, das an ungetaggte Nicht-DPDK-Schnittstellen gebunden ist, funktioniert einwandfrei.

    [NSNET-18586]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Smartcard
    • Reset

    [NSNET-16559]

  • Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine Citrix ADC BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (“/etc/blx/blx.conf”) immer im Shared-Modus bereitgestellt. Dieses Problem tritt auf, weil “mawk”, das auf Debian-basierten Linux-Systemen standardmäßig vorhanden ist, einige der in der Datei “blx.conf” enthaltenen awk-Befehle nicht ausführt.

    Problemumgehung: Installieren Sie “gawk”, bevor Sie eine Citrix ADC BLX-Appliance installieren. Sie können den folgenden Befehl in der Linux-Host-CLI ausführen, um “gawk” zu installieren:

    • apt-get install gawk

    [NSNET-14603]

  • Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

    “The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable”

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

    • dpkg — Architektur hinzufügen i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • In einem großen NAT44-Setup kann die Citrix ADC-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

    • Das LSN-Modul findet den Dienst nicht, während es den Referenzzähler verringert oder den Dienst löscht.

    [ NSHELP-29134 ]

  • In einem großen NAT44-Setup kann die Citrix ADC-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

    • Wegen veralteter Filtereingabe.

    [NSHELP-28895]

  • In einer großen NAT44-Bereitstellung kann die Citrix ADC-Appliance aus folgendem Grund beim Empfangen von SIP-Verkehr abstürzen:

    • Das LSN-Modul hat auf den Speicherplatz eines bereits gelöschten Dienstes zugegriffen.

    [ NSHELP-28815 ]

  • In einem Hochverfügbarkeits-Setup wird die für dynamisches Routing aktivierte SNIP-Adresse beim Neustart nicht VTYSH ausgesetzt, wenn die folgende Bedingung erfüllt ist:

    • Eine für dynamisches Routing aktivierte SNIP-Adresse ist an das freigegebene VLAN in einer nicht standardmäßigen Partition gebunden.

    Als Teil des Fix erlaubt die Citrix ADC-Appliance jetzt nicht, eine für dynamische Routing aktivierte SNIP-Adresse an das freigegebene VLAN in einer nicht standardmäßigen Partition zu binden

    [NSHELP-24000]

Plattform

  • Das Hochverfügbarkeitsfailover funktioniert nicht in AWS- und GCP-Clouds. Die Verwaltungs-CPU erreicht möglicherweise ihre Kapazität von 100% in AWS- und GCP-Clouds und Citrix ADC VPX on-premises. Beide Probleme werden verursacht, wenn die folgenden Bedingungen erfüllt sind:

    1. Beim ersten Start der Citrix ADC-Appliance speichern Sie das angeforderte Kennwort nicht.
    2. Anschließend starten Sie die Citrix ADC-Appliance neu.

    [ NSPLAT-22013 ]

  • Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den Citrix ADC-Appliances installiert. Dieses Problem wurde für die folgenden Citrix ADC-Versionen behoben:

    • 13.1-4.x
    • 13.0-82.31 und später
    • 12.1-62.21 und später

    Die Python-Pakete werden nicht installiert, wenn Sie die Citrix ADC-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

    • Jeder 11.1-Build
    • 12.1-62,21 und früher
    • 13.0-81.x und früher

    [NSPLAT-21691]

  • In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance gibt es eine CLAG-MAC-Nichtübereinstimmung auf dem zweiten Knoten und CLIP, wenn die folgenden Bedingungen erfüllt sind:

    • Die CLAG wird auf einer Mellanox-NIC erstellt.
    • Sie fügen dem Cluster- und CLAG-Setup eine weitere VPX-Instanz hinzu.

    Infolgedessen stoppt der Datenverkehr zur VPX-Instanz.

    [NSPLAT-21049]

  • In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance wird der erste Knoten aufgrund einer Nichtübereinstimmung der MAC-Adressen in der CLIP- und MAC-Tabelle DOWN, wenn die folgenden Bedingungen erfüllt sind:

    • Die CLAG wird auf einer Mellanox-NIC erstellt.
    • Sie entfernen den zweiten Knoten aus dem Cluster.

    [NSPLAT-21042]

  • Während des Citrix ADC VPX HA-Failovers schlägt die elastische IP-Adressverschiebung in der AWS-Cloud fehl, wenn Sie ein IPset konfigurieren, ohne das IPset an eine IP-Adresse zu binden.

    [ NSHELP-29425 ]

  • Das HA-Failover für die Citrix ADC VPX-Instanz in der GCP- und AWS-Cloud schlägt fehl, wenn das Kennwort eines RPC-Knotens ein Sonderzeichen enthält.

    [NSHELP-28600]

Richtlinien

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

  • Eine Citrix ADC-Appliance stürzt möglicherweise beim Hinzufügen von Richtlinien mit patset ab, wenn die folgende Bedingung erfüllt ist:

    • Das mit NSB verknüpfte Flag ist für das Szenario Rewrite TCP in der falschen Reihenfolge gesetzt.

    [NSHELP-31064]

SSL

  • Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL Refresh deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Zertifikatauthentifizierungsregel bei derselben Anforderung zweimal ausgewertet und ausgelöst wird.

    [NSHELP-31785]

  • Wenn das SSL-Abfangen aktiviert ist und die DNS-Server keine gültige DNS-Antwort zurückgeben, wird der Zugriff auf die Website blockiert.

    [ NSHELP-30201 ]

System

  • Die Citrix ADC-Appliance mit der SSL-Konfiguration des virtuellen Serverdiensttyps stürzt ab, wenn die folgende Bedingung erfüllt ist:

    • Die Citrix ADC-Appliance empfängt das TCP-FIN-Steuerpaket, gefolgt vom TCP RESET-Steuerpaket.

    [NSHELP-31656]

  • Die Citrix ADC-Appliance meldet einen falschen SNMP-Alarm auf den SYN-Flood-Zählern des Dienstes.

    [NSHELP-28710, NSHELP-28713]

  • Erhöhte Neuübertragungen von Paketen sind in öffentlichen Cloud-MPTCP-Cluster-Bereitstellungen zu beobachten, wenn Linkset deaktiviert ist.

    [NSHELP-27410]

  • Eine Citrix ADC-Appliance sendet möglicherweise ein ungültiges TCP-Paket zusammen mit TCP-Optionen wie SACK-Blöcken, Zeitstempel und MPTCP-Daten-ACK bei MPTCP-Verbindungen.

    [NSHELP-27179]

  • Eine Nichtübereinstimmung in Logstream-Datensätzen wird in der Citrix ADC-Appliance und im Datenlader beobachtet.

    [NSHELP-25796]

  • Einige SYSLOG-Meldungen werden verworfen, wenn Sie sich mit dem TCP-Protokoll an einem externen SYSLOG-Server anmelden.

    [ NSHELP-24522 ]

  • In bestimmten Szenarien verfehlen bei der nstrace-Paketerfassung alle Pakete, wenn Sie den IP-Adressbasierten Filter anwenden.

    [ NSHELP-23483 ]

  • Wenn Sie Citrix ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

    Problemumgehung: Starten Sie den Management-Pod neu.

    [NSBASE - 15556]

  • In einer Cluster-Konfiguration wird ein Knoten mit CCO-Priorität aufgrund von Netzwerkproblemen von Open vSwitch (OVS) getrennt. Nachdem der Knoten wieder in die Cluster-Konfiguration aufgenommen wurde, erhält er nicht das neueste SYN-Cookie.

    [NSBASE - 14419]

Benutzeroberfläche

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie Cloudbridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der Citrix ADC-GUI oder CLI hinzufügen.

    [NSUI-13024]

  • In einer Citrix ADC-Appliance schlägt das Binden der Cache-Richtlinie zum Überschreiben von global oder default global über die GUI-Schnittstelle mit dem folgenden Fehler fehl:

    • Erforderliches Argument fehlt.

    Dieser Fehler tritt beim Binden der Cache-Richtlinie über die CLI-Schnittstelle nicht auf.

    [NSHELP-30826]

  • Aufgrund einer falschen Upgrade-Installationsreihenfolge tritt das folgende Problem in der Citrix ADC-Appliance auf.

    • Das Kernel-Image wird zuerst aktualisiert und nach einigen Schritten werden die Verschlüsselungsschlüssel kopiert. Zwischen diesen Schritten tritt ein Fehler auf und die ADC Appliance erstellt ein neues Image. Die fehlenden Verschlüsselungsschlüssel im neuen Image führen zu einem Fehler bei der Entschlüsselung und einer fehlenden Konfiguration.

    [ NSHELP-30755 ]

  • In einem Citrix ADC HA-Setup wird das folgende Problem in der Citrix ADC-GUI beobachtet, nachdem eine Konfiguration gespeichert und auf die Schaltfläche Aktualisieren geklickt wurde:

    • Die GUI zeigt fälschlicherweise den orangefarbenen Punkt auf der Schaltfläche Speichern an, auch wenn keine ungespeicherten Konfigurationsänderungen auf der Appliance vorhanden sind.

    [NSHELP-30031]

  • Die Citrix ADC GUI generiert möglicherweise fälschlicherweise ein Paket für den technischen Support des Clusters mit nur einem Knoten anstelle aller Clusterknoten.

    [NSHELP-28606]

  • Das Erstellen eines Pakets für den technischen Support für Cluster mithilfe der Citrix ADC GUI schlägt möglicherweise mit einem Fehler fehl.

    [NSHELP-28586]

  • Nach dem Upgrade eines Hochverfügbarkeitssetups oder eines Cluster-Setups auf Version 13.0 Build 74.14 oder höher schlägt die Konfigurationssynchronisierung möglicherweise aus folgendem Grund fehl:

    • Sowohl die privaten als auch die öffentlichen Schlüssel “ssh_host_rsa_key” sind ein falsches Paar.

    Problemumgehung: Generieren Sie “ssh_host_rsa_key” neu. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX322863.

    [NSHELP-27834]

  • Sie können einen Dienst oder eine Dienstgruppe nicht über die Citrix ADC GUI an einen virtuellen Lastausgleichsserver mit Priorität binden.

    [ NSHELP-27252 ]

  • In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

    • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

    Problemumgehung: Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Status “Synchronisierung erfolgreich”).

    [ NSHELP-25598 ]

  • Manchmal dauert es lange, bis die Firewall-Signaturen der Anwendung mit Nicht-CCO-Knoten synchronisiert werden. Daher können Befehle, die diese Dateien verwenden, fehlschlagen.

    [NSCONFIG-4330]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

    1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:

      • Build 13.0 52.24
      • Build 12.1 57.18
      • Build 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
    3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

    Um die Liste dieser Systembenutzer über die CLI anzuzeigen, geben Sie
    in der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]<!--NeedCopy-->

    Workaround:

    Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
    • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Versionshinweise für die Citrix ADC Version 13.0-87.9