Citrix ADC

Versionshinweise für Citrix ADC 13.1—30.52 Release

In diesem Dokument mit Versionshinweisen werden die Verbesserungen und Änderungen sowie behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.1—30.52 bestehen.

Hinweise

Dieses Dokument mit den Versionshinweisen enthält keine sicherheitsrelevanten Fixes. Eine Liste der sicherheitsrelevanten Fixes und Advisories finden Sie im Citrix Sicherheitsbulletin.

Neuigkeiten

Die Verbesserungen und Änderungen, die in Build 13.1—30.52 verfügbar sind.

Netzwerke

Unterstützung des Asdot-Formats für 4-Byte-BGP-ASN

Die Citrix ADC-Appliance unterstützt jetzt die Konfiguration und Anzeige von 4-Byte-BGP-Systemnummern (ASN) im asdot-Format, wie in RFC 5396 definiert. Die Citrix ADC-Appliance unterstützt insgesamt die folgenden zwei Formate für BGP-ASNs:

  • asplain - Dezimalwertnotation, bei der sowohl 2-Byte- als auch 4-Byte-ASNs durch ihren Dezimalwert dargestellt werden. Beispielsweise ist 65527 eine 2-Byte-ASN und 234567 eine 4-Byte-ASN.

  • asdot - Punktnotation des autonomen Systems, bei der 2-Byte-ASNs durch ihren Dezimalwert (wie in asplain) und 4-Byte-ASNs durch eine Punktnotation dargestellt werden. Beispielsweise ist 65527 eine 2-Byte-ASN und 3,37959 eine 4-Byte-ASN. (3,37959 ist das Asdot-Format für die Dezimalzahl 234567).

[NSNET-26101]

Amazon Linux 2 auf AWS-Cloud-Unterstützung für Citrix ADC BLX-Appliances

Die Citrix ADC BLX Appliance wird jetzt auf Amazon Linux 2 in der AWS-Cloud unterstützt. Der Citrix ADC BLX unterstützt die Ausführung mit AWS Elastic Network Adapters (ENA) als DPDK-Ports auf Amazon Linux 2.

[ NSNET-25802 ]

Gleichmäßige Verteilung der Monitorsonden auf verfügbaren Routen

Von 13.1-30.x verwendet die Citrix ADC-Appliance den Hashing-Algorithmus, der auf den folgenden fünf Tupeln basiert, um eine Route für einen Load Balancing Monitorprobe auszuwählen.

  • Quell-IP-Adresse
  • Quell-Port
  • Ziel-IP-Adresse
  • Ziel-Port
  • Nummer des Protokolls

Die Auswahl der Routen anhand von Informationen aus fünf Tupeln gewährleistet eine gleichmäßige Verteilung der Monitorsonden auf den verfügbaren Routen. Diese gleichmäßige Verteilung verhindert die Überlastung des Verkehrs auf einer Route.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/route-selection-based-on-five-tuples.html.

[NSNET-24646]

SSL

Unterstützung für OCSP-Mehrfach-Staplinglösung

Wenn das TLS 1.3-Protokoll verwendet wird, enthalten alle Zwischenzertifikate jetzt die OCSP-Antworterweiterung in der Antwort auf die Statusanforderung vom Client. Bisher enthielt nur das Serverzertifikat diese Erweiterung in die Antwort auf die Statusanforderung des Clients.

[ NSSSL-9281 ]

Benutzeroberfläche

Der Befehl show ns licenseserverpool wurde optimiert, um Lizenzen in kürzerer Zeit abzurufen

Wenn Sie den Befehl show ns licenseserverpool ausführen, dauert das Abrufen der Lizenzen weniger Zeit. Dem Befehl add ns licenseserver wird ein neuer Parameter licensemode hinzugefügt, um den Lizenzmodus anzugeben. Der Befehl show ns licenseserverpool zeigt also nur Lizenzen an, die auf dem angegebenen Lizenzmodus basieren. Wenn Sie eine Bestandsaufnahme aller Lizenzen wünschen, verwenden Sie den Befehl show ns licenseserverpool -get alllicenses.

Zuvor wurde der Befehl show ns licenseserverpool verwendet, um alle Lizenzen unabhängig vom konfigurierten Lizenzmodus anzuzeigen. Infolgedessen nahm der Befehl mehr Zeit in Anspruch, um alle Lizenzen abzurufen.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/licensing.html#citrix-adc-self-managed-pool-license.

[NSCONFIG -6961]

Unterstützung für Self Managed Pool-Lizenz

Die Citrix ADC-Appliance unterstützt jetzt die Self Managed Pool-Lizenz, die das Hochladen von Lizenzdateien auf den Lizenzserver nach dem Kauf vereinfacht und automatisiert. Sie können Citrix ADM verwenden, um ein Lizenz-Framework zu erstellen, das aus einer gemeinsamen Bandbreite oder vCPU und dem Instanzpool besteht.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/licensing.html#citrix-adc-self-managed-pool-license.

[NSCONFIG -6592]

Unterstützung für Citrix ADC CPX-Lizenzaggregator

Jetzt können Sie den Citrix ADC CPX-Lizenzaggregator verwenden, einen neuen Kubernetes-Mikrodienst von Citrix, um Lizenzen für Citrix ADC CPX zu erhalten. Wenn Sie Citrix ADC CPX starten, sollten Sie die Umgebungsvariable CLA mit der IP-Adresse oder dem Domänennamen des Citrix ADC CPX-Lizenzaggregators konfigurieren. Wenn die Umgebungsvariable konfiguriert ist, checkt der Citrix ADC CPX-Lizenzaggregator die Gesamtlizenzen für alle verbundenen Citrix ADC CPXs aus.

[NSCONFIG -6394]

Behobene Probleme

Die Probleme, die in Build 13.1—30.52 behoben wurden.

Authentifizierung, Autorisierung und Auditing

Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die SAML-Metadaten-URL in der Konfiguration nicht mit einem umgekehrten Schrägstrich (/) endet oder diesen enthält.

[NSHELP-31937]

Wenn Sie einen Syslog-Server konfiguriert haben, wird in zwei Zeilen ein einzelnes SAML-bezogenes Protokoll angezeigt.

[ NSHELP-31750 ]

Beim Anwenden von Rewrite-Richtlinien für die Inhaltssicherheitsrichtlinie (CSP) auf einem virtuellen Authentifizierungsserver treten möglicherweise Probleme mit der Neuschreibung von Anwendungen auf.

[ NSHELP-31583 ]

Nicht-ASCII-Zeichen werden in nsvpn.log aufgezeichnet, wenn die LDAP-Aktion für einen FQDN anstelle einer IP-Adresse konfiguriert ist.

[ NSHELP-27281 ]

Die Citrix ADC GUI zeigt nicht die Standard-Cache-Richtlinien an, die an einen virtuellen VPN-Server gebunden sind.

[ NSHELP-26874 ]

Citrix ADC SDX-Appliance

In einer Citrix ADC SDX-Appliance schlägt das Erstellen oder Bearbeiten der Systemgruppen fehl.

[NSHELP-32359]

Die Citrix ADC SDX-Appliance sendet keine SNMP-Traps für die Hypervisor-Datenträgernutzung an Citrix ADM.

[NSHELP-32323]

In einer Citrix ADC SDX-Appliance wird die VLAN-Positivliste nicht mit dem richtigen Wert für die Mellanox-Schnittstellen aktualisiert, die einer Citrix ADC VPX-Instanz zugewiesen sind.

[NSHELP-31849]

Wenn Sie eine Citrix SDX-Appliance aktualisieren, wird in der Verwaltungsdienst-GUI das folgende falsche Ereignis gemeldet, obwohl die Hypervisor-Version sowohl für die aktuelle als auch für die aktualisierte SDX-Version identisch ist:

SVM- und Hypervisor-Version stimmen nicht überein

[NSHELP-31769]

Die Installation eines SSL-Zertifikats auf einer Citrix ADC SDX-Appliance schlägt fehl, wenn der Zertifikatsname oder der Schlüsselname Leerzeichen enthält.

[NSHELP-31711]

Manchmal schlägt das Hochladen der Skriptdatei nach der Installation (postinst.sh) auf Citrix Hypervisor während des Plattformupgrades fehl, wenn Sie die Citrix ADC SDX-Appliance von 13.0 auf 13.1 Firmware aktualisieren.

[NSHELP-31125]

Citrix Gateway

In einem Cluster-Setup stürzt die Citrix ADC-Appliance beim Senden der CGP_FINISH_REQUEST-Anforderung an den Client ab.

[NSHELP-32029]

Manchmal stürzt eine Citrix ADC-Appliance beim Zuweisen einer Intranet-IP-Adresse zu einem Client ab.

[NSHELP-31712]

Die Policy-Based Routing (PBR) -Richtlinien werden für DNS-Datenverkehr über VPN nicht wirksam.

[NSHELP-31123]

Wenn die klassische EPA-Richtlinie und die nFactor-Authentifizierung konfiguriert sind, werden die Gateway Insight-Ereignisse für eine erfolgreiche Authentifizierung nicht an Citrix Application Delivery Management gesendet.

[NSHELP - 30901]

Möglicherweise sehen Sie eine zusätzliche Zeile für NS_AUDITLOG_STR*-Protokolle in der Datei ns_aaa_json.c.

[NSHELP-28160]

Sie können die Bindung einer klassischen Autorisierungsrichtlinie nicht über die GUI aufheben. Sie können jedoch die CLI verwenden, um die Authentifizierungs-, Autorisierungs- und Überwachungsautorisierungsrichtlinie aufzuheben.

Mit diesem Fix können Sie jetzt die Autorisierungsrichtlinie über die GUI aufheben.

[ NSHELP-27064 ]

Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

[ NSHELP-23937 ]

Die Protokolle, die eine Sicherheitsanfälligkeit kennzeichnen, erfassen nicht die Quell-IP-Adresse des Clients. Diese Protokolle sind:

  • HTTP-Anfrage mit ungültigem Header/ungültiger Version löschen
  • Pfaddurchquerung erkannt
  • ‘/vpns/’ an einem unerwünschten Ort gefunden
  • Ungültige HTTP-Anfrage löschen

[CGOP-18190]

Citrix Web App Firewall

Auf einer Citrix ADC Appliance wird die Konsole möglicherweise mit Protokollmeldungen überflutet, und die Appliance sendet möglicherweise DNS-Abfragen an den Webroot Public Cloud-Dienstanbieter. Dies liegt daran, dass die IP-Reputationsfunktion, wenn sie deaktiviert ist, alle fünf Minuten statt alle 24 Stunden ausgeführt wird.

[ NSWAF-9299 ]

Lastausgleich

Eine Citrix ADC-Appliance stürzt möglicherweise ab und gibt den Core aus, wenn das Benutzerüberwachungsskript eine Antwort mit mehr als 1024 Byte zurückgibt.

[NSHELP - 32097]

In seltenen Fällen stürzt eine Citrix ADC-Appliance ab und gibt den Core aus, wenn die DNSSEC-Verarbeitung aktiviert ist und die DNS-Zonenkonfiguration vorhanden ist.

[NSHELP-31993]

Aufgrund einer seltenen Rennbedingung kann es zu Inkonsistenzen zwischen dem lokalen Standort und dem Remote-Standort kommen. Diese Inkonsistenz kann darauf zurückzuführen sein, dass die Remote-Site das dynamische Mitglied nicht von der lokalen Site lernt.

Das Entfernen dynamischer Mitglieder auf der Remote-Site kann aufgrund eines Problems bei der Kommunikation zwischen Paket-Engines nicht erfolgreich sein.

[NSHELP-31982]

SNMP-WALK-Anforderungen, die der vserverAdvanceSslConfigTable-OID entsprechen, führen zu einem Core-Dump, wenn die Prioritätsreihenfolge der virtuellen Server konfiguriert ist.

[NSHELP-31704]

Netzwerke

Eine Citrix ADC BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn die folgende Bedingung erfüllt ist:

  • Die Citrix ADC BLX-Appliance wird mit einer hohen Anzahl von hugepages zugewiesen. Zum Beispiel 16 GB.

Das Problem wird als Fehlermeldung protokolliert in /var/log/ns.log:

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

[NSNET-24727]

Wenn ECMP auf einer Citrix ADC-Appliance konfiguriert ist, kann das folgende Problem bei einer SSH-Lastausgleichsverbindung beobachtet werden:

  • Die Citrix ADC-Appliance sendet das erste Paket über eine andere Route als für die übrigen Pakete desselben Flusses.

[NSHELP-32089]

Die Citrix ADC-Appliance stürzt in einigen Szenarien möglicherweise ab, wenn die folgenden Bedingungen erfüllt sind:

  • Die Citrix ADC-Appliance empfängt mehrere erste Fragmente mit unterschiedlichen Offsets.
  • Die Citrix ADC-Appliance setzt die Fragmente nicht wieder zusammen.

[NSHELP-32084]

In einer Lastausgleichskonfiguration mit aktivierter Option sessionless auf dem virtuellen Server und ECMP auf der Serverseite kann das folgende Problem beobachtet werden:

  • Die Citrix ADC-Appliance sendet die Pakete immer über dieselbe Route an einen Server.

[NSHELP-32061]

In einem großen NAT44-Setup kann die Citrix ADC-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

  • Wegen veralteter Filtereingabe.

[NSHELP-28895]

Plattform

Auf einer Citrix ADC SDX-Appliance wurde die Ringgröße von 1024 auf 2048 Einträge für die Mellanox-Schnittstellen erhöht.

[NSPLAT-24539]

Die Log-Rotation schlägt bei Dateien fehl, die im Ordner /var/log/waagent gespeichert sind, und nimmt mehr Speicherplatz in Anspruch. Dieser Fehler tritt auf, wenn Sie eine Backupkonfiguration aus einer Citrix ADC VPX-Instanz über die Wiederherstellungsfunktion auf eine andere ADC VPX-Instanz anwenden, die in der Azure-Cloud gehostet wird.

[NSHELP-31599]

Ab Citrix ADC Version 13.1 kann die Citrix ADC-Appliance nicht in einem ESXi Hypervisor mit mehr als 8 VMXNET3-Netzwerkschnittstellen hochgefahren werden.

[ NSHELP-31266 ]

Richtlinien

In einer Citrix ADC-Appliance wird Folgendes beobachtet.

  • Probleme im Zusammenhang mit der Speicherabrechnung in einigen ungewöhnlichen Fällen.
  • Probleme im Zusammenhang mit der Speicherzuweisung/Freigabe bestimmter Entitäten.

Auch die Verfolgung der Allokation/Freigabe bestimmter Entitäten wurde hinzugefügt/verbessert.

[NSHELP-29215]

SSL

Wenn sowohl RSA- als auch ECDSA-Zertifikatsschlüsselpaare an einen virtuellen Server gebunden sind und der Peer einen kompatiblen Signaturalgorithmus unterstützt, wählt der TLS 1.3-Server das ECDSA-Zertifikatsschlüsselpaar aus. Zuvor hat der TLS 1.3-Server das RSA-Zertifikatsschlüsselpaar ausgewählt. Mit dieser Änderung verhält sich der TLS 1.3 Server nun genauso wie der TLS 1.2 Server.

[NSSSL-11650]

Der TLS 1.3-Server gibt eine Warnung decode_error zurück, wenn er auf eine TLS 1.3-Handshake-Nachricht stößt, die auf mehrere TLS-Einträge aufgeteilt (fragmentiert) ist. Dies kann sich auf den erfolgreichen Handshake-Abschluss auswirken, wenn sich der Client mit einem Zertifikat authentifiziert und das Zertifikat des Clients größer als die maximale TLS-Datensatzgröße (ca. 16 KB) ist.

[NSSSL-2940]

Ein SSL-Handshake schlägt möglicherweise fehl, wenn die folgende Reihenfolge von Bedingungen erfüllt ist:

  1. Hello Verify Request (HVR) ist auf DTLS aktiviert.
  2. Die Citrix ADC-Appliance sendet eine HVR an den Client.
  3. Der Kunde erhält die HVR nicht.
  4. Der Client versucht, das erste Client-Hallo erneut zu übertragen, anstatt mit einem Sitzungscookie auf die HVR zu antworten.HINWEIS: Als Antwort auf die erneut übertragene Client-Hello-Nachricht sendet die ADC-Appliance die HVR maximal dreimal an den Client. Wenn keine korrekte Antwort eingeht, schlägt die Appliance den Handshake fehl.

[NSHELP-31808]

Eine für die Verarbeitung von SSL-Datenverkehr konfigurierte Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Speicherauslastung 80% übersteigt.

[ NSHELP-29996 ]

System

Eine Citrix ADC-Appliance stürzt im Konfigurationsablauf der Syslog-Aktion ab. Dieser Absturz wird während der Hochverfügbarkeitssynchronisierung auf dem sekundären Knoten beobachtet.

[NSHELP-32254, NSHELP-32397]

In einer Citrix ADC-Appliance verursacht der Standardwert des Parameters maxHeaderFieldLen im HTTP-Profil das folgende Problem.

  • Verkehrsausfall nach dem Upgrade auf 13.0 Build.

[NSHELP - 32079]

Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn AppFlow nur auf der Clientseite aktiviert ist.

[NSHELP-31892]

Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgende Bedingung erfüllt ist:

  • Sowohl das Analyseprofil als auch die AppFlow-Richtlinie sind gebunden, und für das Profil ist die Option httpAllHdrs aktiviert.

[NSHELP-30628]

In einer Citrix ADC-Appliance wird das folgende Problem beim Aktivieren der HTTP/2-Konfiguration für eine virtuelle IP (VIP) für Content Switching oder Load Balancing Virtual IP (VIP) beobachtet.

  • Eine Erhöhung der Latenz um bis zu 100 ms beim Weiterleiten des HTTP/2-Headers und der Datenframes an die Website über die Citrix ADC-Appliance.

[NSHELP-30094]

Benutzeroberfläche

In einem Hochverfügbarkeits-Setup (HA) wird beim Abrufen der lokalen IP-Adresse für das nsconf-Tool das folgende Problem beobachtet.

  • Anmeldefehler bei der lokalen Hostverbindung. Dieser Fehler tritt auf, wenn das RPC-Knotenkennwort für primäre und sekundäre Knoten im HA-Setup unterschiedlich ist.

[NSHELP-32083]

Die folgende Ausnahme tritt im Python-API-SDK auf, wenn versucht wird, einen virtuellen SSL-Server und eine Zertifikatschlüsselpaarbindung zu löschen. TypeError: ‘str’ und ‘bool’ Objekte können nicht verkettet werden

[NSHELP-31746]

Die Details der Serverstatistiken für den Lastausgleich sind im Citrix ADC GUI-Dashboard falsch ausgerichtet.

[NSHELP-20752]

Bekannte Probleme

Die Probleme, die in Version 13.1—30.52 bestehen.

AppFlow

HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

[ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Auditing

Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]

Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

[ NSAUTH-6106 ]

Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird. show adfsproxyprofile <profile name>

Problemumgehung:

Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

[ NSAUTH-5916 ]

Die Seite Authentifizierung LDAP-Server konfigurieren auf der Citrix ADC-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

  • Die Option LDAP-Erreichbarkeit testen wird geöffnet.
  • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
  • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

Problemumgehung:

Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

[ NSAUTH-2147 ]

Citrix ADC SDX-Appliance

Wenn auf einer Citrix ADC SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

[ NSSVM-4333 ]

Citrix Gateway

Auf einem MAC-Gerät, das Chrome verwendet, stürzt die VPN-Erweiterung beim Zugriff auf zwei FQDNs ab.

[NSHELP-32144]

Direkte Verbindungen zu Ressourcen außerhalb des von Citrix Secure Access eingerichteten Tunnels schlagen möglicherweise fehl, wenn es zu einer erheblichen Verzögerung oder Überlastung kommt.

[NSHELP-31598]

Wenn Always on konfiguriert ist, schlägt der Benutzertunnel aufgrund der falschen Versionsnummer (1.1.1.1) in der Datei aoservice.exe fehl.

[NSHELP-30662]

Benutzer können keine Verbindung zur Citrix Gateway-Appliance herstellen, nachdem sie den Profilparameter “networkAccessOnVPNFailure” von “fullAccess” auf “onlyToGateway” geändert haben.

[NSHELP-30236]

Die Gateway-Startseite wird nicht sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat Um dieses Problem zu beheben, wird der folgende Registrierungswert eingeführt.

\ HKLM\ Software\ Citrix\ Secure Access Client\ SecureChannelResetTimeoutSeconds Typ: DWORD

Standardmäßig wird dieser Registrierungswert nicht festgelegt oder hinzugefügt. Wenn der Wert von SecureChannelResetTimeoutSeconds 0 ist oder nicht hinzugefügt wird, funktioniert der Fix zur Behandlung der Verzögerung nicht. Dies ist das Standardverhalten. Der Administrator muss diese Registrierung auf dem Client einrichten, um das Update zu aktivieren (das heißt, die Homepage wird sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat).

[NSHELP-30189]

Der Windows VPN-Client berücksichtigt die Warnung “SSL-Benachrichtigung zum Schließen” des Servers nicht und sendet die Anmeldeanforderung für die Übertragung über dieselbe Verbindung.

[ NSHELP-29675 ]

Manchmal schlägt der Servervalidierungscode fehl, wenn das Serverzertifikat vertrauenswürdig ist. Daher können Endbenutzer nicht auf das Gateway zugreifen.

[ NSHELP-28942 ]

Möglicherweise stellen Sie einige interne IP-Adressen von Citrix in der Datei rdx.js fest.

[NSHELP-28682]

Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

[ NSHELP-28551 ]

Manchmal wird ein Benutzer innerhalb weniger Sekunden bei Citrix Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

[ NSHELP-28404 ]

Das EPA-Plug-in für Windows verwendet keinen konfigurierten Proxy des lokalen Computers und stellt eine direkte Verbindung zum Gateway-Server her.

[ NSHELP-24848 ]

Das VPN-Plug-in richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

  • Citrix Gateway-Appliance ist für Always On konfiguriert
  • Die Appliance ist für die zertifikatbasierte Authentifizierung mit Zwei-Faktor-Authentifizierung konfiguriert off

[ NSHELP-23584 ]

Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung Cannot read property 'type' of undefined angezeigt.

[ NSHELP-21897 ]

Wenn Sie Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf Citrix Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die in Version 13.0 eingeführten zusätzlichen Verbesserungen verwenden, die in Version 12.1 nicht verfügbar sind.

[ CGOP-19355 ]

Ein Fehler beim Start der Anwendung aufgrund eines ungültigen STA-Tickets wird in Gateway Insight nicht gemeldet.

[ CGOP-13621 ]

Der Gateway Insight-Bericht zeigt fälschlicherweise den Wert Local anstelle von SAML im Feld Authentifizierungstyp für SAML-Fehlerfehler an.

[ CGOP-13584 ]

In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

[ CGOP-13511 ]

Wenn eine ICA-Verbindung von einem MAC-Receiver Version 19.6.0.32 oder Citrix Virtual Apps and Desktops Version 7.18 gestartet wird, ist die HDX Insight-Funktion deaktiviert.

[CGOP-13494]

Wenn die EDT Insight-Funktion aktiviert ist, können Audiokanäle manchmal während einer Netzwerkabweichung ausfallen.

[CGOP-13493]

Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

[ CGOP-13050 ]

Der Text Home Page in der Citrix SSO App > Home Page wird für einige Sprachen abgeschnitten.

[ CGOP-13049 ]

Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

[ CGOP-11830 ]

In Outlook Web App (OWA) 2013 wird durch Klicken auf Optionen im Menü Einstellung ein Dialogfeld Kritischer Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

[ CGOP-7269 ]

Lastausgleich

In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

[ NSLB-7679 ]

In einem Hochverfügbarkeits-Setup (HA) werden Routen auf dem neuen primären Knoten verworfen und nicht erneut erlernt, wenn die folgende Bedingung erfüllt ist.

  • Dynamisches Routenlöschen und HA-Failover erfolgen gleichzeitig aufgrund eines kritischen Schnittstellenfehlers.

[NSHELP - 32264]

Das Format für serviceGroupName in dem Trap entityofs für die Dienstgruppe ist: <service(group)name>?<ip/DBS>?<port>

Im Trapformat wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Trennzeichen verwendet. Der Citrix ADC sendet den Trap mit dem Fragezeichen (?). Das Format erscheint in der Citrix ADM GUI gleich. Dies ist das erwartete Verhalten.

[NSHELP-28080]

In bestimmten Szenarien zeigen Server, die an eine Dienstgruppe gebunden sind, einen ungültigen Cookie-Wert an. Sie können den richtigen Cookie-Wert in den Ablaufverfolgungsprotokollen sehen.

[NSHELP-21196]

Sonstiges

Wenn eine erzwungene Synchronisierung in einem Hochverfügbarkeitssetup stattfindet, führt die Appliance den Befehl set urlfiltering parameter im sekundären Knoten aus. Infolgedessen überspringt der sekundäre Knoten jede geplante Aktualisierung bis zur nächsten geplanten Zeit, die im Parameter TimeOfDayToUpdateDB erwähnt wird.

[NSSWG-849]

Die AlwaysOnAllow Listenregistrierung funktioniert nicht wie erwartet, wenn der Registrierungswert größer als 2000 Byte ist.

[NSHELP-31836]

Eine Citrix ADC-Appliance wird möglicherweise aufgrund einer Stagnation der Management-CPU neu gestartet, wenn ein Konnektivitätsproblem mit dem Drittanbieter für URL-Filterung auftritt.

[NSHELP-22409]

Netzwerke

In einer Citrix ADC BLX-Appliance mit DPDK-Unterstützung werden getaggte VLANs für DPDK-Intel i350-NIC-Ports nicht unterstützt. Dies wird beobachtet, da es sich um ein bekanntes Problem im DPDK-Treiber handelt.

[NSNET-25299]

Eine Citrix ADC BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn alle folgenden Bedingungen erfüllt sind:

  • Die Citrix ADC BLX-Appliance wird mit einer geringen Anzahl von zugewiesen hugepages. Zum Beispiel 1G.
  • Der Citrix ADC BLX-Appliance wird eine hohe Anzahl von Arbeitsprozessen zugewiesen. Zum Beispiel 28.

Das Problem wird als Fehlermeldung protokolliert in /var/log/ns.log:

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

Hinweis: x ist eine Zahl <= Anzahl von Arbeitsprozessen.

Problemumgehung:

Weisen Sie eine hohe Anzahl von hugepages zu und starten Sie die Appliance anschließend neu.

[NSNET-25173]

Der Neustart einer Citrix ADC BLX-Appliance im DPDK-Modus kann aufgrund der einfachen DPDK-Funktionalität etwas länger dauern.

[NSNET-24449]

Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

  • Deaktivieren
  • Smartcard
  • Reset

[NSNET-16559]

Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Problemumgehung:

Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

  • dpkg — Architektur hinzufügen i386
  • apt-get update
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[NSNET-14602]

In einigen Fällen von FTP-Datenverbindungen führt die Citrix ADC-Appliance nur NAT-Operationen und keine TCP-Verarbeitung für die Pakete für die TCP-MSS-Aushandlung aus. Infolgedessen ist die optimale Schnittstellen-MTU nicht für die Verbindung eingestellt. Diese falsche MTU-Einstellung führt zu einer Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

[NSNET-5233]

Wenn ein Speicherlimit für die Administratorpartition in der Citrix ADC-Appliance geändert wird, wird das TCP-Pufferspeicherlimit automatisch auf das neue Speicherlimit der Administratorpartition festgelegt.

[NSHELP-21082]

Plattform

Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den Citrix ADC-Appliances installiert. Dieses Problem wurde für die folgenden Citrix ADC-Versionen behoben:

  • 13.1-4.x
  • 13.0—82.31 und höher
  • 12.1—62.21 und höher

Die Python-Pakete werden nicht installiert, wenn Sie die Citrix ADC-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

  • Jeder 11.1-Build
  • 12,1—62,21 und früher
  • 13.0-81.x und früher

[NSPLAT-21691]

In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance gibt es eine CLAG-MAC-Nichtübereinstimmung auf dem zweiten Knoten und CLIP, wenn die folgenden Bedingungen erfüllt sind:

  • Die CLAG wird auf einer Mellanox-NIC erstellt.
  • Sie fügen dem Cluster- und CLAG-Setup eine weitere VPX-Instanz hinzu.

Infolgedessen stoppt der Datenverkehr zur VPX-Instanz.

[NSPLAT-21049]

In einem Cluster-Setup auf einer Citrix ADC SDX-Appliance wird der erste Knoten aufgrund einer Nichtübereinstimmung der MAC-Adressen in der CLIP- und MAC-Tabelle DOWN, wenn die folgenden Bedingungen erfüllt sind:

  • Die CLAG wird auf einer Mellanox-NIC erstellt.
  • Sie entfernen den zweiten Knoten aus dem Cluster.

[NSPLAT-21042]

Wenn Sie eine Autoscale-Einstellung oder einen VM-Maßstabssatz aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der Citrix ADC-Instanz. Verwenden Sie den Befehl rm cloudprofile, um das Profil zu löschen.

[NSPLAT-4520]

In einem Hochverfügbarkeitssetup auf Azure wird bei der Anmeldung am sekundären Knoten über die GUI der Bildschirm für den Erstbenutzer (FTU) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt. Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich beim primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil muss immer auf dem primären Knoten konfiguriert werden.

[ NSPLAT-4451 ]

Richtlinien

Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße. Workaround: Stellen Sie die TCP-Puffergröße auf die maximale Größe der zu verarbeitenden Daten ein.

[ NSPOLICY-1267 ]

SSL

Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

Problemumgehung:

  1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
  2. Speichern Sie die Konfiguration.

[NSSSL-9572]

Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[NSSSL-6478]

Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

[NSSSL-6213]

Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne Key Vault als HSM-Typ anzugeben. ERROR: crl refresh disabled

[NSSSL-6106]

Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[NSSSL-4427]

Eine falsche Warnmeldung Warning: No usable ciphers configured on the SSL vserver/service, wird angezeigt, wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern.

[NSSSL-4001]

Ein abgelaufenes Sitzungsticket wird nach einem HA-Failover auf einem Nicht-CCO-Knoten und auf einem HA-Knoten berücksichtigt. [ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

Nach dem Upgrade einer Citrix ADC SDX-Appliance auf Version 13.1 Build 21.50 oder höher schlagen die SSL-Entschlüsselung und der MAC-Vergleich möglicherweise fehl. Infolgedessen können SSL-Handshake-Fehler, ein Flattern des VPX-Status, die Nichtverfügbarkeit der VPX-Instanz-GUI sowie ein Ausfall virtueller Server und Anwendungen auftreten.

Hinweis: Dieses Problem tritt auf den Plattformen SDX 8900, SDX 15000, SDX 15000-50G, SDX 26000 und SDX 26000-50S auf.

[NSHELP-31672]

System

Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 festgelegt, wenn die Appliance den max_concurrent_stream-Einstellungsrahmen nicht vom Client empfängt.

[NSHELP-21240]

Die mptcp_cur_session_without_subflow-Zähler verringern fälschlicherweise auf einen negativen Wert statt auf Null.

[NSHELP-10972]

Wenn Sie in einer Clusterbereitstellung den Befehl force cluster sync auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge. [NSBASE-16304, NSGI-1293]

Wenn Sie Citrix ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

Problemumgehung: Starten Sie den Management-Pod neu.

[NSBASE - 15556]

Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

[NSBASE-8506]

Die mit einem SSL-Dienst konfigurierte Citrix ADC-Appliance stürzt ab, wenn die Appliance ein TCP-FIN-Steuerpaket empfängt, gefolgt von einem TCP-RESET-Steuerpaket.

[NSHELP-31656]

Benutzeroberfläche

Für die MQTT-Rewrite-Funktion können Sie einen Ausdruck nicht mit dem Ausdruckseditor in der GUI löschen.

Problemumgehung:

Verwenden Sie den Befehl zum Hinzufügen oder Bearbeiten von Aktionen vom Typ MQTT über die CLI.

[NSUI-18049]

In der Citrix ADC-GUI ist der Help-Link unter der Dashboard-Registerkarte defekt.

[NSUI-14752]

Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

Problemumgehung:

Konfigurieren Sie Cloudbridge-Konnektoren, indem Sie IPsec-Profile, IP-Tunnel und PBR-Regeln über die Citrix ADC-GUI oder CLI hinzufügen.

[NSUI-13024]

Wenn Sie über die GUI einen ECDSA-Schlüssel erstellen, wird der Kurventyp nicht angezeigt.

[NSUI-6838]

In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

  • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

Problemumgehung:

Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Erfolgsstatus Sync).

[ NSHELP-25598 ]

In einem Hochverfügbarkeitssetup von Citrix ADC BLX-Appliances reagiert der primäre Knoten möglicherweise nicht mehr und blockiert CLI- oder API-Anforderungen.

Problemumgehung:

Starten Sie den primären Knoten neu.

[NSCONFIG -6601]

Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

  1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:

    • Build 13.0 52.24
    • Build 12.1 57.18
    • Build 11.1 65.10
  2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers, und speichern Sie die Konfiguration.
  3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

So zeigen Sie die Liste dieser Systembenutzer über die CLI an:

Geben Sie in der Befehlszeile Folgendes ein:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Problemumgehung:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

  • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
  • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
  • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

[NSCONFIG-3188]

Versionshinweise für Citrix ADC 13.1—30.52 Release