Citrix ADC

Versionshinweise für Citrix ADC 13.1—12.51 Release

In diesem Dokument mit den Versionshinweisen werden die Erweiterungen und Änderungen sowie behobene und bekannte Probleme beschrieben, die für die Citrix ADC-Version Build 13.1—12.51 bestehen.

Build 13,1—12.51 ersetzt Build 13,1—12.50.

Dieser Build enthält auch eine Lösung für das folgende Problem: NSWAF-8668.

Hinweise

Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.

Neue Features

Die Verbesserungen und Änderungen, die in Build 13.1—12.51 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

Unterstützung der neuesten Versionen von Intune NAC-APIs

Die Citrix Gateway-Unterstützung für Intune Network Access Control (NAC) wurde jetzt für die neuesten Versionen von Intune NAC-APIs erweitert.

[ NSAUTH-9722 ]

Unterstützung für die aktive GSLB-Bereitstellung für die nFactor-Authentifizierung mithilfe des Verbindungsproxys

Es wurde jetzt Unterstützung für die aktive GSLB-Bereitstellung für die nFactor-Authentifizierung mithilfe des Verbindungsproxys hinzugefügt. Diese Unterstützung gilt sowohl für Citrix Gateway als auch für Authentifizierungs-, Autorisierungs- und Überwachungsszenarien. Wenn derzeit verschiedene Faktoren in der nFactor-Authentifizierung konfiguriert sind und wenn das Gateway für GSLB konfiguriert ist, kann die Authentifizierung unterbrochen werden, wenn die Clientanforderung auf verschiedenen GSLB-Sites landet.

Wenn beispielsweise LDAP als erster Faktor und RADIUS als zweiter Faktor konfiguriert ist, kann die Authentifizierung im folgenden Szenario unterbrochen werden.

  • Kundenanfrage für LDAP landet auf GSLB-Standort 1.
  • Die Radiusanfrage landet auf der GSLB-Website 2. Der Verbindungsproxy wird jetzt verwendet, um Anforderungen an die richtigen GSLB-Sites weiterzuleiten, um die Authentifizierung abzuschließen und den Datenverkehr

[ NSAUTH-7141 ]

Citrix ADC SDX Appliance

Auf einer Citrix ADC SDX-Appliance fragt der Management Service die Citrix ADC-Instanzen im Hintergrund nach Vorgängen wie SSL-Zertifikaten, Netzwerkfunktionen und Konfigurationsprüfung ab. Sie können diese Abfrage jetzt je nach Anforderung aktivieren und deaktivieren. Durch Deaktivieren dieser Abfrage wird die Leistung des Verwaltungsdienstes und der ADC-Instanzen verbessert.

[ NSSVM-4991 ]

Citrix Web App Firewall

Ausführliche Protokollierung für JSON-Sicherheitsprüfungen (SQL, CMD und XSS)

Mit der Citrix ADC-Appliance können Sie jetzt ausführliche Parameter der Protokollebene für die Protokollierung von Verletzungsdetails wie Muster, Musternutzlast und HTTP-Headerdetails für JSON-Sicherheitsprüfungen konfigurieren. Die Protokolldetails werden dann zur Überwachung und Fehlerbehebung an den Citrix ADM-Server gesendet. Die ausführliche Protokollnachricht wird nicht in der Datei ns.log gespeichert.

[ NSWAF-8269 ]

Veraltete Web App Firewall Classic-Auditlog-Richtlinien

Um Richtlinien der Web App Firewall global zu binden, APPFW_GLOBAL ist jetzt ein neuer globaler Bindungstyp in den bind audit nslogGlobal Befehlen bind audit syslogGlobal und konfigurierbar. Die global gebundenen Überwachungsprotokollrichtlinien werden im Protokollierungskontext der Web App Firewall ausgewertet.

[ NSWAF-406 ]

Lastausgleich

Rewrite-Richtlinienunterstützung für das MQTT-Protokoll

Die Rewrite-Funktion unterstützt jetzt das MQTT-Protokoll. Sie können die Richtlinie zum Umschreiben so konfigurieren, dass sie Aktionen basierend auf den Parametern in den MQTT-Clientanforderungen und Serverantworten durchführt.

[ NSLB-8661 ]

Prioritätsauftrag für Dienstleistungen

Mit der Funktion “Prioritätsreihenfolge für Dienste” können Sie die Reihenfolge von Diensten oder Dienstgruppen basierend auf den Auswahleinstellungen für den Lastausgleich priorisieren. Sie können jetzt die Dienstauswahlreihenfolge konfigurieren, wenn Sie die Dienste oder Dienstgruppen an die virtuellen LB- oder GSLB-Server binden. Ein neuer Parameter, -order, <number> wird zu den Bind-Befehlen hinzugefügt, um die Dienstauswahleinstellung zu konfigurieren.

Standardmäßig hat die niedrigste Auftragsnummer die höchste Priorität. Sie können dieses Standardauswahlverhalten jedoch verschieben. Mit der neuen LB-Aktion und den Richtlinienbefehlen können Sie jetzt die Dienstauswahlreihenfolge basierend auf dem eingehenden Clientverkehr konfigurieren.

Die Prioritätsreihenfolge für Dienste imitiert das Verhalten der primären und virtuellen virtueller Backupserverkettenfunktionalität mit weniger Konfigurationsbefehlen.

[ NSLB-8039 ]

Netzwerke

Fügen Sie die Client-IP-Adresse in den äußeren IP-Tunnel-Header ein, um die Konfiguration des Lastausgleichs

In einer sitzungslosen Lastausgleichskonfiguration mit den folgenden Einstellungen verwendet die Citrix ADC-Appliance des Verkapselungsgeräts eine SNIP-Adresse anstelle der Client-IP-Adresse als Quell-IP im äußeren Header des IP-Tunnels.

  • Virtueller Lastausgleichsserver:

  • Umleitungsmodus (m): IP-Tunnel
  • sitzungslos: aktiviert

  • Globaler Parameter IP-Tunnel:

  • Client-Quell-IP-Adresse verwenden (useClientSourceIP): aktiviert

In einigen Szenarien muss der Tunneldekapsulator (ein Back-End-Citrix ADC oder ein Back-End-Server) jedoch die IP-Adresse des Clients kennen.

Um diese Anforderung zu erfüllen, verwendet die Citrix ADC-Appliance des Verkapselungsgeräts jetzt die Client-IP-Adresse als Quell-IP im äußeren Header des IP-Tunnels.

Weitere Informationen finden Sie unter Konfigurieren des Lastenausgleichs im DSR-Modus mithilfe von IP über IP.

[ NSNET-21804 ]

Plattform

Das VMware ESXi-Image wird bis zur Version 13 der virtuellen Hardware gestartet

Wenn Sie eine Citrix ADC VPX-Instanz aus dem VMware ESXi-Image (ab 12.1) bereitstellen, wird die virtuelle Maschine standardmäßig mit der Hardwareversion 13 geliefert.

[ NSPLAT-21416 ]

Unterstützung für Intel Ethernet-Controller X710 und XL710 Serie auf Citrix Hypervisor

Sie können jetzt eine Citrix ADC VPX-Instanz konfigurieren, die auf Citrix Hypervisor ausgeführt wird, mithilfe der Single-Root-E/A-Virtualisierung (SR-IOV) mit den folgenden NICs:

  • Intel X710 10 G
  • Intel XL710 40 G

[ NSPLAT-21410 ]

Bereitstellen eines VPX-Paars mit hoher Verfügbarkeit unter Verwendung privater IP-Adressen mit AWS Shared VPC

Sie können jetzt ein VPX-Paar mit hoher Verfügbarkeit unter Verwendung privater IP-Adressen in verschiedenen AWS-Zonen mit AWS Shared Virtual Private Clouds (VPCs) bereitstellen. Mit der VPC-Freigabe können mehrere AWS-Konten ihre Anwendungsressourcen in gemeinsam genutzten, zentral verwalteten VPCs erstellen. Sie können Citrix ADC VPX-Instanzen in AWS Shared VPC erstellen. Die gemeinsam genutzte VPC reduziert die Anzahl der VPCs, die Sie erstellen und verwalten, während separate Konten für die Abrechnung und Zugriffssteuerung verwendet werden.

[ NSPLAT-21401 ]

SSL

Neuer Ausdruck zur Erkennung von Malware basierend auf JA3-SSL-Fingerabdruck

Ein neuer SSL-Ausdruck, CLIENT.SSL.JA3_FINGERPRINT, wurde hinzugefügt, mit dem böswillige Anfragen identifiziert werden können, indem die Anforderung mit dem konfigurierten JA3-Fingerabdruck verglichen wird.

Beispiel: add ssl policy ja3_pol -rule "CLIENT.SSL.JA3_FINGERPRINT.EQ(bb4c15a90e93a25ddc16274395bce4c6)" -action reset

[ NSSSL-10156 ]

Unterstützung für Zertifikatspaket im Cluster

Zertifikatpakete werden jetzt in einem Cluster-Setup unterstützt.

[ NSSSL-9854 ]

Unterstützung für SSL-Zertifikat-Paket

Die Zertifikatbündelfunktion wurde erweitert, um das Bundle als Einheit zu behandeln. Daher müssen nicht für jedes Zwischenzertifikat Dateien erstellt werden. Zwei Zertifikatspakete können jetzt einen Teil der Zwischenzertifikatkette gemeinsam nutzen. Sie können auch ein Zertifikatsschlüsselpaar mit demselben Serverzertifikat und demselben Schlüssel hinzufügen, die auch Teil eines Zertifikatpakets sind. Das Entfernen des Zertifikatbündels wird ebenfalls vereinfacht.

Zuvor wurden beim Hinzufügen eines Zertifikatpakets mehrere Befehle in der Konfiguration hinzugefügt. Sie können kein weiteres Zertifikatspaket hinzufügen, wenn zwei Bundles ein gemeinsames Zwischenzertifikat gemeinsam genutzt haben. Das Entfernen war auch ein manueller Vorgang.

[ NSSSL-9425 ]

System

Die Befehle im Zusammenhang mit der HTML-Einschleusung wurden in Release 13.1 entfernt. Diese Änderung entfernt den gesamten Backend-Code.

[ NSBASE-14742 ]

Behobene Probleme

Die Probleme, die in Build 13.1—12.51 behoben wurden.

Authentifizierung, Autorisierung und Auditing

Die Citrix ADC-Appliance stürzt ab, wenn E-Mail-OTP konfiguriert ist.

[ NSHELP-29312 ]

Das native OTP-Verschlüsselungstool erlaubt keine Sonderzeichen im Gerätenamen.

[ NSHELP-28795 ]

Wenn Sie sich bei der Citrix ADC-Appliance anmelden, wird ein leeres Kennwortfeld angezeigt, wenn die beiden folgenden Bedingungen erfüllt sind.

  • Duo-Zwei-Faktor-Authentifizierung ist konfiguriert
  • Das RFWebUI-Portalthema wird verwendet

[ NSHELP-27868 ]

Der Zugriff auf einen Dienst wird verweigert, wenn die folgenden Bedingungen erfüllt sind:

  • Der Dienst ist an einen virtuellen Authentifizierungsserver gebunden.
  • 401-Authentifizierung ist auf dem Dienst und dem virtuellen Server konfiguriert, an den der Dienst gebunden ist.

[ NSHELP-26903 ]

In einem seltenen Szenario kann der sekundäre Knoten in einem Hochverfügbarkeits-Setup abstürzen, wenn die folgende Bedingung erfüllt ist.

  • Die aaa groups und/oder aaa users sind auf der Citrix ADC-Appliance konfiguriert.

[ NSHELP-26732 ]

Wenn das Administratorkennwort für LDAP-, RADIUS- oder TACACS-Dienste das doppelte Anführungszeichen (“) enthält, entfernt die Citrix ADC-Appliance es während der Test Connectivity Überprüfung, was zu einem Verbindungsfehler führt.

[ NSHELP-23630 ]

Citrix ADC SDX Appliance

Auf den Plattformen Citrix ADC SDX 14000-40G, 15000 und 15000-50G schlägt das Einstellen der Schnittstellengeschwindigkeit mithilfe der CLI fehl.

[ NSHELP-29388 ]

Wenn Sie das Profil auf einer ADC-Instanz ändern, die auf der Citrix ADC SDX-Plattform gehostet wird, bemerken Sie möglicherweise einige zusätzliche Einträge für den save config Befehl in der Protokolldatei.

[ NSHELP-29343 ]

Auf einer Citrix ADC SDX-Appliance gibt ein SNMP-Agent, der im Verwaltungsdienst ausgeführt wird, einen falschen Fehlercode für nicht vorhandene OIDs zurück.

[ NSHELP-29209 ]

Die Daten in der ADC-Ereignistabelle können nun seitenübergreifend sortiert werden, wenn die Gesamtzahl der Datensätze weniger als 5000 beträgt.

[ NSHELP-29170 ]

Citrix Gateway

Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn EPA konfiguriert ist und nicht genügend Speicher verfügbar ist.

[ NSHELP-28329 ]

Das Verzeichnis /var/netscaler/logon/logonPoint/custom/ wird nach einem Upgrade nicht erstellt, wenn das Verzeichnis ursprünglich nicht vorhanden war.

[ NSHELP-28223 ]

Möglicherweise sehen Sie eine zusätzliche Zeile für NS_AUDITLOG_STR*-Protokolle in der Datei ns_aaa_json.c.

[ NSHELP-28160 ]

Die DNS-Registrierung funktioniert nicht, nachdem die VPN-Verbindung hergestellt wurde.

Um dieses Problem zu beheben, müssen Sie den nsapimgr-Knopf nsapimgr_wr.sh -ys call=toggle_vpn_configured_dns_disable_override aktivieren.

[ NSHELP-27760 ]

Manchmal werden während der Transferanmeldung Intranet-IP-Subnetze auf der Clientseite falsch angezeigt.

[ NSHELP-26904 ]

Die ICA-Latenz einer Sitzung wird fälschlicherweise als 64.000 ms im Citrix Director aufgezeichnet, wenn die L7-Latenz aktiviert ist. Die L7-Latenz ist aktiviert, wenn der nsapimgr Regler auf 1 eingestellt enable_ica_l7_latency ist.

[ NSHELP-23459 ]

Die Gateway Insight-Protokolldatei wird mit der folgenden Meldung überflutet, wenn sich Benutzer bei der Citrix Gateway-Appliance anmelden und auf die ICA-Apps zugreifen.

GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero Oct 25 23:01:31 <local0.err> 10.217.24.1Oct 25 23:01:31 <local0.err> 10.217.24.101 10/26/2021:06:01:31 GMT NSGWTHDR 0-PPE-0 : default SSLVPN Message 10491736 0 : GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero

[ CGOP-19685 ]

Die Enterprise Lesezeichenfunktion des Citrix Gateway-Portals unterstützt nur die folgenden Protokolle. Alle anderen Lesezeichen sind gesperrt. http://, https://rdp://, und ftp://.

[ CGOP-19543 ]

Citrix Web App Firewall

Wenn Sie WAF-Signaturen verwenden, müssen Sie nach dem Upgrade des Builds alle WAF-Signaturen einschließlich der Standardsignaturen auf die neueste Version aktualisieren. Aktivieren Sie dann die erforderlichen Signaturregeln erneut.

[ NSWAF-8668 ]

In einigen Fällen kann eine Citrix ADC-Appliance abstürzen, wenn Trap-URLs im Bot-Verwaltungssystem automatisch generiert werden.

[ NSHELP-29339 ]

Lastausgleich

Die GSLB-Dienstgruppe kann aufgrund eines fehlenden ENUM-Werts in fehlgeschlagenen Befehlen keine Überwachungsaktualisierungen verarbeiten.

[ NSHELP-29050 ]

Die Citrix ADC-Appliance stürzt ab, während sie versucht, Speicher freizugeben, der in einer anderen Partition als der, von der sie befreit wird, zugewiesen ist.

[ NSHELP-29038 ]

Wenn ein DNS-Datensatz vom Typ ZONE für die übergeordnete Domäne verfügbar ist, führt eine Abfrage nach der untergeordneten Domäne mit einem vorhandenen NS-Eintrag zu einem SOA-Datensatz der übergeordneten Domäne anstelle des NS-Eintrags der untergeordneten Domäne.

[ NSHELP-28793 ]

Die Citrix ADC-Appliance reagiert möglicherweise nicht auf eine GSLB-Domänenabfrage mit einer erwarteten GSLB-Dienst-IP-Adresse, wenn der virtuelle GSLB-Server wie folgt konfiguriert ist: Persistenztyp: Quell-IP-Adresse Load-Balancing-Algorithmus: Statische Nähe Backup-Lastausgleichsmethode: Round Fahrzeit (RTT)

[ NSHELP-28668 ]

Der Loadbalancing- oder GSLB-domänenbasierte Autoscale-Dienstgruppenstatus bleibt DOWN, wenn Sie einen Platzhalterport verwenden.

[ NSHELP-28548 ]

Die letzte Antwortnachricht wird für Monitore, die an GSLB-Dienstgruppen gebunden sind, falsch angezeigt.

[ NSHELP-28393 ]

Der CookieTimeout-Wert wird während des GET-Vorgangs falsch festgelegt, was zum Fehlschlagen des Aktualisierungsvorgangs des virtuellen CS-Servers führt.

[ NSHELP-27979 ]

Eine Citrix ADC-Appliance schlägt möglicherweise fehl, wenn die Monitorprobe für den Monitortyp MySQL behandelt wird, was schließlich zu einem Neustart des Systems führt.

[ NSHELP-27953 ]

Sonstiges

Die Citrix ADC CPX-Instanz, die auf einem Linux-System mit 64-Bit-Architektur und 1 TB Dateispeicher ausgeführt wird, kann jetzt Zertifikat- und Schlüsseldateien laden.

[ NSHELP-28986 ]

Der Musterabgleich für URL-Satz schlägt für IDNA2008-Standarddomänen fehl.

[ NSHELP-28902 ]

Wenn die MAC-basierte Weiterleitung (MBF) für VXLAN aktiviert ist, wurde die statusbehaftete TCP-Sitzung nicht eingerichtet.

[ NSHELP-27125 ]

Netzwerke

Das Aktualisieren einer Citrix ADC-Appliance mit Administratorpartitionen kann zu einem gewissen Konfigurationsverlust führen, wenn die folgende Bedingung erfüllt ist:

  • Wenn der gesamte verfügbare Systemspeicher Admin-Partitionen zugewiesen ist.

[ NSNET-23031 ]

BESCHRÄNKUNGEN -

Die VLAN-ID 2 ist für den internen Gebrauch reserviert

Die VLAN-ID 2 ist für die interne Verwendung für Bereitstellungen im Bridge- und None-Modus reserviert. Citrix ADC CPX bindet alle Schnittstellen außer der 0/1 an die VLAN-ID 2 und die MTU (Maximum Transmission Units) der VLAN-ID 2 ist gleich der MTU der eth0-Schnittstelle. Wenn Sie VLAN konfigurieren und die Schnittstelle damit binden möchten, setzen Sie die MTU im VLAN auf die unter Linux konfigurierte MTU der Schnittstelle, wenn die Schnittstellen-MTU weniger als 1500 Byte beträgt.

[ NSNET-22807 ]

Eine Citrix ADC BLX-Appliance im DPDK-Modus kann abstürzen, wenn ein Web Application Firewall-Profil mit erweiterten Sicherheitsschutzprüfungen konfiguriert ist.

[ NSNET-22654 ]

Die Citrix ADC-Appliance stürzt möglicherweise beim Erstellen einer Monitorprobe für den zugehörigen Dienst ab, wenn die folgenden Bedingungen erfüllt sind:

  • Ein Netzprofil mit einem IP-Satz, der mindestens eine IPv4-Adresse und keine IPv6-Adresse hat. Das Netzprofil ist an einen Monitor gebunden, der auf einen IPv6-Dienst eingestellt ist.
  • Ein Netzprofil mit einem IP-Satz, der mindestens eine IPv6-Adresse und keine IPv4-Adresse hat. Das Netzprofil ist an einen Monitor gebunden, der auf einen IPv4-Dienst eingestellt ist.

[ NSHELP-29382 ]

In einer Citrix ADC-Appliance gehen passive FTP-Datenverbindungen möglicherweise nach einem Fehler bei der Speicherzuweisung verloren.

[ NSHELP-26522 ]

Plattform

Die Citrix ADC VPX-Instanzen, die den VMXNET3-Treiber verwenden, stürzen möglicherweise zufällig ab, wenn die Instanz auf einem der folgenden Citrix ADC-Builds ausgeführt wird:

  • Citrix ADC 13.1 erstellen 4.x
  • Citrix ADC 13.1 erstellen 9.x

[ NSHELP-29120 ]

Richtlinien

Eine Citrix ADC-Appliance kann unter den folgenden Bedingungen abstürzen:

  • Eine Überwachungsmeldungsaktion wird mit dem String Builder-Ausdruck konfiguriert, wobei eine oder mehrere REGEX-Funktionen auf den Text einer Anforderung angewendet werden.
  • Ein Anwendungs-Firewall-Profil, bei dem die Streaming-Option aktiviert ist.

Zum Beispiel HTTP.REQ.BODY (10000000) .REGEX_SELECT (re/name=[^\ r\ n]*[\ r\ n]+/).

[ NSHELP-27895 ]

SSL

Eine Citrix ADC-Appliance stürzt während der Verarbeitung einer HTTP-Anforderung ab, wenn die Richtlinienaktion Forward für eine Richtlinie festgelegt ist, die bereits an den Anforderungsbindepunkt gebunden ist.

[ NSHELP-29115 ]

Eine Citrix ADC-Appliance stürzt ab, wenn die folgenden Schritte ausgeführt werden:

  1. Ein Monitor vom Typ SSL wird hinzugefügt.
  2. Ein Zertifikatsschlüsselpaar ist an den Monitor gebunden.
  3. Der Monitor ist entfernt.
  4. Ein weiterer Monitor mit demselben Namen wird hinzugefügt.
  5. Das Zertifikatsschlüsselpaar wurde aktualisiert.

[ NSHELP-28666 ]

Alle IP-Adressen in einem SAN-Zertifikat werden jetzt angezeigt. Früher wurde nur die letzte SAN-IP-Adresse aller IP-Adressen im SAN-Zertifikat angezeigt.

[ NSHELP-27336 ]

SSL-Handshake schlägt fehl, wenn Sie DH-Verschlüsselungen mit einem externen HSM verwenden.

[ NSHELP-25307 ]

System

Wenn eine Citrix ADC-Appliance einen HTTP/2-GOWAY-Frame von einem Client erhält, setzt sie fälschlicherweise alle Streams mit Stream-ID zurück, die größer als die zugesagte ID ist (letzte Peer-initiierte Stream-ID).

[ NSHELP-29328 ]

Auf einem Citrix ADM meldet der ADM-Agent möglicherweise eine hohe Speicherauslastung aufgrund eines Problems im ADM-Agent.

[ NSHELP-29285 ]

Die Citrix ADC-Appliance stürzt ab, wenn alle folgenden Bedingungen erfüllt sind:

  • Eine Inhaltsüberprüfungsaktion mit einer Server-IP-Adresse verwendet die internen Daten eines Dienstes, sofern bereits konfiguriert.
  • Daher werden die internen Daten des Dienstes auch entfernt, wenn die CI-Aktion entfernt wird.
  • Wenn der eigentliche Dienst entfernt wird, versucht die Citrix ADC-Appliance, auf die bereits entfernten internen Daten zuzugreifen und sie zu löschen.

[ NSHELP-28293 ]

In einer Citrix ADC-Appliance mit Admin-Partitionen wird das nstrace Dienstprogramm möglicherweise nicht ordnungsgemäß in einer nicht standardmäßigen Partition ausgeführt

[ NSBASE-15738 ]

In einer Cluster-Konfiguration wird ein Knoten mit CCO-Priorität aufgrund von Netzwerkproblemen von Open vSwitch (OVS) getrennt. Nachdem der Knoten wieder in die Cluster-Konfiguration aufgenommen wurde, erhält er nicht das neueste SYN-Cookie.

[ NSBASE-14419 ]

Benutzeroberfläche

ADC-Instanzen in einem Cluster-Modus, der mit gepoolter Kapazität konfiguriert ist, sinken. Dieses Problem tritt auf, wenn ein Hostname in den Clusterknoten konfiguriert ist und wenn die Knoten beim Booten mehr Zeit benötigen, um eine Verbindung zum ADM-Lizenzserver herzustellen.

[ NSHELP-28613 ]

Die Citrix ADC GUI generiert möglicherweise fälschlicherweise ein Paket für den technischen Support des Clusters mit nur einem Knoten anstelle aller Clusterknoten.

[ NSHELP-28606 ]

Das Erstellen eines Pakets für den technischen Support für Cluster mithilfe der Citrix ADC GUI schlägt möglicherweise mit einem Fehler fehl.

[ NSHELP-28586 ]

In einer Citrix ADC CLI-Schnittstelle werden die Optionen zum Binden von Befehlen nicht automatisch ausgefüllt, wenn Sie die <Tab> Taste drücken, während Sie den Befehl in der Eingabeaufforderung eingeben.

Geben Sie beispielsweise den folgenden Befehl ein, und wenn Sie den <Tab> Schlüssel verwenden, werden die Objekte nicht automatisch ausgefüllt.

bind authentication vserver <authvservername> -policy <Tab>.

Hier kann der virtuelle Authentifizierungsserver an mehrere Objekttypen wie Radius-Richtlinie, Idappolicy, Cert-Richtlinie, TACAS-Richtlinie, erweiterte Authentifizierungsrichtlinie usw. gebunden werden.

[ NSCONFIG-6340 ]

Bekannte Probleme

Die Probleme, die in Version 13.1—12.51 bestehen.

AppFlow

HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

[ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Auditing

In einigen Fällen wird in einer Citrix ADC-Appliance ein Speicherleck beobachtet, wenn die SSO-Funktionalität mit einem Proxyserver verwendet wird.

[ NSHELP-27744 ]

Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]

Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC GUI nicht korrekt angezeigt.

[ NSAUTH-6106 ]

Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird. show adfsproxyprofile <profile name>

Workaround:

Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Es würde den Status des Proxy-Profils anzeigen.

[ NSAUTH-5916 ]

Die Seite Authentifizierung LDAP-Server konfigurieren auf der Citrix ADC GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

  • Die Option LDAP-Erreichbarkeit testen wird geöffnet.
  • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
  • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

Workaround:

Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

[ NSAUTH-2147 ]

Zwischenspeichern

Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

[ NSHELP-22942 ]

Citrix ADC SDX Appliance

Wenn auf einer Citrix ADC SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

[ NSSVM-4333 ]

Auf einer Citrix ADC SDX-Appliance platzen die ADC-Instanzen nicht auf maximale Kapazität, wenn Sie den Burst-Durchsatzzuweisungsmodus konfigurieren.

[ NSHELP-27477 ]

Paketverluste werden auf einer VPX-Instanz angezeigt, die auf einer Citrix ADC SDX-Appliance gehostet wird, wenn die folgenden Bedingungen erfüllt sind:

  • Der Durchsatzzuweisungsmodus ist Burst.
  • Es besteht ein großer Unterschied zwischen dem Durchsatz und der maximalen Burstkapazität.

[ NSHELP-21992 ]

Citrix Gateway

In einigen Fällen schlägt der Servervalidierungscode fehl, wenn das Serverzertifikat als vertrauenswürdig eingestuft wird. Daher können Endbenutzer nicht auf das Gateway zugreifen.

[ NSHELP-28942 ]

Manchmal kann der DNS-Resolver nach dem Trennen des VPN die Hostnamen nicht auflösen, da die DNS-Suffixe während der VPN-Trennung entfernt werden.

[ NSHELP-28848 ]

Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

[ NSHELP-28551 ]

Manchmal wird ein Benutzer innerhalb weniger Sekunden bei Citrix Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

[ NSHELP-28404 ]

Das Windows-Plug-in kann während der Authentifizierung abstürzen.

[ NSHELP-28394 ]

Das EPA-Plug-in für Windows verwendet keinen konfigurierten Proxy des lokalen Computers und stellt eine direkte Verbindung zum Gateway-Server her.

[ NSHELP-24848 ]

Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

[ NSHELP-23937 ]

Das VPN-Plug-in richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

  • Citrix Gateway-Appliance ist für Always On konfiguriert
  • Die Appliance ist für zertifikatbasierte Authentifizierung mit Zwei-Faktor-Authentifizierung konfiguriert off

[ NSHELP-23584 ]

Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung Cannot read property 'type' of undefined angezeigt.

[ NSHELP-21897 ]

Wenn Sie Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf Citrix Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und die in Version 12.1 nicht verfügbar sind.

[ CGOP-19355 ]

Ein Fehler beim Start der Anwendung aufgrund eines ungültigen STA-Tickets wird in Gateway Insight nicht gemeldet.

[ CGOP-13621 ]

Der Gateway Insight-Bericht zeigt den Wert fälschlicherweise Local anstelle des SAML Felds Authentifizierungstyp für SAML-Fehlerfehler an.

[ CGOP-13584 ]

In einem Hochverfügbarkeits-Setup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

[ CGOP-13511 ]

Während lokale Host-Verbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

[ CGOP-13050 ]

Der Text Home Page in der Citrix SSO-App > Homepage wird für einige Sprachen gekürzt.

[ CGOP-13049 ]

Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC GUI hinzufügen oder bearbeiten.

[ CGOP-11830 ]

Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellung auf Optionen klicken, wird ein Dialogfeld Kritischer Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

[ CGOP-7269 ]

Wenn Sie in einer Clusterbereitstellung den Befehl force cluster sync auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

[ CGOP-6794 ]

Lastausgleich

In einem Hochverfügbarkeits-Setup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

[ NSLB-7679 ]

Das Format für ServiceGroupName in der Trap entityofs für die Dienstgruppe ist: <service(group)name>?<ip/DBS>?<port>

Im Trap-Format wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Trennzeichen verwendet. Der Citrix ADC sendet den Trap mit dem Fragezeichen (?). Das Format erscheint in der Citrix ADM GUI gleich. Dies ist das erwartete Verhalten.

[ NSHELP-28080 ]

Sonstiges

Wenn eine erzwungene Synchronisierung in einem Hochverfügbarkeits-Setup stattfindet, führt die Appliance den set urlfiltering parameter Befehl im sekundären Knoten aus. Infolgedessen überspringt der sekundäre Knoten jede geplante Aktualisierung bis zur nächsten geplanten Zeit, die im TimeOfDayToUpdateDB Parameter erwähnt wird.

[ NSSWG-849 ]

Eine Citrix ADC-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter der URL-Filterung auftritt.

[ NSHELP-22409 ]

Netzwerke

Nach einem Upgrade von Citrix ADC BLX Appliance 13.0 61.x Build auf 13.0 64.x Build gehen die Einstellungen in der BLX-Konfigurationsdatei verloren. Die BLX-Konfigurationsdatei wird dann auf die Standardeinstellungen zurückgesetzt.

[ NSNET-17625 ]

Die folgenden Schnittstellenvorgänge werden für X710 10G (i40e) Intel-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

  • Deaktivieren
  • Smartcard
  • Reset

[ NSNET-16559 ]

Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine Citrix ADC BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (/etc/blx/blx.conf) immer im freigegebenen Modus bereitgestellt. Dieses Problem tritt auf mawk, weil, das standardmäßig auf Debian-basierten Linux-Systemen vorhanden ist, einige der in der blx.conf Datei vorhandenen awk-Befehle nicht ausführt.

Workaround:

Installieren Sie gawk vor der Installation einer Citrix ADC BLX Appliance. Sie können den folgenden Befehl in der Linux-Host-CLI zur Installation ausführen gawk:

  • apt-get installiere gawk

[ NSNET-14603 ]

Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Workaround:

Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

  • dpkg — Architektur hinzufügen i386
  • apt-get update
  • apt-get dist-upgrade
  • apt-get installiert libc6:i386

[ NSNET-14602 ]

In einigen Fällen von FTP-Datenverbindungen führt die Citrix ADC-Appliance nur NAT-Operationen und keine TCP-Verarbeitung für die Pakete für die TCP-MSS-Aushandlung aus. Infolgedessen ist die optimale Schnittstellen-MTU nicht für die Verbindung eingestellt. Diese falsche MTU-Einstellung führt zu einer Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

[ NSNET-5233 ]

In einem Hochverfügbarkeits-Setup werden dynamische Routen bei Nichtübereinstimmung der HA-Version zwischen beiden Knoten nicht mit dem sekundären Knoten synchronisiert. Der sekundäre Knoten ist nicht erreichbar, wenn seine Erreichbarkeit von den dynamischen Routen abhängt.

Als Fix werden dynamische Routen mit dem sekundären Knoten synchronisiert, auch wenn die HA-Version nicht übereinstimmt.

[ NSHELP-28326 ]

Wenn ein Speicherlimit für die Administratorpartition in der Citrix ADC-Appliance geändert wird, wird das TCP-Pufferspeicherlimit automatisch auf das neue Speicherlimit der Administratorpartition festgelegt.

[ NSHELP-21082 ]

Plattform

Das Hochverfügbarkeits-Failover funktioniert nicht in AWS- und GCP-Clouds. Die Verwaltungs-CPU erreicht möglicherweise ihre Kapazität von 100% in AWS- und GCP-Clouds und Citrix ADC VPX on-premises. Beide Probleme werden verursacht, wenn die folgenden Bedingungen erfüllt sind:

  1. Beim ersten Start der Citrix ADC-Appliance speichern Sie das angeforderte Kennwort nicht.
  2. Anschließend starten Sie die Citrix ADC-Appliance neu.

[ NSPLAT-22013 ]

Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den Citrix ADC-Appliances installiert. Dieses Problem wurde für die folgenden Citrix ADC-Versionen behoben:

  • 13.1-4.x
  • 13.0-82.31 und später
  • 12.1-62.21 und später

Die Python-Pakete werden nicht installiert, wenn Sie die Citrix ADC-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

  • Jeder 11.1-Build
  • 12.1-62,21 und früher
  • 13.0-81.x und früher

[ NSPLAT-21691 ]

Die Provisioning einer VPX-Instanz mit Version 12.0 XVA schlägt auf einer Citrix ADC SDX-Appliance mit Version 13.1 fehl.

Nur VPX-Versionen 12.1 und höher werden unterstützt. Aktualisieren Sie die VPX-Version, bevor Sie das SBI auf Version 13.1 aktualisieren.

[ NSPLAT-21442 ]

In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance gibt es eine CLAG-MAC-Nichtübereinstimmung auf dem zweiten Knoten und CLIP, wenn die folgenden Bedingungen erfüllt sind:

  • Die CLAG wird auf einer Mellanox-NIC erstellt.
  • Sie fügen dem Cluster- und CLAG-Setup eine weitere VPX-Instanz hinzu.

Infolgedessen stoppt der Datenverkehr zur VPX-Instanz.

[ NSPLAT-21049 ]

In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance wird der erste Knoten aufgrund einer Nichtübereinstimmung der MAC-Adressen in der CLIP- und MAC-Tabelle HERUNTERGEFAHREN, wenn die folgenden Bedingungen erfüllt sind:

  • Die CLAG wird auf einer Mellanox-NIC erstellt.
  • Sie entfernen den zweiten Knoten aus dem Cluster.

[ NSPLAT-21042 ]

Wenn Sie eine Autoscale-Einstellung oder einen VM-Maßstabssatz aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der Citrix ADC-Instanz. Verwenden Sie den Befehl rm cloudprofile, um das Profil zu löschen.

[ NSPLAT-4520 ]

In einem Hochverfügbarkeits-Setup auf Azure wird bei der Anmeldung am sekundären Knoten über die GUI der Bildschirm für den Erstbenutzer (FTU) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt. Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich beim primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil sollte immer auf dem primären Knoten konfiguriert werden.

[ NSPLAT-4451 ]

Richtlinien

Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße. Workaround: Stellen Sie die TCP-Puffergröße auf die maximale Größe der zu verarbeitenden Daten ein.

[ NSPOLICY-1267 ]

SSL

Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

Workaround:

  1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
  2. Speichern Sie die Konfiguration.

[ NSSSL-9572 ]

Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:

  • add azure application
  • add azure keyvault
  • add ssl certkey with hsmkey option

[ NSSSL-6484 ]

Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[ NSSSL-6478 ]

Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

[ NSSSL-6213 ]

Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben. FEHLER: crl refresh deaktiviert

[ NSSSL-6106 ]

Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[ NSSSL-4427 ]

Eine falsche Warnmeldung Warning: No usable ciphers configured on the SSL vserver/service, wird angezeigt, wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern.

[ NSSSL-4001 ]

Ein abgelaufenes Sitzungsticket wird nach einem HA-Failover auf einem Nicht-CCO-Knoten und auf einem HA-Knoten berücksichtigt.

[ NSSSL-3184 ]

System

Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 festgelegt, wenn die Appliance den Einstellungsrahmen max_concurrent_stream nicht vom Client erhält.

[ NSHELP-21240 ]

Die mptcp_cur_session_without_subflow-Zähler verringern fälschlicherweise auf einen negativen Wert statt auf Null.

[ NSHELP-10972 ]

Bei der Verarbeitung großer Ströme von gRPC-Verkehr steigt das angekündigte TCP-Fenster exponentiell an, was zu einer hohen Speichernutzung führt.

[ NSBASE-15447 ]

Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

[ NSBASE-8506 ]

ICAP-Unterstützung für Citrix ADC

Eine Citrix ADC-Appliance unterstützt jetzt Internet Content Adaptation Protocol (ICAP) für den Content-Transformationsdienst für HTTP- und HTTPS-Verkehr Die Appliance fungiert als ICAP-Client und arbeitet mit ICAP-Servern von Drittanbietern wie Antimalware und Data Leak Prevention (DLP) zusammen. Die ICAP-Server führen eine Inhaltstransformation für die HTTP- und HTTPS-Nachrichten durch und antworten als geänderte Nachrichten auf die Appliance zurück. Die angepassten Nachrichten sind entweder eine HTTP- oder eine HTTPS-Antwort oder -Anfrage. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/netscaler/12-1/security/icap-for-remote-content-inspection.html

[ NSBASE-825 ]

Benutzeroberfläche

Für die MQTT-Rewrite-Funktion können Sie einen Ausdruck nicht mit dem Ausdruckseditor in der GUI löschen.

Workaround:

Verwenden Sie den Befehl zum Hinzufügen oder Bearbeiten von Aktionen vom Typ MQTT über die CLI.

[ NSUI-18049 ]

In der Citrix ADC GUI ist der Help Link unter der Dashboard Registerkarte defekt.

[ NSUI-14752 ]

Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

Workaround:

Konfigurieren Sie Cloudbridge-Konnektoren, indem Sie mithilfe der Citrix ADC GUI oder CLI IPSec-Profile, IP-Tunnel und PBR-Regeln hinzufügen.

[ NSUI-13024 ]

Wenn Sie über die GUI einen ECDSA-Schlüssel erstellen, wird der Kurventyp nicht angezeigt.

[ NSUI-6838 ]

In einem Hochverfügbarkeits-Setup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

  • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

Workaround:

Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Erfolgsstatus Sync).

[ NSHELP-25598 ]

Wenn Sie eine Citrix ADC-Appliance Version 13.0-71.x auf einen früheren Build herunterstufen, funktionieren einige Nitro-APIs aufgrund der Änderungen der Dateiberechtigung möglicherweise nicht.

Workaround:

Ändern Sie die Berechtigung für /nsconfig/ns.conf auf 644.

[ NSCONFIG-4628 ]

Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestufenen Citrix ADC-Appliance anmelden.

  1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:
  • Build 13.0 52.24
  • Build 12.1 57.18
  • Build 11.1 65.10
  1. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
  2. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie an der Eingabeaufforderung Folgendes ein:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Workaround:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

  • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
  • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestufenen Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
  • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

[ NSCONFIG-3188 ]

Versionshinweise für Citrix ADC 13.1—12.51 Release