Produktdokumentation
Citrix ADC
Current Release 13.0 12.1
PDF anzeigen

Versionshinweise für die Version 13.1-37.38 von Citrix ADC

January 9, 2023
Beitrag von: 
C

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.1-37.38 bestehen.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.
  • Das Citrix ADC SDX-Paket Build 13.1-37.39 ersetzt Build 13.1-37.38.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.1-37.38 verfügbar sind.

Citrix ADC SDX-Appliance

  • Verbesserung des Upgrade-Prozesses

    In einer Citrix ADC SDX-Appliance erfordert der Upgrade-Vorgang jetzt einen einzigen Neustart anstelle von zwei Neustarts.

    [NSSVM-5299]

  • Entfernung der Unterstützung von Drittanbieter-Instanzen aus der SDX-Benutzeroberfläche

    Eine Citrix ADC SDX-Appliance unterstützt keine Instanzen von Drittanbietern mehr über die UI-Schnittstelle. Die Ansicht Drittanbieter-Instanzen wurde von der Registerkarte “ Konfiguration “ in der SDX-Benutzeroberfläche entfernt.

    Problemumgehung: Wenn Sie die Drittanbieter-Instanzen im Management Service weiterhin verwenden möchten, gehen Sie wie folgt vor.

    1. Melden Sie sich bei der Management Service Shell an.
    2. Erstellen Sie eine Datei “.ThirdPartyVM” im Verzeichnis “/mpsconfig”.
    3. Starten Sie den Management Service neu, indem Sie den Befehl svmd restart in der Management Service-Shell ausführen.

    [NSSVM-5229]

Citrix Gateway

  • Unterstützung für das HttpOnly-Flag bei Authentifizierungs-Cookies

    Das HttpOnly-Flag wird jetzt für die Authentifizierungs-Cookies von VPN-Szenarien unterstützt, d. h. für NSC_Authentication, Authorization sowie AuditingC- und NSC_TMAS-Cookies. Das NSC_TMAS-Authentifizierungscookie wird während der nFactor-Authentifizierung verwendet und das NSC_Authentication-, Authorization- und AuditingC-Cookie wird für die authentifizierte Sitzung verwendet. HttpOnlyflag in einem Cookie schränkt den Cookiezugriff über die JavaScript-Dokumentcookieoption ein. Dies hilft dabei, Cookie-Diebstahl aufgrund von Cross-Site Scripting verhindern.

    [CGOP-14004]

Lastausgleich

  • Automatisch verzögerter TROFS-Status konfigurieren

    Sie können die korrekte Übertragung von Mitgliedern in einer Dienstgruppe in den TROFS-Status konfigurieren, wenn IP-Adressen aus der DNS-Antwort entfernt werden. Wenn automatisch verzögertes TROFS aktiviert ist, wartet Citrix ADC auf den höchsten Antwort-Timeout auf allen Monitoren, die an die Servicegruppe angeschlossen sind, bevor die Mitglieder in den TROFS-Status versetzt werden.

    Weitere Informationen finden Sie unter Automatische domänenbasierte Dienstgruppenskalierung konfigurieren.

    [NSLB-9371]

Netzwerke

  • DPDK-Unterstützung für Citrix ADC BLX-Appliances auf Linux-Hosts mit AMD-Prozessoren

    Citrix ADC BLX-Appliances auf Linux-Hosts mit AMD-Prozessoren unterstützen jetzt DPDK. Die Appliance erkennt automatisch die angegebenen DPDK-kompatiblen NIC-Ports auf dem Linux-Host. Die Appliance initialisiert sie dann im DPDK-Modus. Nach dem Start der Citrix ADC BLX-Appliance werden die DPDK-Ports als dedizierte Ports zur Appliance hinzugefügt.

    Anstatt einen oder mehrere DPDK-kompatible NIC-Ports in der Datei “blx.conf” anzugeben, müssen Sie alle DPDK-kompatiblen NIC-Ports angeben, die Teil derselben IOMMU-Gruppe sind. Andernfalls werden die DPDK-kompatiblen NIC-Ports als dedizierte Nicht-DPDK-Ports zur Citrix ADC BLX-Appliance hinzugefügt.

    [NSNET-19219]

Plattform

  • Verbesserte Leistung für Shared-Core-Instanzen in GCP

    In einer Citrix ADC VPX-Instanz ist der CPU-Ertragsparameter standardmäßig für die Shared-Core-Instanzen in GCP aktiviert. Dies bietet eine bessere Leistung in GCP für die Shared-Core-Instanzen. Weitere Informationen zu Shared-Core-Maschinentypen auf GCP finden Sie in der Google Cloud-Dokumentation.

    In einem ADC HA-Setup mit Shared-Core-Instanzen in GCP wird bei der Anmeldung die folgende Warnmeldung angezeigt:

    Für eine hohe Leistung und hohe Verfügbarkeit empfehlen wir, auf der Google Cloud Platform von einem Computer mit gemeinsam genutztem Kern zu einem Allzweck- oder rechen-/speicheroptimierten Instanztypen zu wechseln.

    [NSPLAT-23748]

  • Unterstützung für die Citrix ADC VPX-Instanz auf der Azure Dv5-Serie

    Die Citrix ADC VPX-Instanz in der Azure Cloud kann jetzt auf den virtuellen Maschinen der Azure Dv5-Serie ausgeführt werden.

    [ NSPLAT-22730 ]

  • Unterstützung für Citrix ADC MPX 16000 Plattform

    Dieses Release unterstützt die Citrix ADC MPX 16000-Plattform. Diese Plattform verfügt über zwei 16-Kern-Prozessoren und 128 GB (16 x 8 GB DIMM) Speicher. Die Appliance bietet insgesamt acht 25G SFP+-Ports und vier 100G QSFP28-Ethernet-Ports.
    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-hardware-platforms/mpx/netscaler-hardware-platforms/mpx-16000.html.

    [NSPLAT-25436]

  • Unterstützung für Citrix ADC SDX 16000 Plattform

    Dieses Release unterstützt die Citrix ADC SDX 16000-Plattform. Diese Plattform verfügt über zwei 16-Kern-Prozessoren und 256 GB (16 x 16 GB DIMM) Speicher. Die Appliance bietet insgesamt acht 25G SFP+-Ports und vier 100G QSFP28-Ethernet-Ports.
    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-16000.html.

    [NSPLAT-21608]

SSL

  • Unterstützung für wiederkehrende Benachrichtigungen bis zum Ablauf des Zertifikats

    Die Citrix ADC-Appliance sendet jetzt eine Benachrichtigung pro Tag, bis das Zertifikat abläuft. Bisher wurde nur eine Benachrichtigung an einer bestimmten Anzahl von Tagen vor Ablauf des Zertifikats gesendet.

    [NSSSL-11874]

System

  • SNMP-Alarm zur Warnung bei einem Ausfall der Syslog-Verbindung

    Ein neuer SNMP-Alarm “syslogConnectionDropped” wurde in die Citrix ADC-Appliance eingeführt, der vor einem Ausfall der Netzwerkverbindung zu einem externen Syslog-Server warnt.

    [NSBASE - 16823]

Benutzeroberfläche

  • Wenn Sie eine oder mehrere Lizenzdateien mit unterschiedlichen Subscription Advantage-Daten hochladen, kann Citrix ADM sie nicht zu einem einzigen Pool zusammenführen. Daher kann eine Citrix ADC-Instanz die Kapazität nicht auschecken, wenn sie das Limit einer Lizenzdatei überschreitet.

    [NSCONFIG-6590, NSHELP-30854]

Behobene Probleme

Die Probleme, die in Build 13.1-37.38 behoben wurden.

AppFlow

  • Wenn AppFlow konfiguriert ist, setzt die Citrix ADC-Appliance eine TCP-Verbindung zurück, wenn die Appliance eine leere HTTP-Chunked-Antwort vom Back-End-Server empfängt.

    Dieses Problem tritt auf, wenn der Parameter “clientSideMeasurements” für die zugehörige AppFlow-Aktion aktiviert ist.

    [NSHELP-32250]

Authentifizierung, Autorisierung und Auditing

  • Die NO_AUTHN-Authentifizierungsaktion bleibt nach dem Neustart einer Citrix ADC-Appliance nicht bestehen, wenn die Appliance über die Standard Edition-Lizenz verfügt.

    [NSHELP-32522]

  • In einem Citrix Gateway GSLB-Setup wird möglicherweise eine Proxyverbindungsschleife zwischen den GSLB-Sites erkannt, wenn die folgenden Bedingungen erfüllt sind:

    • Alle GSLB-Sites haben nicht dieselbe Version.
    • Citrix Gateway ist mit erweiterter Authentifizierung konfiguriert.

    [NSHELP-32487]

  • Die Citrix ADC-Appliance löscht das Zeichensatzsuffix im Content-Type-Header und sendet Content-Type: application/x-www-form-urlencoded, wenn Sie beide der folgenden Optionen konfiguriert haben.

    • Formularbasierte SSO-Authentifizierung
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [NSHELP-31977]

  • Möglicherweise treten beim Abmelden Probleme auf, wenn die SAML-Authentifizierung konfiguriert ist.

    [NSHELP-31962]

  • Single Sign-On (SSO) schlägt fehl, wenn SSO für den Datenverkehr aktiviert ist, der nicht über das für die Verarbeitung von SSO erforderliche Trägertoken verfügt.

    [NSHELP-31362]

Caching

  • Eine Citrix ADC-Appliance stürzt ab, wenn der zwischengespeicherte Inhalt den Clients zur Verfügung gestellt wird.

    [NSHELP-31760]

  • Eine Citrix ADC-Appliance könnte abstürzen, wenn die Parameterwerte “Max_Age” und “s_maxage” im Cache-Kontrollblock nicht dynamisch gesetzt werden.

    [NSHELP-27758]

Citrix ADC SDX-Appliance

  • Wenn ein Benutzer in einer GUI der Citrix ADC SDX-Appliance ein Fehlerobjekt für eine Ereignisregel hinzufügte, waren die Eingabefelder anfällig für Cross-Site-Scripting-Angriffe und machten die Seitensicherheit anfällig für gespeichertes Cross-Site Scripting. Um dieses Problem zu vermeiden, werden die Eingabefelder jetzt bereinigt, um sicherzustellen, dass die Benutzereingabe gültig ist.

    [NSHELP-32600]

Citrix Gateway

  • Die Citrix ADC-Appliance stürzt ab, wenn eine oder beide Gateway Insight- und Web Insight-Funktionen aktiviert sind.

    [NSHELP-33345, NSHELP-33347]

  • Manchmal funktioniert der RDP-Proxy nicht, wenn ein Verbindungsbroker vorhanden ist.

    [NSHELP-33063]

  • Anwendungen können möglicherweise nicht über Citrix Gateway gestartet werden, da der Port in der Citrix Gateway-Appliance erschöpft ist.

    [NSHELP-32418]

  • Die für den clientlosen VPN-Zugriff konfigurierte Citrix Gateway-Appliance stürzt möglicherweise bei der Verarbeitung einer Dummy-Sitzung ab.

    [NSHELP-32399]

  • Die Citrix Gateway-Appliance stürzt möglicherweise ab, wenn HDX Insight aktiviert ist.

    [NSHELP-32120]

  • Wenn UDP-Sitzungen gestartet werden, scheinen auch nach dem Schließen der Sitzungen veraltete Verbindungen zu existieren. Dies sind jedoch keine wirklich veralteten Verbindungen, sondern ein Problem mit dem Zähler.

    [NSHELP-32009]

  • Wenn sich ein Benutzer an der Citrix ADC-Appliance anmeldet und Citrix Workspace nicht installiert ist, verweist der Link zum Herunterladen von Citrix Workspace fälschlicherweise auf Citrix Receiver.

    [NSHELP-31877]

  • In den Gateway-Insight-Authentifizierungsfehlerdatensätzen wird der Benutzername als “Anonym” angezeigt, wenn NOAUTH als erster Faktor konfiguriert ist und die Authentifizierung mit dem zweiten Faktor aufgrund ungültiger Anmeldeinformationen fehlschlägt. Dieses Problem tritt nur auf, wenn die Konfiguration mithilfe des nFactor-Visualizers durchgeführt wird, da der erste Faktor in nFactor Visualizer standardmäßig als NOAUTH konfiguriert ist.

    [NSHELP-31795]

  • Der Befehl “show vpn icaconnection” zeigt die Seriennummern der ICA-Verbindungen nicht korrekt an. Dieses Problem tritt auf, weil die Seriennummer willkürlich zurückgesetzt wird, wenn der Befehl “show vpn icaconnection” ausgeführt wird.

    [CGOP-22205]

Citrix Web App Firewall

  • Eine eigenständige Citrix ADC-Appliance oder der sekundäre Modus in einem HA-Setup können abstürzen, wenn Sie ein Signaturobjekt für die Citrix Web App Firewall auf den folgenden Softwareversionen konfigurieren:

    • 13.0 Build 88.5 und höher
    • 13.1 Build 33.41 und höher

    [NSHELP-33250]

  • In einer Citrix ADC-Appliance tritt ein Speicherverlust auf, wenn Sie für cookieHijackingAction “block”, “log” oder “stats” einstellen.

    [NSHELP-33187]

  • Wenn Sie in der Citrix Web App Firewall den Content-Typ-Header mit einem Protokoll (application/pkcs7-signature) bereitstellen, wird der Header fälschlicherweise analysiert. Infolgedessen blockiert die Firewall die gültigen Anfragen.

    [NSHELP-32844]

  • Einige der Entspannungsregeln werden bei der Wiederherstellung eines WAF-Profils nicht importiert.

    [NSHELP-32729]

  • Manchmal dauert es lange, bis die Citrix Web App Firewall die Befehlseinschleusung erkennt. Infolgedessen startet Pitboss die Citrix ADC-Appliance neu.

    [NSHELP-32654]

  • Legitime Cookies werden im Protokoll platziert, während doppelte Protokolle über Cookie-Verstöße angezeigt werden.

    [NSHELP-32369]

Lastausgleich

  • In bestimmten Szenarien zeigen Server, die an eine Dienstgruppe gebunden sind, einen ungültigen Cookie-Wert an. Sie können den richtigen Cookie-Wert in den Ablaufverfolgungsprotokollen sehen.

    [NSHELP-21196]

Sonstiges

  • Die Citrix ADC-Appliance legt die Puffergröße für die Webserver-Logging-Funktion auf einen falschen Standardwert von 3 MB statt 16 MB fest.

    [NSHELP-32429]

Netzwerke

  • In einem Citrix BLX-Cluster-Setup schlagen die folgenden Vorgänge ohne Fehlermeldung fehl:

    • Konfiguration auf Force Basic-Ebene löschen (“clear config -force basic”)
    • Konfiguration auf Force Extended-Ebene löschen (“clear config -force extended”)
    • Konfiguration auf Force Extended+-Ebene löschen (“clear config -force extended+”)

    [NSNET-27132]

  • In einem Hochverfügbarkeits-Setup kann der primäre Knoten aufgrund einer Speicherbeschädigung abstürzen, während eine große Anzahl von LSN-Sitzungen gelöscht wird.

    [NSHELP-32467]

  • Die Citrix ADC-Appliance kann abstürzen, wenn alle der folgenden Bedingungen erfüllt sind:

    • Bei TTL-basierter ACL wird ein Timeout erreicht
    • Die Citrix ADC-Appliance hat eine große Anzahl von konfigurierten ACLs.

    [NSHELP-31307]

Plattform

  • Wenn Sie die Mellanox-Schnittstelle auf einer Citrix ADC MPX-Appliance deaktivieren, wird der Peer-Switch, der mit der Schnittstelle verknüpft ist, im Status Link Up angezeigt, anstatt sich im Link-Down-Zustand zu befinden.

    [NSPLAT-24422]

  • Die Citrix ADC VPX-Instanz löscht Pakete von einem Client, wenn beide der folgenden Bedingungen erfüllt sind:

    • Die VPX-Instanz wird auf VMware Cloud on AWS unter Verwendung eines VMXNET3-Adapters gehostet.
    • Der VMXNET3-Adapter kann den RSS-Hash für das Paket nicht generieren.

    [NSHELP-33150]

Richtlinien

  • In einer Citrix ADC-Appliance funktionieren die Content Switching-Richtlinien, die mithilfe des NSPEPI-Tool von klassischen Richtlinien zu erweiterten Richtlinien migriert wurden, möglicherweise nicht, wenn die folgenden Bedingungen erfüllt sind:

    • Die Richtlinien sind an den Content Switching-Vserver gebunden.
    • Der Parameter “caseSensitive” ist auf OFF gesetzt.

    [NSHELP-31951]

SSL

  • Eine Citrix ADC-Appliance kann während eines TLS 1.3-Handshakes abstürzen, wenn ein virtueller Server für die Verwendung privater Schlüssel konfiguriert ist, die in Azure Key Vault gespeichert sind.

    [NSHELP-32451]

  • Eine Citrix ADC-Appliance stürzt ab, wenn die folgenden Bedingungen erfüllt sind:

    • Ein Client sendet einem anderen Client Hallo, bevor der Handshake abgeschlossen ist.
    • Die Anfrage enthält einige spezielle Chiffren im ersten Client-Hello.

    [NSHELP-32422]

  • Die Citrix ADC-GUI, auf die über eine Cluster-IP-Adresse (CLIP) zugegriffen wird, zeigt keine Serverzertifikatsbindungen an einen virtuellen SSL-Server an.

    [NSHELP-31602]

  • Die OCSP-Antwortüberprüfung schlägt möglicherweise beim Abfangen von SSL fehl, wenn im Standardzertifikatspaket kein gültiges CA-Zertifikat vorhanden ist. Der Fehler tritt auf, weil die OCSP-Antwortüberprüfung fälschlicherweise mit dem Standardzertifikatspaket anstelle des konfigurierten Zertifikatpakets durchgeführt wurde.

    [NSHELP-30594]

System

  • Wenn ein Citrix ADM-Server großen HTTP-Verkehr mit eindeutigen URLs empfängt, verbraucht er viel Speicher. Infolgedessen kann auf den Citrix ADM-Server nicht mehr zugegriffen werden.

    [NSHELP-32922]

  • In einer Citrix ADC-Appliance führt das Headermodifizierungs-Framework zu einer Speicherbeschädigung. Dieser Zustand tritt auf, wenn die Cookies, die von der Citrix ADC-Appliance verbraucht werden sollen, in einer bestimmten Reihenfolge gelöscht werden, bevor sie weitergeleitet werden.

    [NSHELP-32799]

  • Die VPN-Authentifizierung schlägt fehl, wenn die PATCH-Methode in der HTTP-Anfrage verwendet wird. Dieses Problem tritt auf, weil die HTTP-PATCH-Methode als unbekannte Authentifizierungsmethode erkannt wird.

    [ NSHELP-32214 ]

  • Wenn Sie die Funktion zur Inhaltsüberprüfung verwenden, funktioniert Rewrite-Header-Insertion mit Payload möglicherweise nicht ordnungsgemäß.

    [NSHELP-30088]

Benutzeroberfläche

  • Auf der Management Service-Lizenzseite werden die gepoolten Lizenzinformationen nicht aktualisiert, wenn Sie den Lizenzknoten aufrufen oder ihn aktualisieren. Stattdessen werden die gepoolten Lizenzinformationen nur aktualisiert, wenn Sie sich ab- und erneut anmelden.

    [NSHELP-33203]

  • Wenn ein Benutzer die Bindung in einer Content Switching-Richtlinie betrachtet, werden die Details des virtuellen Content Switching-Servers nicht in derselben Zeile unter Bindungen anzeigen angezeigt.

    [NSHELP-33149]

  • Wenn ein Benutzer eine Verkehrsrichtlinie an einen virtuellen Content Switching- oder Load Balancing-Server bindet, werden die Bindungsdetails nicht in der GUI angezeigt.

    [NSHELP-32751]

  • Das Upgrade oder Downgrade einer Citrix ADC-Appliance auf einen der folgenden Builds mithilfe der Citrix ADC-GUI schlägt möglicherweise fehl:

    • Version 13.1 Build 30.52
    • Version 13.1 Build 27.59

    [NSHELP-32673]

  • Der folgende Fehler wird angezeigt, wenn ein virtueller Server mit DNS- und DNS_TCP-Protokoll erstellt oder bearbeitet wird, der auf einer benutzerdefinierten Partition mithilfe der Citrix ADC-GUI gehostet wird:

    Error: Invalid object name [lbvserver_scpolicy_binding]

    [NSHELP-32534]

  • Die folgenden Probleme treten in der Citrix ADC-GUI auf:

    • Wenn ein Serverzertifikat mithilfe der Citrix ADC-GUI an einen virtuellen SSL-Server gebunden ist, wird die Zertifikatsbindung nicht in der GUI angezeigt. Die CA-Zertifikatsbindungen werden wie gewohnt auf der GUI angezeigt.
    • Wenn Sie für die integrierten Responderrichtlinien auf die Schaltfläche Ausblenden klicken, werden auch die manuell erstellten Responderrichtlinien ausgeblendet.

    In einem Cluster-Setup treten die folgenden zusätzlichen Probleme in der Citrix ADC-GUI auf:

    • Das Binden einer Verschlüsselungsgruppe an einen internen Dienst schlägt mit einem Fehler fehl.
    • Die integrierten Rewrite-Aktionen sind in der GUI nicht versteckt.

    [NSHELP-32499]

  • In einer Citrix ADC-Appliance mit Admin-Partitionen geht die Parametereinstellung “ns” innerhalb der Partition nach einem Neustart verloren. Dieser Zustand tritt aufgrund der falschen integrierten Konfiguration auf.

    [NSHELP-32486]

  • Auf der Anmeldeseite der Citrix ADC-Appliance wird möglicherweise nicht der gültige Benutzername angezeigt, nachdem sich der Benutzer angemeldet hat.

    [NSHELP-31759]

  • In einem Hochverfügbarkeits-Setup gehen die verschlüsselten Konfigurationen nach der HA-Konfigurationssynchronisierung auf dem sekundären Knoten verloren.

    [NSHELP-30897]

Bekannte Probleme

Die Probleme, die in Version 13.1-37.38 bestehen.

AppFlow

  • HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

    [ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Auditing

  • Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

    [ NSHELP-563 ]

  • Die DUO-Authentifizierung schlägt fehl, wenn die Content Security Policy (CSP) -Funktion auf der Citrix ADC-Appliance aktiviert ist.

    [ NSAUTH-12687 ]

  • Administratoren können keine benutzerdefinierte Protokollierung für Authentifizierungsfehler durchführen, die auf ungültige Anmeldeinformationen zurückzuführen sind. Dieses Problem tritt auf, weil die Citrix ADC-ResponderRichtlinien Fehler für Anmeldefehler nicht erkennen können.

    [ NSAUTH-11151 ]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

    [ NSAUTH-5916 ]

  • Die Seite Authentifizierung LDAP-Server konfigurieren auf der Citrix ADC-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

    • Die Option LDAP-Erreichbarkeit testen wird geöffnet.
    • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
    • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

    Problemumgehung: Schließen Sie die Option LDAP Reachability testen und öffnen Sie sie.

    [ NSAUTH-2147 ]

Citrix ADC SDX-Appliance

  • Paketverluste werden auf einer VPX-Instanz angezeigt, die auf einer Citrix ADC SDX-Appliance gehostet wird, wenn die folgenden Bedingungen erfüllt sind:

    • Der Durchsatzzuweisungsmodus ist Burst.
    • Es besteht ein großer Unterschied zwischen dem Durchsatz und der maximalen Burstkapazität.

    [ NSHELP-21992 ]

Citrix Gateway

  • Der Citrix Secure Access-Client, Version 21.7.1.2 und höher, kann für Benutzer ohne Administratorrechte nicht auf neuere Versionen aktualisiert werden. Dieses Problem tritt nur auf, wenn das Citrix Secure Access-Client-Upgrade von einer Citrix ADC-Appliance aus durchgeführt wird.

    [NSHELP-32793]

  • Wenn Benutzer auf dem Citrix Secure Access-Bildschirm für Windows auf die Registerkarte Startseite klicken, wird auf der Seite der Fehler “Verbindung verweigert” angezeigt.

    [NSHELP-32510]

  • Auf einem Mac-Gerät, das Chrome verwendet, stürzt die VPN-Erweiterung beim Zugriff auf zwei FQDNs ab.

    [NSHELP-32144]

  • In einigen Fällen führen leere Proxyeinstellungen in Citrix Gateway Version 13.0 oder 13.1 dazu, dass Citrix SSO falsche Proxyeinstellungen erstellt.

    [NSHELP-31970]

  • Die Debug-Protokollierungssteuerung für den Citrix Secure Access-Client ist jetzt unabhängig von Citrix Gateway und kann über die Plugin-Benutzeroberfläche sowohl für den Computer als auch für den Benutzertunnel aktiviert oder deaktiviert werden.

    [NSHELP-31968]

  • Direkte Verbindungen zu Ressourcen außerhalb des von Citrix Secure Access eingerichteten Tunnels schlagen möglicherweise fehl, wenn es zu einer erheblichen Verzögerung oder Überlastung kommt.

    [NSHELP-31598]

  • Eine benutzerdefinierte EPA-Fehlerprotokollmeldung wird im Citrix Gateway-Portal nicht angezeigt. Stattdessen wird die Meldung “interner Fehler” angezeigt.

    [NSHELP-31434]

  • Manchmal funktioniert die automatische Windows-Anmeldung nicht, wenn sich ein Benutzer im Always-On-Dienstmodus am Windows-Computer anmeldet. Der Maschinentunnel geht nicht zum Benutzertunnel über und die Meldung “Verbindung wird hergestellt… “wird in der Benutzeroberfläche des VPN-Plug-ins angezeigt.

    [NSHELP-31357, CGOP-21192]

  • Wenn Always on konfiguriert ist, schlägt der Benutzertunnel aufgrund der falschen Versionsnummer (1.1.1.1) in der Datei aoservice.exe fehl.

    [NSHELP-30662]

  • Benutzer können keine Verbindung zur Citrix Gateway-Appliance herstellen, nachdem sie den Profilparameter ‘networkAccessOnVPNFailure’ von fullAccess in onlyToGateway geändert haben.

    [NSHELP-30236]

  • Die Gateway-Startseite wird nicht sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat Um dieses Problem zu beheben, wird der folgende Registrierungswert eingeführt.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Typ: DWORD

    Standardmäßig wird dieser Registrierungswert nicht festgelegt oder hinzugefügt. Wenn der Wert von “SecureChannelResetTimeoutSeconds” 0 ist oder nicht hinzugefügt wird, funktioniert der Fix zur Behandlung der Verzögerung nicht. Dies ist das Standardverhalten. Der Administrator muss diese Registrierung auf dem Client einrichten, um das Update zu aktivieren (das heißt, die Homepage wird sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat).

    [NSHELP-30189]

  • Der Windows VPN-Client berücksichtigt die Warnung “SSL-Benachrichtigung zum Schließen” des Servers nicht und sendet die Anmeldeanforderung für die Übertragung über dieselbe Verbindung.

    [ NSHELP-29675 ]

  • Möglicherweise stellen Sie einige interne IP-Adressen von Citrix in der Datei rdx.js fest.

    [NSHELP-28682]

  • Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

    [ NSHELP-28551 ]

  • Manchmal wird ein Benutzer innerhalb weniger Sekunden bei Citrix Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

    [ NSHELP-28404 ]

  • Das EPA-Plug-in für Windows verwendet keinen konfigurierten Proxy des lokalen Computers und stellt eine direkte Verbindung zum Gateway-Server her.

    [ NSHELP-24848 ]

  • Das VPN-Plug-in richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

    • Citrix Gateway-Appliance ist für Always On konfiguriert
    • Die Appliance ist für die zertifikatsbasierte Authentifizierung konfiguriert, wobei die Zwei-Faktor-Authentifizierung “aus” ist.

    [ NSHELP-23584 ]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Eigenschaft ‘Typ’ von undefined kann nicht gelesen werden”.

    [ NSHELP-21897 ]

  • In einem Citrix ADC-Cluster-Setup können HDX Insight und Gateway Insight nicht gleichzeitig aktiviert werden.

    [CGOP-22849]

  • Wenn Sie Always On VPN vor der Windows-Anmeldung verwenden möchten, wird ein Upgrade auf Citrix Gateway 13.0 oder höher empfohlen. Auf diese Weise können Sie die zusätzlichen Verbesserungen nutzen, die in Version 13.0 eingeführt wurden und die in Version 12.1 nicht verfügbar sind.

    [ CGOP-19355 ]

  • Ein Fehler beim Start der Anwendung aufgrund eines ungültigen STA-Tickets wird in Gateway Insight nicht gemeldet.

    [ CGOP-13621 ]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [ CGOP-13584 ]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [ CGOP-13511 ]

  • Wenn eine ICA-Verbindung von einem MAC-Receiver Version 19.6.0.32 oder Citrix Virtual Apps and Desktops Version 7.18 gestartet wird, ist die HDX Insight-Funktion deaktiviert.

    [CGOP-13494]

  • Wenn die EDT Insight-Funktion aktiviert ist, können Audiokanäle manchmal während einer Netzwerkabweichung ausfallen.

    [CGOP-13493]

  • Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

    [ CGOP-13050 ]

  • Der Text “Homepage” in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

    [ CGOP-13049 ]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

    [ CGOP-11830 ]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem kritischen Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [ CGOP-7269 ]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

    [ NSLB-7679 ]

  • Das Format serviceGroupName im Trap entityofs für die Dienstgruppe ist wie folgt:
    <service(group)name>?<ip/DBS>?<port>

    Im Trapformat wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Separator verwendet. Der Citrix ADC sendet den Trap mit dem Fragezeichen (?). Das Format erscheint in der Citrix ADM GUI gleich. Dies ist das erwartete Verhalten.

    [NSHELP-28080]

Sonstiges

  • Wenn in einem Hochverfügbarkeits-Setup eine erzwungene Synchronisation stattfindet, führt die Appliance den Befehl “set urlfiltering parameter” im sekundären Knoten aus.
    Daher überspringt der sekundäre Knoten jedes geplante Update bis zur nächsten geplanten Zeit, die im Parameter “TimeOfDayToUpdateDB” angegeben ist.

    [NSSWG-849]

  • Die AlwaysOnAllow Listenregistrierung funktioniert nicht wie erwartet, wenn der Registrierungswert größer als 2000 Byte ist.

    [NSHELP-31836]

  • Eine Citrix ADC-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter der URL-Filterung auftritt.

    [NSHELP-22409]

Netzwerke

  • In einer Citrix ADC BLX-Appliance mit DPDK-Unterstützung werden getaggte VLANs für DPDK-Intel i350-NIC-Ports nicht unterstützt. Dies wird beobachtet, da es sich um ein bekanntes Problem im DPDK-Treiber handelt.

    [NSNET-25299]

  • Eine Citrix ADC BLX-Appliance mit DPDK kann möglicherweise nicht neu gestartet werden, wenn alle folgenden Bedingungen erfüllt sind:

    • Der Citrix ADC BLX-Appliance ist eine geringe Anzahl von “riesigen Seiten” zugewiesen. Zum Beispiel 1G.
    • Der Citrix ADC BLX-Appliance wird eine hohe Anzahl von Arbeitsprozessen zugewiesen. Zum Beispiel 28.

    Das Problem wird als Fehlermeldung in “/var/log/ns.log” protokolliert:

    • “BLX-DPDK:DPDK Mempool konnte nicht für PE-X initialisiert werden”

    Hinweis: x ist eine Zahl <= Anzahl von Arbeitsprozessen.

    Problemumgehung: Ordnen Sie eine hohe Anzahl von “riesigen Seiten” zu und starten Sie die Appliance dann neu.

    [NSNET-25173]

  • Der Neustart einer Citrix ADC BLX-Appliance im DPDK-Modus kann aufgrund der einfachen DPDK-Funktionalität etwas länger dauern.

    [NSNET-24449]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Smartcard
    • Reset

    [NSNET-16559]

  • Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

    “The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable”

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

    • dpkg — Architektur hinzufügen i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • In einigen Fällen von FTP-Datenverbindungen führt die Citrix ADC-Appliance nur NAT-Operationen und keine TCP-Verarbeitung für die Pakete für die TCP-MSS-Aushandlung aus. Infolgedessen ist die optimale Schnittstellen-MTU nicht für die Verbindung eingestellt. Diese falsche MTU-Einstellung führt zu einer Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

    [NSNET-5233]

  • Wenn ein Speicherlimit für die Administratorpartition in der Citrix ADC-Appliance geändert wird, wird das TCP-Pufferspeicherlimit automatisch auf das neue Speicherlimit der Administratorpartition festgelegt.

    [NSHELP-21082]

Plattform

  • Wenn Sie eine Autoscale-Einstellung oder einen VM-Maßstabssatz aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der Citrix ADC-Instanz. Verwenden Sie den Befehl “rm cloudprofile”, um das Profil zu löschen.

    [NSPLAT-4520]

  • In einem Hochverfügbarkeitssetup auf Azure wird bei der Anmeldung am sekundären Knoten über die GUI der Bildschirm für den Erstbenutzer (FTU) für die automatische Skalierung der Cloud-Profilkonfiguration angezeigt.
    Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich beim primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil sollte immer auf dem primären Knoten konfiguriert werden.

    [ NSPLAT-4451 ]

  • Auf der Citrix ADC SDX 8015/8400/8600-Plattform sehen Sie möglicherweise einen erhöhten Speicherverbrauch auf Xen Server.
    Problemumgehung: Führen Sie den folgenden Befehl auf dem Xen Server aus und starten Sie dann die Appliance neu.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024 m, max:1024 m”

    [NSHELP-32260]

Richtlinien

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

SSL

  • Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Problemumgehung:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Zum Beispiel: set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben. FEHLER: CRL Refresh ist deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

  • Ein abgelaufenes Sitzungsticket wird nach einem HA-Failover auf einem Nicht-CCO-Knoten und auf einem HA-Knoten berücksichtigt.

    [ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

System

  • Ein hoher RTT wird für eine TCP-Verbindung beobachtet, wenn die folgende Bedingung erfüllt ist:

    • ein hohes maximales Überlastungsfenster (>4 MB) ist eingestellt
    • Der TCP-NILE-Algorithmus ist aktiviert

    Damit eine Citrix ADC-Appliance den NILE-Algorithmus zur Überlastungskontrolle verwenden kann, müssen die Bedingungen den Schwellenwert für den langsamen Start überschreiten, der mit dem Fenster für maximale Überlastung gekoppelt ist.

    Bis das maximal konfigurierte Überlastungsfenster erreicht ist, akzeptiert der Citrix ADC weiterhin Daten und endet mit einem hohen RTT.

    [NSHELP-31548]

  • Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 festgelegt, wenn die Appliance den max_concurrent_stream-Einstellungsrahmen nicht vom Client empfängt.

    [NSHELP-21240]

  • Die mptcp_cur_session_without_subflow-Zähler verringern fälschlicherweise auf einen negativen Wert statt auf Null.

    [NSHELP-10972]

  • In seltenen Fällen können Streams, die vor der Erstellung des HTTP/2-WebSocket-Streams erstellt wurden, beendet werden, wenn die serverseitige Verbindung von WebSocket geschlossen wird.

    Dieses Problem tritt auf, weil die Citrix ADC-Appliance kein Verbindungsmultiplexing für HTTP/2-WebSocket unterstützt.

    Problemumgehung: Deaktivieren Sie das Verbindungsmultiplexing für das zugehörige HTTP2-Profil, indem Sie den folgenden Befehl verwenden:

    set httpProfile <name> [-conMultiplex ( ENABLED | DISABLED )]

    [NSBASE - 17449]

  • Wenn Sie in einer Cluster-Bereitstellung den Befehl “Force Cluster Sync” auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

    [NSBASE-16304, NSGI-1293]

  • Wenn Sie Citrix ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

    Problemumgehung: Starten Sie den Management-Pod neu.

    [NSBASE - 15556]

  • Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

    [NSBASE-8506]

Benutzeroberfläche

  • Für die MQTT-Rewrite-Funktion können Sie einen Ausdruck nicht mit dem Ausdruckseditor in der GUI löschen.

    Problemumgehung: Verwenden Sie den Befehl Aktion hinzufügen oder bearbeiten vom Typ MQTT über die CLI.

    [NSUI-18049]

  • In der Citrix ADC-GUI ist der Link “Hilfe” auf der Registerkarte “Dashboard” defekt.

    [NSUI-14752]

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie CloudBridge Connector, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln über die Citrix ADC GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Wenn Sie über die GUI einen ECDSA-Schlüssel erstellen, wird der Kurventyp nicht angezeigt.

    [NSUI-6838]

  • In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

    • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

    Problemumgehung: Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Status “Synchronisierung erfolgreich”).

    [ NSHELP-25598 ]

  • In einem Hochverfügbarkeitssetup von Citrix ADC BLX-Appliances reagiert der primäre Knoten möglicherweise nicht mehr und blockiert CLI- oder API-Anforderungen.

    Problemumgehung: Starten Sie den primären Knoten neu.

    [NSCONFIG -6601]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

    1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds
      • Build 13.0 52.24
      • Build 12.1 57.18
      • Build 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
    3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

    Um die Liste dieser Systembenutzer über die CLI anzuzeigen:
    Geben Sie an der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Problemumgehung: Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
    • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter So setzen Sie das Root-Administratorkennwort (nsroot)zurück.

    [NSCONFIG-3188]

Versionshinweise für die Version 13.1-37.38 von Citrix ADC
January 9, 2023
Beitrag von: 
C
January 9, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
© 1999- Cloud Software Group, Inc. All rights reserved.