Citrix ADC

Versionshinweise für Citrix ADC 13.1—27.59 Version

In diesem Dokument mit Versionshinweisen werden die Verbesserungen und Änderungen sowie behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.1—27.59 bestehen.

Hinweise

Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.

Neue Features

Die Verbesserungen und Änderungen, die in Build 13.1—27.59 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

Benutzern die Verwendung der Intune NAC v2-Konfiguration mit den neuen Microsoft Graph-APIs ermöglichen

Sie können jetzt die Intune NAC v2-Konfiguration mit den neuen Microsoft Graph-APIs anstelle der veralteten AAD Graph-APIs verwenden.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-gateway/current-release/microsoft-intune-integration.html. und https://docs.citrix.com/en-us/citrix-gateway/current-release/microsoft-intune-integration/extended-support-for-azure-ad-graph.html..

[ NSAUTH-11897 ]

Bot-Verwaltung

Stylebook für WAF/Bot-Management auf Citrix Gateway-Geräten

Sie können jetzt WAF- und BOT-Richtlinien für Citrix Gateway-Geräte zum Schutz der Gateway-Anmeldeseite konfigurieren. Zwei neue Standard-Stylebooks sind jetzt für die WAF/Bot-Verwaltung auf Citrix Gateway-Geräten verfügbar:

  • Stylebook für Citrix Gateway-Anmeldeseitenschutz mit WAF und BOT
  • Stylebook für Citrix Gateway-Anmeldeseitenschutz mit WAF und BOT mit WAF- und Bot-Sicherheitsverletzungen

Um das Standard-Stylebook für die WAF/Bot-Verwaltung auf dem Gateway zu verwenden, navigieren Sie zu Anwendungen > Konfiguration > StyleBooks. Geben Sie den Namen des StyleBooks in das Suchfeld ein und drücken Sie die Eingabetaste . Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-application-delivery-management-software/current-release/stylebooks/how-to-use-default-stylebooks.html%23to-create-a-configuration-from-a-default-stylebook.

[NSBOT-755]

Aktivieren der Bot-Erkennungsfunktion für alle Citrix ADC Premium-Berechtigungen

Die Bot-Erkennungsfunktion zusammen mit den Signatur- und IP-Reputationsprüfungen ist jetzt standardmäßig für alle Citrix ADC Premium-Berechtigungen aktiviert.

Sie können den Bot-Verkehr, der in Ihre Umgebung gelangt, und die von der Citrix ADC-Appliance ausgeführten Maßnahmen anzeigen. Außerdem erfasst die ADC-Appliance die folgenden Bot-Verkehrsinformationen in den SNMP-Protokollmeldungen:

  • Anzahl der erkannten Bots
  • Die beiden wichtigsten Kategorien von erkannten Bots
  • Der Ort, an dem Sie weitere Details zu den erkannten Bots finden

Weitere Informationen finden Sie unter Bot-Erkennung.

[NSBOT-752]

Citrix Web App Firewall

Neue Signaturen automatisch aktivieren

Sie können jetzt Neue Signaturen automatisch aktivieren auswählen, damit neue Standardregeln für WAF-Signaturen nach einem Update automatisch aktiviert werden.

[NSWAF-8825]

Vertrauliche Felder in einem WAF-Profil

Sie können jetzt vertrauliche Felder in einem WAF-Profil hinzufügen. Diese Felder sind maskiert und werden nicht in den ADC-Protokollen erfasst, wenn ein Verstoß auftritt. Zuvor konnten Sie diese Felder nur mit Einstellungen hinzufügen.

[NSWAF-8525]

Unterstützung für benutzerdefinierte Schlüsselwörter für HTML-Payload

Sie können Schlüsselwörter Ihrer Wahl hinzufügen und prüfen, ob diese konfigurierten Schlüsselwörter in der HTML-Payload vorhanden sind. Wenn die konfigurierten Schlüsselwörter in den eingehenden Anforderungen erkannt werden, können Sie die Citrix ADC-Appliance so konfigurieren, dass die Anforderungen blockiert, die Protokolle aktualisiert oder die Protokollzähler erhöht werden.

Mit dieser Funktion können Sie Schlüsselwörter hinzufügen, die bei den Einschleusungsschutzprüfungen für SQL und Befehle nicht behandelt werden, und somit die Fehlalarme reduzieren

[NSWAF-8520]

Grammatikbasierter Ansatz zur Erkennung von Befehlseinschleusung in HTML-Payloads

Die NextGen Citrix Web App Firewall-Lösung wurde jetzt erweitert, um den grammatikbasierten Ansatz zur Erkennung von Befehlseinschleusung zu unterstützen. Dieser Ansatz reduziert Fehlalarme in HTML-Payloads.

Bisher wurde nur der musterbasierte Ansatz unterstützt.

[NSWAF-8270]

Netzwerke

Jetzt können Sie den NSIP:8080-Port auf Citrix ADC CPX für die Konfiguration des virtuellen Servers verwenden. Zuvor war dieser Port reserviert und für die Benutzerkonfiguration nicht verfügbar.

[NSNET-25399]

Unterstützung für Geneve-Tunnel in einem Cluster-Setup

Geneve-Tunnel werden jetzt in einem Cluster-Setup von Citrix ADC-Appliances unterstützt.

[NSNET-24773]

Verbesserungen um den Schweregrad beim Senden von SNMP-Trap-Nachrichten einzubeziehen

Die Citrix ADC VPX Appliance enthält jetzt den Schweregrad in den SNMP-Trap-Nachrichten als variable Bindung. Verwenden Sie den folgenden Befehl mit der Option severityInfoInTrap :

  • set snmp option -severityInfoInTrap ENABLED

Wenn diese Option aktiviert ist, ist der Schweregrad des Traps in der SNMP-Trap-Nachricht enthalten.

[NSNET-21603]

Plattform

Unterstützung von IPv6-Adressen für hohe Verfügbarkeit von Citrix ADC in AWS

Das Citrix ADC VPX-Hochverfügbarkeitspaar unterstützt jetzt IPv6-Adressen in derselben AWS-Verfügbarkeitszone. Bisher wurden nur IPv4-Adressen unterstützt.

[NSPLAT-16672]

Benutzeroberfläche

Microsoft hat die Unterstützung für den Internet Explorer-Browser ab Juni 2022 eingestellt. Weitere Informationen finden Sie unter https://support.microsoft.com/en-us/windows/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2.

Ab Citrix ADC Version 13.1 27.x unterstützt die Citrix ADC-Appliance den Internet Explorer nicht mehr für den Zugriff auf ihre GUI.

Wenn Sie mit dem Internet Explorer auf die Citrix ADC GUI zugreifen, zeigt die Citrix ADC-Appliance eine Meldung an, dass der Internet Explorer nicht unterstützt wird. Es wird auch eine Liste der unterstützten Browser für den Zugriff auf die GUI empfohlen.

[NSUI-18224]

Bestätigungsaufforderung zum Aktivieren oder Deaktivieren einer Funktion in der Citrix ADC GUI

Die Citrix ADC GUI fordert Sie jetzt auf, den Vorgang zu bestätigen, wenn Sie eine Citrix ADC-Funktion in der GUI aktivieren oder deaktivieren. Die Bestätigungsaufforderung verhindert das versehentliche Aktivieren oder Deaktivieren einer Citrix ADC-Funktion.

[NSUI-18098]

Behobene Probleme

Die Probleme, die in Build 13.1—27.59 behoben wurden.

Authentifizierung, Autorisierung und Auditing

Rewrite-Richtlinien für Endpoints wie /logon/LogonPoint/Resources/List and /cgi/Resources/List werden nicht unterstützt.

[ NSHELP-29488 ]

Citrix ADC SDX-Appliance

Die Zeitzoneneinstellungen der Citrix Service Virtual Machine funktionieren nicht wie erwartet.

[NSHELP-32114]

In einer Citrix ADC SDX-Appliance wird eine höhere Speicherauslastung aufgrund eines hohen Volumens an SNMP-Datenverarbeitung festgestellt.

[ NSHELP-30222 ]

Die SNMP-Walk-Anwendung, die auf der Citrix ADC SDX-Appliance für die SDX-ROOT-MIB: :xenTable ausgeführt wird, benötigt mehr Zeit als erwartet.

[NSHELP-30085]

Citrix Gateway

Manchmal können Benutzer im erweiterten clientlosen VPN-Modus nicht auf die Lesezeichen zugreifen.

[ NSHELP-30939 ]

Das im ICA-Proxymodus für die UDP-Audioverbindung konfigurierte Citrix Gateway-Gerät stürzt möglicherweise aufgrund eines Speicherfehlers

[NSHELP-30919]

Der Start der ICA-App schlägt unter folgenden Bedingungen fehl:

  • Die Funktion Content Security Policy (CSP) ist aktiviert.
  • Der Benutzer meldet sich über einen Browser an, verwendet jedoch die Citrix Workspace-App, um die App zu starten.

[ NSHELP-30534 ]

Die Citrix Gateway-Appliance stürzt möglicherweise während der Kanalanalyse ab, wenn HDX Insight aktiviert und NSAP deaktiviert ist.

[NSHELP-30029]

Gateway Insight meldet einen falschen Authentifizierungsfehler, noch bevor der Benutzer die Anmeldeinformationen für die Anmeldung sendet, wenn die Authentifizierungsregel so konfiguriert ist, dass sie einer der Anforderungen im Anmeldeablauf entspricht.

[NSHELP-29313]

Der App-Start schlägt nach Eingabe Ihrer Anmeldeinformationen fehl, wenn das Sitzungsprofil den FQDN von StoreFront enthält. Der folgende Fehler wird angezeigt.

‘Http/1.1 Internal Server Error 43531’

Mit diesem Fix können Kunden den FQDN anstelle der WI-Adresse des Sitzungsprofils in IP eingeben.

[NSHELP-26671]

Citrix Web App Firewall

Die Protokolle für No user-agent header action und multi user-agent header action verwenden möglicherweise falsch die Protokollmeldung der IP-Reputationsprüfung.

[NSHELP-31935]

Eine Citrix ADC-Appliance stürzt möglicherweise beim Verarbeiten von BOT-Signatursuchen mit langsamen DNS-Servern ab.

[NSHELP-31642]

Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn Cross-Site Scripting in der Signaturregel aktiviert ist.

[NSHELP-31617]

Lastausgleich

In einigen Fällen wird der Status des Dienstes nicht mit dem Status des Monitors synchronisiert.

[NSHELP-31747]

Die Citrix ADC-Appliance stürzt beim Entfernen des Nameservers ab, wenn die folgenden Bedingungen erfüllt sind:

  • DNS-Server und Namenserver sind auf derselben IP-Adresse und demselben Port konfiguriert.
  • Die Listenrichtlinie ist auf dem DNS-Server festgelegt.

[NSHELP-31142]

Eine Citrix ADC-Appliance stürzt während der Löschkonfiguration möglicherweise ab, wenn Persistenzeinträge vorhanden sind und eine große Anzahl von virtuellen Dummy-Lastausgleichsservern und virtuellen Gruppenservern konfiguriert ist.

[NSHELP-30051]

Das Erstellen eines virtuellen Platzhalterdienstes schlägt fehl, wenn eine ungelöste WIHOME-Konfiguration auf der Citrix ADC-Appliance vorhanden ist.

[NSHELP-25627]

Sonstiges

Wenn in einer Citrix ADC-Appliance der Appliance ein zusätzlicher Datenträger hinzugefügt wird, wird im Absturzordner /var/crash/nslog ein Link für die Datei /var/nslog erstellt. Die im Absturzordner verfügbaren Dateien newnslog werden nicht im Collector-Ordner gesammelt, der vom technischen Support generiert wurde.

[NSHELP-31354]

Die Citrix ADC SWG-Appliance stürzt möglicherweise ab, wenn der einer Ressource zugewiesene Speicher nicht freigegeben wird, was zu einer hohen Speicherauslastung führt, selbst wenn kein Datenverkehr stattfindet.

[NSHELP-31290]

In einem Citrix ADC-Clustersetup mit konfigurierter Public-Key-Systemauthentifizierung wird das folgende Problem beobachtet:

  • VTYSH zeigt keine Informationen aller Clusterknoten auf dem Clusterkonfigurationskoordinator (CCO) an.

[NSHELP-28762]

Plattform

Auf der SDX 26000-Plattform (SDX 26100-100G, 26160-100G, 26200-100G, 26250-100G) wird die maximale Anzahl von CPU-Kernen, die einer einzelnen VPX-Instanz zugewiesen werden können, von 26 auf 25 CPU-Kerne geändert.

[NSPLAT-21233]

Die BYOL-Lizenz kann nicht auf eine Citrix ADC VPX-Instanz angewendet werden, die auf der ALI-Cloud-Plattform ausgeführt wird.

[NSHELP-31546]

SSL

Die Citrix ADC SDX-Appliance stürzt ab, wenn Kryptoeinheiten einer VPX-Instanz zugewiesen werden und die Jumbo-Konfiguration aktiviert ist.

[ NSHELP-30950 ]

Eine Citrix ADC-Appliance kann in den folgenden Szenarien abstürzen:

  • Ein Load-Balancing-Monitor vom Typ SSL und SSL-Dienst haben den gleichen Namen
  • Ein SSL-Dienst wurde umbenannt
  • Ein Load Balancing-Monitor wird gelöscht

[ NSHELP-30445 ]

Wenn das SSL-Abfangen aktiviert ist und die DNS-Server keine gültige DNS-Antwort zurückgeben, wird der Zugriff auf die Website blockiert.

[ NSHELP-30201 ]

Eine Citrix ADC-Appliance stürzt ab, wenn alle folgenden Bedingungen eintreten:

  • Ein standardmäßiges RSA-Zertifikatschlüsselpaar ist an einen internen Service gebunden.
  • Ein Nicht-RSA-Zertifikatschlüsselpaar ist an denselben Dienst gebunden.
  • HA-Synchronisierung erfolgt.

[NSHELP-30084]

System

Die Citrix ADC-Appliance stürzt ab, wenn die verwaltende Citrix ADM-Appliance eine Netzwerk-MTU größer als 1500 hat.

[NSHELP-30835]

Eine Citrix ADC-Appliance mit der clientseitigen Messkonfiguration kann unter der folgenden Bedingung eine Variable beschädigen, was zu einem Fehler beim Laden der Seite führt:

  • Die HTTP-Antwort enthält eine JavaScript-Variable, die größer als 2000 Byte ist.

[NSHELP-30026]

Wenn Sie in einer Citrix ADC-Appliance die erweiterten globalen Standardrichtlinien aufheben und die Konfiguration speichern, werden die Änderungen beim nächsten Neustart nicht berücksichtigt.

[ NSHELP-19867 ]

Die Citrix ADC-Appliance verwirft Pakete, die benutzerdefinierte HTTP-Header mit einem Punktzeichen im Feld Headername enthalten. Diese Aktion tritt auf, weil der Parameter allowOnlyWordCharactersAndHyphen im Standard-HTTP-Profil standardmäßig aktiviert ist.

Ab 13.1-27.x ist der Parameter allowOnlyWordCharactersAndHyphen im Standard-HTTP-Profilsatz standardmäßig deaktiviert. Citrix empfiehlt jedoch, diesen Parameter für eine bessere Sicherheit aktiviert zu lassen.

[NSBASE - 16722]

Benutzeroberfläche

Sie können Mitglieder von Load Balancing-Dienstgruppen nicht über die GUI des Citrix ADC Version 13.0 Version 85.15 Build trennen.

[NSHELP-31474]

Auf der Seite System > Diagnose in der Citrix ADC GUI werden die Seitendetails für Kunden mit einer Advanced-Lizenz nicht angezeigt.

[ NSHELP-31330 ]

Das Aufzeichnen einer Paketverfolgung funktioniert auf einer Admin-Partition möglicherweise nicht wie erwartet.

[NSHELP-31321]

Die Wiederverbindung zur Citrix ADC-Appliance schlägt mit dem folgenden Fehler fehl, wenn beim Ausführen des Befehls show run in der CLI-Schnittstelle CTRL+C eingegeben wird:

  • Invalid username or password

Dieses Problem tritt auf, wenn die Zeichen in Schlüssel und Kennwort identisch sind.

[NSHELP-30817]

Aufgrund einer falschen Upgrade-Installationsreihenfolge tritt das folgende Problem in der Citrix ADC-Appliance auf.

  • Das Kernel-Image wird zuerst aktualisiert und nach einigen Schritten werden die Verschlüsselungsschlüssel kopiert. Zwischen diesen Schritten tritt ein Fehler auf und die ADC Appliance erstellt ein neues Image. Die fehlenden Verschlüsselungsschlüssel im neuen Image führen zu einem Fehler bei der Entschlüsselung und einer fehlenden Konfiguration.

[ NSHELP-30755 ]

Bekannte Probleme

Die Probleme, die in Version 13.1—27.59 bestehen.

AppFlow

HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

[ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Auditing

Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]

Das DualAuthPushOrOTP.xml LoginSchema wird im Bildschirm des Anmeldeschema-Editors der Citrix ADC GUI nicht ordnungsgemäß angezeigt.

[ NSAUTH-6106 ]

Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird. show adfsproxyprofile <profile name>

Problemumgehung:

Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

[ NSAUTH-5916 ]

Die Seite Authentifizierung LDAP-Server konfigurieren auf der Citrix ADC-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

  • Die Option LDAP-Erreichbarkeit testen wird geöffnet.
  • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
  • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

Problemumgehung:

Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

[ NSAUTH-2147 ]

Caching

Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

[NSHELP-22942]

Citrix ADC SDX-Appliance

Wenn auf einer Citrix ADC SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

[ NSSVM-4333 ]

In einer Citrix ADC SDX-Appliance wird die VLAN-Postivliste nicht mit dem richtigen Wert für die Mellanox-Schnittstellen aktualisiert, die einer Citrix ADC VPX-Instanz zugewiesen sind.

[NSHELP-31849]

Wenn Sie eine Citrix SDX-Appliance aktualisieren, wird in der Verwaltungsdienst-GUI das folgende falsche Ereignis gemeldet, obwohl die Hypervisor-Version sowohl für die aktuelle als auch für die aktualisierte SDX-Version identisch ist:

SVM- und Hypervisor-Version stimmen nicht überein

[NSHELP-31769]

Die Installation eines SSL-Zertifikats auf einer Citrix ADC SDX-Appliance schlägt fehl, wenn der Zertifikatsname oder der Schlüsselname Leerzeichen enthält.

[NSHELP-31711]

Auf einer Citrix ADC SDX-Appliance platzen die ADC-Instanzen nicht auf maximale Kapazität, wenn Sie den Burst-Durchsatzzuweisungsmodus konfigurieren.

[ NSHELP-27477 ]

Paketverluste werden auf einer VPX-Instanz angezeigt, die auf einer Citrix ADC SDX-Appliance gehostet wird, wenn die folgenden Bedingungen erfüllt sind:

  • Der Durchsatzzuweisungsmodus ist Burst.
  • Es besteht ein großer Unterschied zwischen dem Durchsatz und der maximalen Burstkapazität.

[ NSHELP-21992 ]

Citrix Gateway

Direkte Verbindungen zu Ressourcen außerhalb des von Citrix Secure Access eingerichteten Tunnels schlagen möglicherweise fehl, wenn es zu einer erheblichen Verzögerung oder Überlastung kommt.

[NSHELP-31598]

Wenn Always on konfiguriert ist, schlägt der Benutzertunnel aufgrund der falschen Versionsnummer (1.1.1.1) in der Datei aoservice.exe fehl.

[NSHELP-30662]

Benutzer können keine Verbindung zur Citrix Gateway-Appliance herstellen, nachdem sie den Profilparameter “networkAccessOnVPNFailure” von “fullAccess” auf “onlyToGateway” geändert haben.

[NSHELP-30236]

Die Gateway-Startseite wird nicht sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat Um dieses Problem zu beheben, wird der folgende Registrierungswert eingeführt.

\HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds Typ: DWORD

Standardmäßig wird dieser Registrierungswert nicht festgelegt oder hinzugefügt. Wenn der Wert von SecureChannelResetTimeoutSeconds 0 ist oder nicht hinzugefügt wird, funktioniert der Fix zur Behandlung der Verzögerung nicht. Dies ist das Standardverhalten. Der Administrator muss diese Registrierung auf dem Client einrichten, um das Update zu aktivieren (das heißt, die Homepage wird sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat).

[NSHELP-30189]

Der Windows VPN-Client berücksichtigt die Warnung “SSL-Benachrichtigung zum Schließen” des Servers nicht und sendet die Anmeldeanforderung für die Übertragung über dieselbe Verbindung.

[ NSHELP-29675 ]

In einigen Fällen schlägt der Servervalidierungscode fehl, wenn das Serverzertifikat als vertrauenswürdig eingestuft wird. Daher können Endbenutzer nicht auf das Gateway zugreifen.

[ NSHELP-28942 ]

Möglicherweise stellen Sie einige interne IP-Adressen von Citrix in der Datei rdx.js fest.

[NSHELP-28682]

Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

[ NSHELP-28551 ]

Manchmal wird ein Benutzer innerhalb weniger Sekunden bei Citrix Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

[ NSHELP-28404 ]

Sie können die Bindung einer klassischen Autorisierungsrichtlinie nicht über die GUI aufheben. Sie können jedoch die CLI verwenden, um die Authentifizierungs-, Autorisierungs- und Überwachungsautorisierungsrichtlinie aufzuheben.

Mit diesem Fix können Sie jetzt die Autorisierungsrichtlinie über die GUI aufheben.

[ NSHELP-27064 ]

Das EPA-Plug-in für Windows verwendet keinen konfigurierten Proxy des lokalen Computers und stellt eine direkte Verbindung zum Gateway-Server her.

[ NSHELP-24848 ]

Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

[ NSHELP-23937 ]

Das VPN-Plug-in richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

  • Citrix Gateway-Appliance ist für Always On konfiguriert
  • Die Appliance ist für zertifikatbasierte Authentifizierung mit Zwei-Faktor-Authentifizierung konfiguriert off

[ NSHELP-23584 ]

Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung Cannot read property 'type' of undefined angezeigt.

[ NSHELP-21897 ]

Wenn Sie Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf Citrix Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und die in Version 12.1 nicht verfügbar sind.

[ CGOP-19355 ]

Ein Fehler beim Anwendungsstart aufgrund eines ungültigen STA-Ticket wird in Gateway Insight nicht gemeldet.

[ CGOP-13621 ]

Der Gateway Insight-Bericht zeigt fälschlicherweise den Wert Local statt SAML im Feld “Authentifizierungstyp” für SAML-Fehlerfehler an.

[ CGOP-13584 ]

In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

[ CGOP-13511 ]

Wenn eine ICA-Verbindung von einem MAC-Receiver Version 19.6.0.32 oder Citrix Virtual Apps and Desktops Version 7.18 gestartet wird, ist die HDX Insight-Funktion deaktiviert.

[CGOP-13494]

Wenn die EDT Insight-Funktion aktiviert ist, können Audiokanäle manchmal während einer Netzwerkabweichung ausfallen.

[CGOP-13493]

Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

[ CGOP-13050 ]

Der Text Home Page in der Citrix SSO App > Startseite wird für einige Sprachen abgeschnitten.

[ CGOP-13049 ]

Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

[ CGOP-11830 ]

Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellung auf Optionen klicken, wird das Dialogfeld Kritischer Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

[ CGOP-7269 ]

Citrix Web App Firewall

Eine Citrix ADC-Appliance stürzt möglicherweise beim Verarbeiten von BOT-Signatursuchen mit langsamen DNS-Servern ab.

[NSHELP-31642]

Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn Cross-Site Scripting in der Signaturregel aktiviert ist.

[NSHELP-31617]

Lastausgleich

In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

[ NSLB-7679 ]

In einigen Fällen wird der Status des Dienstes nicht mit dem Status des Monitors synchronisiert.

[NSHELP-31747]

Die Citrix ADC-Appliance stürzt möglicherweise ab und gibt den Core aus, wenn die folgenden Bedingungen erfüllt sind:

  • Static Proximity oder RTT wird als primäre oder Backup-Load-Balancing-Methode verwendet.
  • Die Persistenz der Quell-IP-Adresse ist aktiviert

[NSHELP-31735]

Das Format für serviceGroupName in dem Trap entityofs für die Dienstgruppe ist: <service(group)name>?<ip/DBS>?<port>

Im Trapformat wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Trennzeichen verwendet. Der Citrix ADC sendet den Trap mit dem Fragezeichen (?). Das Format erscheint in der Citrix ADM GUI gleich. Dies ist das erwartete Verhalten.

[NSHELP-28080]

In bestimmten Szenarien zeigen Server, die an eine Dienstgruppe gebunden sind, einen ungültigen Cookie-Wert an. Sie können den richtigen Cookie-Wert in den Ablaufverfolgungsprotokollen sehen.

[NSHELP-21196]

Sonstiges

Wenn eine erzwungene Synchronisierung in einem Hochverfügbarkeitssetup stattfindet, führt die Appliance den Befehl set urlfiltering parameter im sekundären Knoten aus. Infolgedessen überspringt der sekundäre Knoten jede geplante Aktualisierung bis zur nächsten geplanten Zeit, die im Parameter TimeOfDayToUpdateDB erwähnt wird.

[NSSWG-849]

Die AlwaysOnAllow Listenregistrierung funktioniert nicht wie erwartet, wenn der Registrierungswert größer als 2000 Byte ist.

[NSHELP-31836]

Wenn in einer Citrix ADC-Appliance der Appliance ein zusätzlicher Datenträger hinzugefügt wird, wird im Absturzordner /var/crash/nslog ein Link für die Datei /var/nslog erstellt. Die im Absturzordner verfügbaren Dateien newnslog werden nicht im Collector-Ordner gesammelt, der vom technischen Support generiert wurde.

Problemumgehung:

Sammeln Sie die fehlenden newslog-Dateien manuell.

[NSHELP-31354]

Eine Citrix ADC-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter der URL-Filterung auftritt.

[NSHELP-22409]

Netzwerke

In einer Citrix ADC BLX-Appliance mit DPDK-Unterstützung werden getaggte VLANs für DPDK-Intel i350-NIC-Ports nicht unterstützt. Dies wird beobachtet, da es sich um ein bekanntes Problem im DPDK-Treiber handelt.

[NSNET-25299]

Eine Citrix ADC BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn alle folgenden Bedingungen erfüllt sind:

  • Die Citrix ADC BLX-Appliance wird mit einer geringen Anzahl von zugewiesen hugepages. Zum Beispiel 1G.
  • Der Citrix ADC BLX-Appliance wird eine hohe Anzahl von Arbeitsprozessen zugewiesen. Zum Beispiel 28.

Das Problem wird als Fehlermeldung protokolliert in /var/log/ns.log:

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

Hinweis: x ist eine Zahl <= Anzahl von Arbeitsprozessen.

Problemumgehung:

Weisen Sie eine hohe Anzahl von hugepages zu und starten Sie die Appliance anschließend neu.

[NSNET-25173]

Eine Citrix ADC BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn die folgende Bedingung erfüllt ist:

  • Die Citrix ADC BLX-Appliance wird mit einer hohen Anzahl von zugewiesen hugepages. Zum Beispiel 16 GB.

Das Problem wird als Fehlermeldung protokolliert in /var/log/ns.log:

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

Problemumgehung:

Verwenden Sie eine der folgenden Problemumgehungen für dieses Problem:

  • Erhöhen Sie das Limit für offene Dateien auf dem Linux-Host, indem Sie entweder den Befehl ulimit verwenden oder die Datei limits.conf bearbeiten.
  • Reduzieren Sie die Anzahl der zugewiesenen hugepages.

[NSNET-24727]

Der Neustart einer Citrix ADC BLX-Appliance im DPDK-Modus kann aufgrund der einfachen DPDK-Funktionalität etwas länger dauern.

[NSNET-24449]

Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

  • Deaktivieren
  • Smartcard
  • Reset

[NSNET-16559]

Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Problemumgehung:

Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

  • dpkg — Architektur hinzufügen i386
  • apt-get update
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[NSNET-14602]

In einigen Fällen von FTP-Datenverbindungen führt die Citrix ADC-Appliance nur NAT-Operationen und keine TCP-Verarbeitung für die Pakete für die TCP-MSS-Aushandlung aus. Infolgedessen ist die optimale Schnittstellen-MTU nicht für die Verbindung eingestellt. Diese falsche MTU-Einstellung führt zu einer Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

[NSNET-5233]

Wenn ein Speicherlimit für die Administratorpartition in der Citrix ADC-Appliance geändert wird, wird das TCP-Pufferspeicherlimit automatisch auf das neue Speicherlimit der Administratorpartition festgelegt.

[NSHELP-21082]

Plattform

Das Hochverfügbarkeitsfailover funktioniert nicht in AWS- und GCP-Clouds. Die Verwaltungs-CPU erreicht möglicherweise ihre Kapazität von 100% in AWS- und GCP-Clouds und Citrix ADC VPX on-premises. Beide Probleme werden verursacht, wenn die folgenden Bedingungen erfüllt sind:

  1. Beim ersten Start der Citrix ADC-Appliance speichern Sie das angeforderte Kennwort nicht.
  2. Anschließend starten Sie die Citrix ADC-Appliance neu.

[ NSPLAT-22013 ]

Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den Citrix ADC-Appliances installiert. Dieses Problem wurde für die folgenden Citrix ADC-Versionen behoben:

  • 13.1-4.x
  • 13.0-82.31 und später
  • 12.1-62.21 und später

Die Python-Pakete werden nicht installiert, wenn Sie die Citrix ADC-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

  • Jeder 11.1-Build
  • 12.1-62,21 und früher
  • 13.0-81.x und früher

[NSPLAT-21691]

In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance gibt es eine CLAG-MAC-Nichtübereinstimmung auf dem zweiten Knoten und CLIP, wenn die folgenden Bedingungen erfüllt sind:

  • Die CLAG wird auf einer Mellanox-NIC erstellt.
  • Sie fügen dem Cluster- und CLAG-Setup eine weitere VPX-Instanz hinzu.

Infolgedessen stoppt der Datenverkehr zur VPX-Instanz.

[NSPLAT-21049]

In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance wird der erste Knoten aufgrund einer Nichtübereinstimmung der MAC-Adressen in der CLIP- und MAC-Tabelle DOWN, wenn die folgenden Bedingungen erfüllt sind:

  • Die CLAG wird auf einer Mellanox-NIC erstellt.
  • Sie entfernen den zweiten Knoten aus dem Cluster.

[NSPLAT-21042]

Wenn Sie eine Autoscale-Einstellung oder einen VM-Maßstabssatz aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der Citrix ADC-Instanz. Verwenden Sie den Befehl rm cloudprofile, um das Profil zu löschen.

[NSPLAT-4520]

In einem Hochverfügbarkeitssetup auf Azure wird bei der Anmeldung am sekundären Knoten über die GUI der Bildschirm für den Erstbenutzer (FTU) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt. Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich beim primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil sollte immer auf dem primären Knoten konfiguriert werden.

[ NSPLAT-4451 ]

Ab Citrix ADC Version 13.1 kann die Citrix ADC-Appliance nicht in einem ESXi Hypervisor mit mehr als 8 VMXNET3-Netzwerkschnittstellen hochgefahren werden.

[ NSHELP-31266 ]

Richtlinien

Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße. Workaround: Stellen Sie die TCP-Puffergröße auf die maximale Größe der zu verarbeitenden Daten ein.

[ NSPOLICY-1267 ]

SSL

Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

Problemumgehung:

  1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
  2. Speichern Sie die Konfiguration.

[NSSSL-9572]

Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[NSSSL-6478]

Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

[NSSSL-6213]

Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben. ERROR: crl refresh disabled

[NSSSL-6106]

Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[NSSSL-4427]

Eine falsche Warnmeldung Warning: No usable ciphers configured on the SSL vserver/service, wird angezeigt, wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern.

[NSSSL-4001]

Ein abgelaufenes Sitzungsticket wird nach einem HA-Failover auf einem Nicht-CCO-Knoten und auf einem HA-Knoten berücksichtigt. [ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

Eine Citrix ADC-Appliance kann in den folgenden Szenarien abstürzen:

  • Ein Load-Balancing-Monitor vom Typ SSL und SSL-Dienst haben den gleichen Namen
  • Ein SSL-Dienst wurde umbenannt
  • Ein Load Balancing-Monitor wird gelöscht

[ NSHELP-30445 ]

System

Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 festgelegt, wenn die Appliance den max_concurrent_stream-Einstellungsrahmen nicht vom Client empfängt.

[NSHELP-21240]

Die mptcp_cur_session_without_subflow-Zähler verringern fälschlicherweise auf einen negativen Wert statt auf Null.

[NSHELP-10972]

Wenn Sie in einer Clusterbereitstellung den Befehl force cluster sync auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge. [NSBASE-16304, NSGI-1293]

Wenn Sie Citrix ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

Problemumgehung: Starten Sie den Management-Pod neu.

[NSBASE - 15556]

Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

[NSBASE-8506]

Benutzeroberfläche

Für die MQTT-Rewrite-Funktion können Sie einen Ausdruck nicht mit dem Ausdruckseditor in der GUI löschen.

Problemumgehung:

Verwenden Sie den Befehl zum Hinzufügen oder Bearbeiten von Aktionen vom Typ MQTT über die CLI.

[NSUI-18049]

In der Citrix ADC-GUI ist der Help-Link unter der Dashboard-Registerkarte defekt.

[NSUI-14752]

Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

Problemumgehung:

Konfigurieren Sie Cloudbridge-Konnektoren, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln über die Citrix ADC-GUI oder CLI hinzufügen.

[NSUI-13024]

Wenn Sie über die GUI einen ECDSA-Schlüssel erstellen, wird der Kurventyp nicht angezeigt.

[NSUI-6838]

In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

  • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

Problemumgehung:

Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Erfolgsstatus Sync).

[ NSHELP-25598 ]

In einem Hochverfügbarkeitssetup von Citrix ADC BLX-Appliances reagiert der primäre Knoten möglicherweise nicht mehr und blockiert CLI- oder API-Anforderungen.

Problemumgehung:

Starten Sie den primären Knoten neu.

[NSCONFIG -6601]

Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

  1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:

    • Build 13.0 52.24
    • Build 12.1 57.18
    • Build 11.1 65.10
  2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
  3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

Um die Liste dieser Systembenutzer über die CLI anzuzeigen: Geben Sie an der Eingabeaufforderung Folgendes ein:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Problemumgehung:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

  • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
  • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
  • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

[NSCONFIG-3188]

Versionshinweise für Citrix ADC 13.1—27.59 Version